¿Qué es el carding?

Updated on Abr 16, 2026 by Nicole Forrest

El carding es una forma de fraude en los pagos mediante la cual los delincuentes roban y se aprovechan de los datos de tarjetas de crédito o débito para hacer compras online y obtener dinero en efectivo o adquirir otros activos.

Lamentablemente, es un problema creciente. Y, dado que los informes de fraude en tarjetas de crédito han sobrepasado los 33 000 millones de dólares en 2024 y se proyecta que alcanzarán los 43 000 millones a finales de 2026¹, los consumidores deberían tomarse esta amenaza muy en serio.

En esta guía te acompañaremos para que conozcas todo lo que debes saber sobre el carding, desde cómo funcionan los ataques a los pasos que puedes dar para protegerte.

¿Qué es el fraude del carding?

El carding es un tipo de ciberdelito que implica el robo y uso no autorizado de los datos de tarjetas de crédito o débito. Los delincuentes que llevan a cabo estos ataques, conocidos como “carders”, roban los datos de pago de las tarjetas y los usan para realizar transacciones fraudulentas o los venden a otros delincuentes.

Lo que los ciberdelincuentes pueden hacer con estos datos depende de lo completa que sea la información que tienen en su poder. Hay tres niveles de información de la tarjeta que puede acabar en las manos de los carders:

Datos básicos: número de la tarjeta y códigos de valor de verificación de la tarjeta (CVV) que se pueden usar para hacer compras en sitios web que no tienen una seguridad muy potente o medidas de autenticación.
Dumps: volcado de datos extraídos de la tira magnética de una tarjeta que permite que los atacantes clonen tarjetas físicas.
Fullz: paquetes completos de datos personales y tarjetas que se pueden usar para el robo de identidad y el fraude financiero

Si el delincuente no usa esta información personalmente, normalmente la vende en foros de carding. Se trata de comunidades online expresamente dedicadas a esto en las que los carders intercambian información, técnicas de carding y otras herramientas de fraude de tarjetas.

Consecuencias del carding

El fraude por carding puede acarrear graves consecuencias tanto para las personas como para las empresas, que varían desde pérdidas financieras inmediatas a daños reputacionales a largo plazo.

Pérdidas financieras: los ciberdelincuentes pueden vaciar cuentas bancarias y agotar el crédito de las tarjetas haciendo transacciones fraudulentas. Para las empresas, los contracargos, las pérdidas de inventario y el aumento de los costes operativos pueden acumularse rápidamente.
Robo de identidad y mala calificación crediticia: los datos Fullz se pueden usar para abrir cuentas falsas o pedir préstamos en nombre de la víctima, dañando con ello su calificación crediticia de tal forma que puede llevar años repararla.
Cuentas comprometidas y exposición de datos: las credenciales robadas pueden dar a los delincuentes acceso a otras cuentas personales o de empresa, existiendo la posibilidad de multiplicar el daño financiero inicial.
Malestar emocional: la experiencia de ser víctima de un fraude — y el proceso de recuperación — puede ser muy estresante y requerir mucho tiempo, tanto para las personas como para los dueños de empresas.

Cómo saber si has sido víctima de carding

Señales de carding: Transacciones extrañas, reducciones inesperadas del saldo o del límite, solicitudes de crédito inexplicables, comunicaciones de pago no solicitadas, ralentizaciones inusuales del dispositivo.

Detectar a tiempo el carding puede limitar los posibles daños a tus finanzas y tu reputación. Afortunadamente, hay algunos indicios reveladores a los que se debe prestar atención.

Las señales de alerta más evidentes son de carácter financiero. Las transacciones extrañas — especialmente las pequeñas — en los extractos de tus cuentas o tus tarjetas pueden indicar que un carder está probando tus datos. Las reducciones del saldo inesperadas y fácilmente perceptibles sugieren que ya se está produciendo una actividad fraudulenta.

