• 5 min de lectura
Los carders buscan proxies residenciales «limpios»
El análisis de Flare de 2,889 publicaciones en la clandestinidad muestra que los carders buscan direcciones IP residenciales que sean limpias, con ubicación precisa y compatibles con servicios financi

Imagen: Flare's platform
Los proxies residenciales ya no se ven en los foros de carding como una herramienta de anonimato independiente. Investigadores de Flare analizaron 2,889 publicaciones únicas en la clandestinidad publicadas durante los últimos dos años en aproximadamente 545 hilos de discusión, y encontraron que los delincuentes tratan cada vez más la infraestructura de proxies como parte de un sistema más amplio de simulación de identidad.
Esas conversaciones abarcan comparaciones de proveedores, resolución de problemas, fallos en transacciones, guías operativas y anuncios de servicios supuestamente «limpios» o compatibles con finanzas. El tema común es que una dirección IP residencial es útil, pero ya no es unudir de forma fiable por sí sola.
Por qué «limpio» importa más que «residencial»
Un proxy residencial enruta el tráfico a través de una dirección IP asignada por un proveedor de servicios de internet a un hogar o dispositivo de consumidor. Eso puede hacer que una conexión parezca tráfico de un usuario doméstico ordinario en lugar de tráfico proveniente de un proveedor de hosting o una VPN comercial. Usos legítimos incluyen pruebas de localización, verificación de publicidad y protección de marca.

Recomendado
ClickLock Stealer atrapa a usuarios de macOS con solicitudes de contraseña
Los carders dividen cada vez más los proxies residenciales en grupos «limpios» y «sucios», juzgando una dirección por su historial en vez de solo por su clasificación de ISP. Las guías de la clandestinidad advierten que las direcciones pueden deteriorarse tras abusos repetidos, en particular cuando se han usado contra bancos, procesadores de pagos u otros servicios sensibles al fraude.
Captura de pantalla de una publicación en el conjunto de datos tomada desde la plataforma de Flare.
Los usuarios del foro comparan servicios de puntuación de fraude e informan que la misma IP puede recibir valoraciones de reputación muy diferentes. Una dirección considerada limpia puede volverse de alto riesgo tras un breve periodo de actividad, lo que refuerza la creencia de que la reputación es dinámica y está afectada por otros clientes que comparten la misma infraestructura.
La coincidencia de ubicación ahora se extiende más allá del país
Los consejos de carding más antiguos solían centrarse en seleccionar una IP en el mismo país que la tarjeta robada. En publicaciones más recientes se discute la «geoconsistencia»: alinear la ubicación aproximada de la IP con el código postal de facturación, la zona horaria del dispositivo, el idioma del sistema operativo y las características del navegador.
Captura de pantalla de una publicación en el conjunto de datos tomada desde la plataforma de Flare.
Una discusión se quejaba de que los principales proveedores de proxies residenciales habían eliminado la segmentación por código postal, dejando solo la selección por país, estado y ciudad. El usuario temía que la selección a nivel de ciudad no proporcionara la precisión suficiente para evitar los controles antifraude.
Flare advierte que las afirmaciones técnicas hechas en foros clandestinos no son necesariamente exactas. Las conversaciones, no obstante, revelan el objetivo operativo: construir una identidad digital coherente, no simplemente ocultar una IP real.
Los proxies son solo una señal de fraude
El conjunto de datos vincula repetidamente los proxies residenciales con navegadores antidetección, dispositivos aislados, historiales de cookies, configuración de WebRTC, huellas Canvas y WebGL, y datos consistentes de user-agent. Una guía publicada en abril de 2026 advertía que incluso un «proxy residencial perfecto» podría fallar si el perfil del navegador exponía información contradictoria.
Captura de pantalla de una guía de carding publicada en un foro de carding.
Ese enfoque refleja la detección moderna de fraude. La documentación de Stripe describe la combinación de señales de transacción, identidad, tarjeta e historial, mientras que su orientación sobre pruebas con tarjetas destaca la velocidad (velocity), los rechazos repetidos, la información de facturación inconsistente y la reutilización de tarjetas o datos de clientes.
Los carders también se quejan de que algunos proveedores bloquean bancos, procesadores de pagos, portales gubernamentales y otros servicios sensibles. Esas restricciones han creado demanda de servicios anunciados como «compatibles con servicios financieros» o «compatibles con bancos», aunque la fiabilidad de tales ofertas es difícil de verificar y algunas pueden ser estafas.
El ecosistema más amplio de proxies también está bajo presión. En julio de 2026, el FBI y socios de la industria incautaron cientos de dominios asociados con la plataforma de proxy residencial NetNut y la botnet Popa. Investigadores vincularon la red a al menos dos millones de dispositivos comprometidos, incluidos televisores inteligentes y reproductores de streaming, supuestamente usados para fraude publicitario, toma de cuentas y otro tráfico abusivo.
Una alerta del FBI de marzo de 2026 advirtió que los delincuentes pueden seleccionar direcciones de proxy residenciales por estado y ciudad, incluso para que coincidan con la ubicación de la víctima y reducir la probabilidad de activar los controles de geolocalización de un banco.
Para los defensores, una IP residencial debe tratarse como contexto, no como prueba de legitimidad. Indicadores más fuertes incluyen historial del dispositivo, antigüedad de la cuenta, huella del navegador, instrumento de pago, información de facturación, velocidad de transacción y comportamiento posterior al pago, junto con la creación repetida de identidades, cambios geográficos bruscos, zonas horarias incongruentes y grupos de intentos de autorización de bajo valor.
El resultado es un entorno operativo más difícil para los carders: obtener una dirección residencial ya no es suficiente. Su efectividad depende de si el resto de la identidad parece creíble y consistente.
Security Editor
Sophia unpacks the invisible wars happening on our networks. Covering cybersecurity, privacy legislation, and cryptography, she exposes how our data is weaponized and defended. Before joining for(geeks), she spent years as a penetration tester. She's the reason the rest of the team uses physical security keys.
vía BleepingComputer


