Hace poco, hablábamos del ‘carding’, el uso ilegal de datos de tarjetas de crédito/débito ajenas con el fin de sacar dinero de las cuentas de terceros, o bien directamente de pagar gastos propios desde las mismas. Sin embargo, el carding no es un método de robo de datos como tal: el robo se lleva a cabo recurriendo al phishing, al skimming, y prácticas similares.
Sin embargo, hay una clase de carding que puede hacerse con los datos de tu tarjeta por mera casualidad y que, de hecho, no siempre buscan de manera específica que los datos que manejan se correspondan con los de la tarjeta de alguien.
Y sin embargo, pueden dejarte la cuenta vacía con la misma facilidad que cualquier ‘practicante’ de cualquier otra modalidad de carding. Hablemos de los bineros…
Un perfil poco conocido
Llamamos ‘bineros’ a los miembros de una comunidad de usuarios, mayormente organizada en torno a grupos secretos en redes sociales, dedicados a una de las modalidades de carding dedicadas a obtener datos de tarjetas.
Su nombre proviene del hecho de trabajar con ‘BINs’ (Bank Identification Number), los 6 primeros dígitos de cada número de tarjeta, que permiten identificar tanto en banco emisor de la misma como el tipo de tarjeta.
Teniendo estos BIN (conseguirlos es el principal objetivo de dichos grupos), los ‘bineros’ recurren a software y servicios online capaces de generar tandas de números de tarjeta válidos, así como combinaciones de éstos con números secretos y fechas de validez. Armados con esas combinaciones, los bineros se lanzan (VPN en mano) a probarlas intentando adquirir servicios online.
Como muchos de esos números de tarjeta válidos están generados ya por los bancos pero no están aún vinculados a cuentas bancarias, el uso de estos BINs sólo resulta útil para explotar las promociones de «primer mes gratis», y luego —ante el seguro cierre de la cuenta por impago— el ciclo comienza de nuevo. También se puede utilizar para desbloquear funciones que dependen de que el usuario ‘demuestre’ su mayoría de edad.
Por supuesto, hacen uso de esta técnica para adquirir sobre todo servicios online (Netflix, Spotify y otros servicios de streaming, sobre todo) porque dar direcciones de entrega para productos físicos podría ser problemático para ellos (si bien algunos se las apañan para lograr que les reenvíen los productos desde esos terceros países).
No es un ‘delito sin víctimas’
Sin embargo, en algunos casos los datos generados por algoritmos pueden coincidir con los de tarjetas de crédito en uso, vinculadas a cuentas bancarias y, por tanto, dotadas de dinero. En algunos casos, los bineros tratan directamente de comprar esta clase de datos en la Dark Web y así evitar largas sesiones de prueba y error.
En esos casos, es fácil (sobre todo si dichas tarjetas pertenecen a países en los que los bancos no implementar ciertas medidas de seguridad) que los bineros imputen sus compras con cargo a cuentas reales de usuarios (aquí un caso vivido en primera persona), usuarios que no detectarán el problema hasta que no vean datos extraños en su extracto de movimientos.
Según la revista oficial de la CONDUSEF (Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros) de México,
«Básicamente, la forma en la que los defraudadores acceden a estos datos es de manera aleatoria, es decir: no tienen una víctima potencial, todo lo hacen al azar. Para conseguirlos, utilizan una serie de programas o software que mediante algoritmos generan varias combinaciones».
Precisamente en países como México, donde las leyes no han facilitado la persecución de esta clase de delitos, el ‘bineo’ ha llegado a gozar de gran popularidad desde 2015, sobre todo entre jóvenes, muchos de ellos sin conciencia de estar haciendo algo malo.