Las solicitudes de crédito inexplicables que aparecen en tu informe crediticio son otra señal de alerta. Si no has solicitado líneas de crédito adicionales, podría ser un indicio de que alguien intenta abrir cuentas nuevas a tu nombre usando tus datos.

Además de tus finanzas, también deben preocuparte las comunicaciones no solicitadas en las que te piden que verifiques los datos de pago, así como las páginas de pago de compra que parecen un tanto extrañas en comparación con el resto del sitio web.

También conviene que estés atento a tus dispositivos. Si notas ralentizaciones inesperadas o apps desconocidas, eso podría indicar que tu dispositivo está infectado con malware que podría estar recopilando tus datos.

¿Cómo consiguen los carders los datos de tu tarjeta de crédito?

Hay multitud de formas en las que los delincuentes pueden hacerse con los datos de tu tarjeta. Sus métodos incluyen de todo, desde sofisticados ciberataques a la simple vigilancia en persona:

Phishing: correos electrónicos y mensajes de texto engañosos, así como sitios web falsos que suplantan a entidades de confianza para engañar a las víctimas y hacer que introduzcan los datos de su tarjeta.
Skimming o clonación de tarjetas y dispositivos de radiofrecuencia: los dispositivos físicos instalados en cajeros automáticos, surtidores de combustible o terminales de venta recopilan los datos de la tarjeta cuando esta se inserta o se pasa por el lector.
Keylogging: malware que recopila sigilosamente las pulsaciones en el teclado de un dispositivo infectado, haciéndose con los datos de la tarjeta cuando se escriben.
Ingeniería social: los delincuentes manipulan directamente a las víctimas (p. ej., haciéndose pasar por empleados del banco o representantes del servicio de atención al cliente) para obtener los datos de la tarjeta a través de la conversación.
Hackeos y filtraciones de datos: los atacantes acceden a bases de datos que almacenan datos de pago para conseguir miles de registros de una sola vez.
Inyección SQL: los estafadores del carding se aprovechan de las vulnerabilidades de los formularios web para inyectar código en la base de datos de un sitio web con el fin de extraer información confidencial del consumidor, incluyendo los datos de las tarjetas bancarias.
Captura de formularios: se inyectan scripts maliciosos en páginas legítimas de pago de compras para interceptar los datos de pago cuando los introduce el consumidor.
Apps y sitios web falsos: tiendas web o apps falsas que imitan servicios legítimos para engañar a los usuarios y que estos faciliten los datos de sus tarjetas directamente a los atacantes.
Shoulder surfing: los delincuentes simplemente “espían por encima del hombro”, observando a sus víctimas cuando estas introducen datos de su tarjeta en lugares públicos (p. ej., cuando rellenan datos de pago en un sitio web).
Ataques de bots y de fuerza bruta: herramientas automatizadas que generan y prueban sistemáticamente combinaciones de números de tarjetas de crédito.
Compra de datos en mercados de la dark web: muchos delincuentes dedicados al carding compran datos en foros de carding y mercados de la dark web en los que los datos robados se compran y venden al por mayor.

¿Cómo funciona el carding?

Normalmente, el carding sigue un proceso de tres pasos: obtención de los datos de la tarjeta, validación de los mismos para identificar cuáles están activas y son usables y, por último, retirada del dinero. A continuación encontrarás una descripción más detallada de cómo se lleva a cabo cada uno de estos pasos.

Pasos que siguen los estafadores de carding para defraudar a sus víctimas

1. Obtención de los datos de la tarjeta

El primer paso en cualquier ataque de carding es hacerse con los datos de las tarjetas bancarias. Los carders lo hacen de una de estas dos formas: robándolos ellos mismos o comprándolos.

Los métodos de robo directo van desde el phishing y el malware hasta filtraciones de datos a gran escala cuyo objetivo son las empresas, mientras que los datos de tarjetas al por mayor se suelen comprar en mercados de la dark web. En cualquier caso, la prioridad principal de los delincuentes es el volumen: cuantos más datos de tarjetas obtengan, más oportunidades tendrán de encontrar algunas que sean utilizables.

