En varias ocasiones desde el Blog de ESET Latinoamérica reportamos casos de robo de información, en especial, robos enfocados a datos de tarjetas bancarias mediante phishing o malware. Si bien el caso más relevante durante este año fue la intrusión a los servicios de PlayStation Network, donde luego las víctimas de este hecho reportaron usos indebidos en sus cuentas bancarias; en esta ocasión vamos a compartir el descubrimiento de un portal de e-commerce que se dedica a la venta de datos robados de tarjetas de crédito:


Podemos ver que el portal tiene a disposición un total de 4443 datos de tarjetas para la venta. Esto es un claro ejemplo de cómo lo criminales informáticos han ido mejorando sus técnicas para la venta de este tipo de información, donde además se ofrece un soporte en caso de que las tarjetas fallen… En cierta forma, aseguran el producto que venden. Los datos de las tarjetas se encuentran divididos en las siguientes columnas:

  • BIN = Pertenece al número que identifica al emisor bancario
  • COUNTRY = Es el país al que pertenece la tarjeta de crédito
  • STATE = Estado
  • CITY = Ciudad
  • ZIP = Código postal

Recorriendo la página es posible encontrar que los datos de las tarjetas pertenecen a diferentes victimas a nivel mundial. El creador de este sitio también tuvo en cuenta en abarcan a las distintas compañías emisoras, como Visa, Mastercard y American Express, las cuales difieren en su precio y su tasa de validez:

El proceso de compra es muy similar a los e-commerce legales, en donde se tiene un usuario previamente registrado, luego se procede a seleccionar la cantidad de tarjetas dependiendo de la necesidad del comprador (ciudad, compañía emisora, País) y terminando con un pago a través de un servicio online como Liberty Reserve. Los precios varían desde los 3 hasta los 20 dólares, todo dependiendo del tiempo que llevan los datos puestos en línea, ya que una tarjeta “fresh” (fresca) o nueva, tiene mucho más valor que una que ya lleva un par de días. Esto se debe a que si el usuario reporta a la compañía de la tarjeta el robo, o si este detecta movimientos en su cuenta; es probable que esta ya haya sido deshabilitada.

El negocio del cibercrimen cada vez es más eficiente en su manera de operar. Es por eso que los usuarios tienen que ser cociente de este tipo de amenazas, para no ser víctimas de esto comercio que se dedica a la venta de tarjetas de crédito.

Claudio Cortés Cid
Especialista de Awareness & Research