4 min de lectura

Los estafadores de tarjetas buscan ahora proxies residenciales «limpios»

La revisión de Flare de 2,889 publicaciones clandestinas muestra que los estafadores de tarjetas ya no confían solo en proxies residenciales y ahora persiguen IPs «limpias» compatibles con servicios f

Imagen: Flare's platform

Los proxies residenciales ya no se consideran en los foros de carding como una forma sencilla de ocultar la actividad. En una investigación basada en 2,889 publicaciones clandestinas únicas en aproximadamente 545 hilos de discusión durante los últimos dos años, Flare encontró que los actores del fraude ahora tratan los proxies como solo una parte de una configuración más amplia de simulación de identidad que también incluye huellas de dispositivo, perfiles de navegador, datos de facturación, zonas horarias, cookies y comportamiento en las transacciones.

Las publicaciones abarcan guías operativas, resolución de problemas, comparaciones de proveedores, informes de fallos en transacciones y anuncios de servicios de proxy supuestamente “limpios” o compatibles con finanzas. El panorama que emerge es un mercado donde las IP residenciales aún importan, pero cada vez se ven como frágiles: los pools se sobreutilizan, las direcciones adquieren malas reputaciones, los datos de geolocalización pueden estar equivocados y las plataformas financieras bloquean rangos enteros.

Cómo juzgan los estafadores de tarjetas la calidad de un proxy

Un cambio clave en el conjunto de datos es que los estafadores ya no consideran “residencial” como una categoría de confianza por sí sola. En su lugar, dividen las pools de proxies en IPs “limpias” y “sucias”, siendo el factor decisivo a menudo si una dirección ya se ha usado contra bancos, procesadores de pagos u otros servicios sensibles al fraude.

Publicación en el foro Ascarding
Publicación en el foro Ascarding

Los usuarios en los hilos también comparan servicios de puntuación de reputación fraudulenta, se quejan de que la misma IP puede recibir valoraciones de reputación muy diferentes y describen cómo una dirección inicialmente vista como segura puede convertirse rápidamente en de alto riesgo. Según Flare, eso apunta a una creencia creciente de que la reputación de un proxy es dinámica y está moldeada por otros clientes que comparten la misma infraestructura.

La concordancia geográfica también se ha vuelto más granular. En lugar de limitarse a coincidir con el país de la tarjeta robada, algunas publicaciones discuten alinear la IP con el código postal de facturación, la ciudad, la zona horaria, el idioma del navegador y las características del dispositivo.

Recomendado

Capital One publica como código abierto VulnHunter para la seguridad del código

Publicación en el foro Carding Market
Publicación en el foro Carding Market

Flare señala que no todas las afirmaciones técnicas en los foros criminales son precisas, pero la mentalidad operativa está clara: el objetivo es construir una identidad digital coherente, no solo enmascarar una dirección IP real.

Las IPs compatibles con finanzas tienen demanda

La investigación también muestra que los proxies residenciales rara vez se consideran suficientes por sí solos. Las publicaciones los vinculan repetidamente con navegadores antidetección, dispositivos aislados, historial de cookies, configuración de WebRTC, huellas de Canvas y WebGL, y consistencia del user-agent.

Captura de pantalla de una de las guías de carding publicadas en un foro
Captura de pantalla de una de las guías de carding publicadas en un foro

Eso coincide con cómo funciona la detección de fraude en plataformas legítimas. Stripe, por ejemplo, documenta controles que combinan señales de transacción, identidad, tarjeta e historial, y marca patrones como rechazos repetidos, discrepancias en la facturación y reutilización de tarjetas.

Otro tema en las publicaciones clandestinas es el acceso. Varios usuarios se quejan de que los principales proveedores de proxies restringen las conexiones a bancos, procesadores de pagos, portales gubernamentales y otros servicios sensibles al fraude. Eso ha creado un mercado secundario de proxies anunciados como “habilitados para finanzas”, “compatibles con bancos” o adaptados a plataformas de pago específicas, aunque Flare dice que esas afirmaciones son difíciles de verificar y algunos servicios pueden ser estafas.

El ecosistema más amplio de proxies también está bajo presión. En julio de 2026, el FBI y socios de la industria incautaron cientos de dominios vinculados a la plataforma de proxies residenciales NetNut y al botnet Popa. Los investigadores vincularon esa red a al menos dos millones de dispositivos comprometidos, incluidas smart TVs y cajas de streaming, que habían sido convertidos en nodos de proxy residenciales. Una alerta del FBI de marzo de 2026 advirtió por separado que los delincuentes pueden elegir direcciones de proxy residenciales hasta el nivel de estado y ciudad y citó su uso en apropiaciones de cuentas.

Para los defensores, el punto central de Flare es sencillo: el tráfico residencial no debe considerarse prueba de que un usuario es legítimo. Señales más fuertes provienen de la consistencia a lo largo de la sesión en el historial del dispositivo, la antigüedad de la cuenta, la huella del navegador, el método de pago, los datos de facturación, la velocidad de las transacciones y el comportamiento posterior al pago. Las discusiones clandestinas sugieren que las defensas contra el fraude ya están elevando los costos, obligando a los estafadores de tarjetas a esforzarse más para encontrar IPs que sean lo suficientemente limpias, lo bastante precisas y que aún tengan permitido acceder a servicios financieros.

Sophia Reynolds

Security Editor

Sophia unpacks the invisible wars happening on our networks. Covering cybersecurity, privacy legislation, and cryptography, she exposes how our data is weaponized and defended. Before joining for(geeks), she spent years as a penetration tester. She's the reason the rest of the team uses physical security keys.

vía BleepingComputer

// Sigue leyendo