2. Validación de los datos de la tarjeta

No todos los datos robados de tarjetas son utilizables. Los carders pueden haber obtenido datos de tarjetas que han sido canceladas, han caducado o ya han sido marcadas como fraudulentas. Esto significa que deben identificar qué tarjetas siguen activas mediante pruebas de cuentas o “nibbling”.

Para hacerlo a gran escala, los estafadores utilizan redes de bots (redes de dispositivos comprometidos) para automatizar grandes volúmenes de pequeñas transacciones de bajo valor en múltiples tiendas de comercio electrónico al mismo tiempo. El tamaño de las transacciones y el carácter distribuido del ataque hacen que sea más difícil detectarlas y bloquearlas.

Una vez probadas, las tarjetas que procesan correctamente una transacción se confirman como activas y listas para ser explotadas.

3. Retirada de dinero

En cuanto el estafador ha confirmado qué tarjetas están activas, quiere empezar a sacar dinero lo antes posible (es decir, antes de que se detecte el fraude y se bloqueen las tarjetas).

Con los datos de las tarjetas robadas, los delincuentes suelen comprar tarjetas regalo u otros activos digitales como las criptomonedas. Ambos son especialmente atractivos para los estafadores de carding, ya que son difíciles de rastrear y fáciles de revender, y además se pueden convertir rápidamente en dinero en efectivo.

También pueden usar los datos de tarjetas robadas para comprar productos físicos de gran valor que luego revenden a cambio de dinero en efectivo (por ejemplo, aparatos electrónicos o artículos de lujo). Para no levantar sospechas, el estafador suele comprar cantidades pequeñas de artículos en diferentes tiendas, en lugar de realizar una sola transacción de gran cuantía.

Ejemplos recientes de ataques de carding

Ejemplos recientes de ataques de carding Los ataques de carding están en auge y se están volviendo más sofisticados cada vez.

Por ejemplo, en diciembre de 2024, la tienda de recuerdos de la Agencia Espacial Europea fue víctima de un script malicioso que generó una página Stripe falsa para el pago de la compra². La página recopiló en silencio los datos de las tarjetas de crédito de los clientes y los redirigió a un dominio controlado por el atacante.

Unas semanas más tarde, en enero de 2025, sucedió algo similar en la tienda online de Casio en el Reino Unido³. Se usó un skimmer web para interceptar a los clientes en la página del carrito y presentarles un formulario de pago falso muy convincente para hacerse con sus datos.

Pero los ladrones de tarjetas no solo atacan directamente a las tiendas online. En abril de 2025 se descubrió que un paquete malicioso detectado en el repositorio de código abierto Python Package Index (PyPI) había proporcionado a los ladrones de tarjetas una forma de automatizar la comprobación a gran escala de datos de tarjetas de crédito robadas en tiendas WooCommerce sin que se activaran los sistemas de detección de fraudes⁴.

Qué hacer si crees que has sido víctima de carding: proceso de recuperación paso a paso

Infografía con los 6 pasos que debes dar si has sido o crees que puedes haber sido víctima de carding.

Si sospechas que los datos de tu tarjeta están comprometidos, es esencial actuar con rapidez. Cuanto más rápida sea tu respuesta, más probabilidades tendrás de limitar el daño financiero.

1. Bloquea tu tarjeta o tu cuenta

Tu primera prioridad es impedir que se produzcan más transacciones fraudulentas. La mayoría de los bancos y emisores de tarjetas te permiten bloquear temporalmente la tarjeta a través de su sitio web o su app móvil.

Deberías hacerlo inmediatamente, incluso antes de confirmar que has sido víctima de un fraude. Si has identificado transacciones no autorizadas, solicita a la vez la cancelación de la tarjeta y la emisión de otra nueva.

2. Notifica a tu banco

Contacta lo antes posible con tu banco o con el emisor de tu tarjeta para denunciar el posible fraude. Pueden marcar el problema en tu cuenta, iniciar una investigación formal y comenzar el proceso para revertir cualquier transacción no autorizada.

La mayoría de los bancos cuentan con equipos especializados en la lucha contra el fraude que están disponibles 24 horas, por lo que no es necesario esperar hasta el siguiente día laborable para contactar con ellos.

3. Asegura tus cuentas

Después de notificárselo al banco, ha llegado el momento de asegurarte de que tus cuentas son seguras. Cambia las contraseñas de tu banca online y de cualquier otra cuenta que use las mismas credenciales o similares. Los delincuentes que tienen acceso a los datos de tu tarjeta también podrían tener acceso a otros datos personales.

Si todavía no lo has hecho, también es buena idea activar la autenticación multifactor en todas tus cuentas financieras para disfrutar de una capa adicional de protección.

4. Presenta una denuncia en la policía y notifícalo al organismo antifraude correspondiente

Una denuncia en la policía crea un registro oficial del fraude, algo que te podría pedir el banco o la aseguradora cuando procesen tu reclamación.

También deberías denunciar el incidente en tu agencia nacional antifraude. En Estados Unidos es la Comisión Federal de Comercio (FTC), mientras que en el Reino Unido la agencia encargada es Action Fraud. Estas denuncias ayudan a las autoridades a rastrear el carding y construir casos contra los delincuentes.

5. Analiza todos tus dispositivos por si tuvieran malware

Si te robaron los datos de la tarjeta con un keylogger o con malware, es probable que la amenaza siga presente en tu dispositivo. Ejecuta un análisis completo de virus y malware en todos los dispositivos que uses para banca online o para comprar y elimina todas las amenazas que detecte.

Más adelante, usar una VPN puede darte una capa adicional de protección muy importante cuando haces transacciones online. La VPN cifra tu tráfico de Internet, por lo que será mucho más difícil que intercepten tus datos de pago para el carding o que te infectes con malware a través de conexiones wifi sin asegurar.

6. Vigila atentamente tus cuentas

Incluso después de los pasos anteriores, es importante vigilar con atención tus cuentas financieras en las semanas posteriores a un ataque de carding.

Revisa regularmente los extractos de tu cuenta bancaria y tu tarjeta para detectar más actividades sospechosas y plantéate registrarte en un sistema de vigilancia de crédito para recibir alertas cuando hay una nueva solicitud de crédito a tu nombre.

Cómo evitar el carding

Las operaciones de carding están diseñadas para que sea difícil detectarlas y más difícil aún rastrearlas. Los delincuentes que se dedican al carding usan redes de bots, herramientas de anonimato y transacciones de bajo valor para cubrir su rastro, por lo que es difícil atraparlos y tu mejor defensa es asegurarte de que no se hagan con tus datos.

Aplicar ciertas medidas de seguridad básicas en tu actividad online puede reducir considerablemente el riesgo de ser víctima de un ataque de carding:

Usa contraseñas robustas y únicas y PIN: la reutilización de contraseñas en varias cuentas diferentes implica que una sola filtración de datos puede comprometer muchas cuentas a la vez. Usa un gestor de contraseñas si te resulta difícil recordarlas todas.
Utiliza tarjetas virtuales para los pagos online: muchos bancos ofrecen tarjetas virtuales que tienen códigos CVV dinámicos. Como cambian periódicamente, es mucho más difícil que los aprovechen para el carding.
Activa la autenticación multifactor: la adición de una capa extra de verificación (como la autenticación biométrica o por SMS) a tus cuentas financieras supone que solo con los datos robados de tus tarjetas no podrán acceder a tus cuentas.
No compartas datos de tu tarjeta u otros datos personales: ningún banco, tienda o proveedor de pagos te preguntará nunca todos los datos de tu tarjeta por teléfono, correo electrónico o mensaje de texto.
Comprueba que los sitios web donde pagas sean seguros: antes de introducir los datos de la tarjeta en Internet, comprueba que el sitio web usa HTTPS y que la URL coincide con la del sitio web legítimo. Presta atención a los errores sutiles en la ortografía o a las extensiones de dominio que no te son familiares.
No pulses en enlaces sospechosos: el phishing es una de las formas más habituales de obtener datos de las tarjetas para el carding. Si recibes un correo electrónico o un mensaje pidiéndote que verifiques tus datos de pago que te parece inesperado o inusual, ve directamente al sitio web en lugar de pulsar en un enlace.
Vigila tus cuentas bancarias: si vigilas tus extractos bancarios frecuentemente, es más probable que detectes cualquier actividad sospechosa muy pronto, antes de sufrir un daño financiero significativo.
Usa una VPN: una VPN cifra tu conexión a Internet, protegiendo tus datos de pago para que no sean interceptados. Elige una VPN que use potentes protocolos de cifrado y tenga una estricta política de no guardar registros, ya que estas características ayudan a garantizar que tus actividades sigan siendo privadas.
Mantén tu software actualizado: los parches de seguridad corrigen vulnerabilidades conocidas que los carders y otros ciberdelincuentes aprovechan activamente. Mantener actualizados el sistema operativo, el navegador y las apps puede ayudar a solucionar estos problemas.

Preguntas frecuentes sobre el carding

¿Qué es el carding?

El carding es un tipo de fraude en el que los ciberdelincuentes roban datos de tarjetas mediante diversos métodos, desde el phishing y el skimming hasta las filtraciones de datos, y los usan para realizar transacciones fraudulentas o los venden a otros delincuentes en mercados de la dark web.

¿El carding es ilegal?

Sí, el carding es totalmente ilegal, y los condenados por este motivo pueden enfrentarse a multas e incluso a penas de prisión. Dicho esto, en la práctica es un delito bastante difícil de perseguir. Normalmente, los carders usan herramientas de anonimato y operan desde un país distinto al de sus víctimas, lo que supone todo un reto para las autoridades a la hora de localizarlos y llevarlos ante la justicia.

¿Qué significa carding en el ámbito de la ciberdelincuencia?

En el contexto de la ciberdelincuencia, el carding es el proceso de robar, validar y utilizar indebidamente datos de tarjetas de pago con fines lucrativos. Forma parte de un ecosistema de delincuencia más amplio que incluye la compraventa de datos robados de tarjetas en foros de carding, el uso de redes de bots para probar tarjetas a gran escala y el blanqueo de los beneficios a través de tarjetas regalo y activos digitales.

¿Cómo suele funcionar el carding?

Normalmente hay tres pasos en un ataque de carding: hacerse con los datos de la tarjeta mediante el robo o la compra, validarlos usando ataques de bots automatizados para identificar las tarjetas activas y obtener el efectivo comprando tarjetas regalo, activos digitales o productos físicos de gran valor para su reventa.

¿Cuáles son las señales habituales de que los datos de tu tarjeta se están usando en el carding?

La señal más común del carding es ver transacciones inesperadas en los extractos de tus cuentas o tarjetas de crédito. Otras señales de alerta pueden ser cambios en el saldo de la cuenta sin explicación, solicitudes de crédito en tu historial crediticio que te son desconocidas y comunicaciones no solicitadas pidiéndote que verifiques tu información de pagos.

¿Qué debería hacer si me roban los datos de mi tarjeta?

Si te roban los datos de la tarjeta, ¡actúa rápidamente! Bloquea la tarjeta inmediatamente y después contacta con tu banco para denunciar el fraude y empezar a revertir las transacciones no autorizadas. Cambia las contraseñas, presenta una denuncia en la policía y notifica al organismo nacional antifraude. También es importante analizar todos tus dispositivos en busca de malware y vigilar de cerca tus cuentas durante las semanas siguientes.

¿Una VPN puede ayudar a proteger los datos de pago en redes wifi públicas?

Sí. Las redes wifi públicas son un objetivo potencial para los delincuentes del carding que se dedican a interceptar datos de pago. Una VPN cifra tu conexión a Internet, por lo que tu tráfico será mucho más difícil de interceptar. Para disfrutar de la protección más sólida, elige una VPN con un cifrado robusto y una política de no guardar registros verificada.

References: