En un usual viaje de trabajo a la zona sur del país, Esteban Arias (nombre ficticio para guardar confidencialidad) pagó con su tarjeta de débito en dos ocasiones y cuando le correspondía regresar a la capital josefina decidió pasar por la gasolinera, con la sorpresa que a la hora de pagar no tenía dinero en su tarjeta.
“Yo llevaba unos ₡70.000 de los viáticos y al ver que no pasaba la tarjeta hice una revisión en mi cuenta, ahí me di cuenta de que me habían hecho unos diez rebajos distintos que rondaban los ₡7.000, en el transcurso de la noche hicieron tres rebajos y antes del mediodía siguiente el resto, con una diferencia de tiempo de tres minutos entre cada uno”, relató.
Hizo inmediatamente la denuncia al banco, donde bloquearon su tarjeta y le indicaron que le harían un estudio que tardaría alrededor de tres meses. Para Esteban lo que le salvó fue que había adquirido un seguro y le reintegraron el dinero en un mes.
Las denuncias recibidas ante el Organismo de Investigación Judicial (OIJ) correspondientes a estafas en tarjetas de crédito se redujeron en un 10% entre el año 2022 y el 2023, pasando de 5.222 a 4.696 casos, según confirmó sección Especializada Contra el Fraude Electrónico del OIJ.
Con respecto a la resolución de casos, el OIJ tramitó en 2023 un total de 8.327 causas, siendo la estafa y fraude informático los más frecuentes y para lo que va del 2024 se han resuelto 786 causas. El monto estimado para el año pasado fue de ₡151.283.923 y $75.936,11.
Del total de denuncias presentadas en el año 2023 (4.696) una cifra de 1.602 correspondió a la provincia de San José, y para abril del 2024, de 977 casos, 138 se dieron en la provincia capitalina.
A primera vista pareciera que hay una mejora en materia de estafas con tarjetas, sin embargo, Yorkssan Carvajal, jefe de la sección Especializada Contra el Fraude Electrónico del OIJ, fue enfático en indicar que es necesario hacer la diferencia entre estafas a las tarjetas bancarias y estafas a cuentas bancarias.
“Cuando se trata de estafas con tarjetas le llamamos policialmente carding y cuando es a la cuenta bancaria lo hacen por medio de ingeniería social, en las estadísticas presentadas nos referimos a fraudes con tarjetas. Cuando hablamos de este tipo de estafa hay una cifra invisible y engañosa, porque mucha gente no viene al OIJ a formular las denuncias, ya que las empresas madre de las tarjetas como Visa o Mastercard trabajan con casas aseguradoras que pagan esos contracargos”, indicó Carvajal.
De allí que la incidencia en denuncias judiciales no sea tan alta, pero no quiere decir que no se estén dando con la misma o mayor frecuencia. De hecho, según cifras del Instituto Nacional de Seguros (INS), para el 2023 hubo un incremento del 45,8% de las indemnizaciones por estafas con tarjetas.
De enero a diciembre del año pasado, de los 469 casos pagados por el INS, el 99%, es decir, 466 reclamos correspondieron a fraudes y el 1% restante a robos o extravíos, 369 casos fueron por tarjeta de débito y 97 por tarjeta de crédito.
“Si bien en el 2023 se incrementó notoriamente la cantidad de delitos contra usuarios de tarjetas, el monto indemnizado fue inferior. En el 2022 se pagaron ₡133.396.893; y en el 2023, ₡117.907.723, y por cantidad de reclamos, el mes en que más presentaron fue marzo con 66 y el mes en que pagó la suma más alta fue en febrero, cuando por 47 reclamos se giraron ₡23.028.696”, detalló Yorleny Madriz, jefa de la Dirección de Seguros Generales del INS.
Yorkssan Carvajal del OIJ aclaró que la mayor cantidad de denuncias que reciben están vinculadas con el carding nacional, que está relacionado con que los grupos cibercriminales compran lotes de datos de las tarjetas en la Deep Web (Internet profunda), y realizan compras en aplicaciones digitales, porque no hay una trazabilidad de huella, con solo crear usuarios falsos pueden usarlas.
Según el experto, los emisores de tarjetas producen paquetes de plásticos en los que coinciden la fecha de caducidad y el número de seguridad, existen algoritmos que les permite a los ciberestafadores determinar los lotes a prueba y error.
“Hemos sugerido al sistema bancario que opten por establecer un pin o clave para que la transacción sea emitida en los comercios virtuales, pero actualmente no hay un solo banco que tenga este tipo de protección”, detalló Carvajal.
Estafas con las cuentas
Carlos Herrera (nombre ficticio para guardar la confidencialidad) se encontraba un 13 de diciembre teletrabajando, cuando recibió una llamada de un número telefónico que parecía ser de su banco, el cual para ese momento estaba realizando cambios en su página web.
“Respondí apurado, me preguntaron qué opinión tenía de la nueva página y yo hice mis observaciones sobre cosas que podrían mejorar, me hablaron sobre el monto de mi pensión y si tenía interés en retirar el quinquenio, me pidieron mi correo electrónico para enviarme una información y en ese momento comenzaron a saquearme la cuenta, sin que yo me diera cuenta”, relató el afectado.
Al colgar la llamada le pareció extraño no haber recibido el correo, por lo que hizo una llamada al número, no obstante, ya nadie le respondía. Trató de ingresar a la página del banco, pero ya le habían cambiado su clave.
“Nunca accedí a la página, tampoco di información sobre mi clave o usuario, me robaron ₡2,3 millones que correspondía al aguinaldo y una plata que tenía, nunca lo pude recuperar, a pesar de poner la denuncia en el OIJ. El banco hizo una auditoría y dijo que era culpa mía, para mí que tienen gente adentro que filtra la información”, añadió Carlos.
Estas historias se repiten con muchos matices, pero casi siempre el afectado debe pasar por un viacrucis para recuperar su dinero, cuando tiene suerte, porque en una gran cantidad de casos nunca recibe de regreso la plata que le robaron e incluso quedan con deudas.
Adriana Rojas, abogada que defiende a estas víctimas, confirmó que las estafas no se dan únicamente con tarjetas de crédito o débito, sino también con cuentas bancarias y certificados a plazo.
Hay que recordar, indicó Rojas, que los contratos que se firman con los bancos son por cuentas corrientes o de ahorro, de las cuales luego le otorgan al cliente una tarjeta afiliada para hacer uso del dinero.
La experta cuestionó la seguridad de los sistemas informáticos de los bancos y entidades financieras, desde el primer punto de contacto de las cuentas y tarjetas que ofrecen a los clientes.
Al firmar un contrato de cuenta corriente o de ahorro nos ofrecen el servicio de banca en línea, ahí establecen un usuario y una clave, y no en pocas ocasiones ponen el número de cédula como usuario, sin tomar en cuenta que la ley de certificados digitales establece que la única forma de acreditar fehacientemente la identidad de una persona en el mundo virtual es con la firma electrónica. Entonces desde el inicio ya van mal.
“Los bancos son muy estrictos cuando uno va a la sucursal, no le permiten hacer ninguna operación si no lleva la cédula, ni siquiera el pasaporte, pero se vuelven muy flexibles cuando se trata del mundo virtual. Nos piden un correo electrónico para tener contacto sobre los movimientos que se realizan en la cuenta, pero no advierten a los usuarios que los mails gratuitos son fácilmente plagiables y tampoco capacitan a sus funcionarios en ciberseguridad, sumando una segunda debilidad en el proceso”, aclaró Rojas.
Desde su perspectiva, las entidades no dan el seguimiento adecuado cuando se presentan las estafas, ya que los grupos organizados tienen prácticas reconocibles, porque los consumidores financieros tienen prácticas muy rutinarias, por lo general, hacen compras en los mismos lugares, mueven la misma cantidad de dinero por mes, tienen comportamientos predecibles.
Cuando entra en juego un ciberdelincuente cambia totalmente esas rutinas y en cuestión de 20 o 30 minutos hacen procedimientos, como ¡olvidé mi clave!, ingresan al correo, reciben la verificación de la nueva clave en el correo, cambian las contraseñas, ingresan cuentas favoritas —donde siempre hay alguien con antecedentes criminales—, cambian los límites de transacciones diarias y vacían las cuentas.
Los delincuentes desinscriben a la persona del software de seguridad como token o clave dinámica e inscriben un hardware para ir a la banca móvil, ingresan desde una dirección IP diferente e incluso meten los datos a un número celular prepago que no es del cliente. “Todo es detectable en el cambio de comportamiento”.
Muchas veces ni siquiera requieren contactar a la gente para realizarlas, tienen el dato de los correos, los números de cédula, pero los sistemas no lo detectan, peor aún, cuando alguien se percata de que le están robando su dinero, bloquear las cuentas o que alguien les atienda en el banco es casi una misión imposible.
Insistió Rojas que incluso hay casos en que la persona logra acceder a un servicio de bloqueo de sus cuentas, pero los ciberestafadores continúan sacando dinero.
“No tiene lógica, como en 30 minutos una cuenta pasa de ¡olvidé mi contraseña! a mover hasta ₡7,5 millones, o más si la persona tiene, vemos una estafa, y otra y otra, todas son iguales. ¿Y dónde están las alarmas financieras y la ley 8204 que habla de la gente relacionada con venta de drogas? Pero cuando a alguien le entra una platita de más, le preguntan de todo y hasta bloquean las cuentas”, cuestionó la especialista.
Otro tema en el que enfatizó Rojas es el de seguros que ofrecen las entidades financieras, pocas personas los tienen y aquellos que los aceptan no son informados claramente sobre las condiciones o los montos que cubren.
Actualmente hay un proyecto de ley bajo el expediente 23908, “Ley de protección a las personas consumidoras en la custodia de dinero que administra cualquier entidad financiera en Costa Rica, ya sea pública o privada” que busca regular este tema y sobre todo que los bancos públicos y privados sean solidariamente responsables de los perjuicios causados a los ciudadanos por estafas bancarias.
Esta iniciativa también busca invertir la carga de la prueba, para que tengan que ser los bancos los que demuestren judicialmente que no ocurrió una estafa, y no que sea la persona afectada la encargada de suministrar pruebas —que en muchas ocasiones son difíciles de obtener— para probar que sí fue perjudicado.
El proyecto fue presentado por Óscar Izquierdo, jefe de fracción del Partido Liberación Nacional (PLN), como una iniciativa necesaria para detener la escalada de los delitos vinculados con las estafas bancarias, que crecieron un 43% en el 2022, al pasar de 5.528 a 7.923, y fue desarrollado con el apoyo del movimiento ciudadano “Gente estafada en los bancos de Costa Rica”, que reunió más de 3.500 firmas de apoyo, y que reúne alrededor de 200 personas que han sido víctimas de estafas en el sistema bancario costarricense.
Sin embargo, la iniciativa legislativa aún no está convocada, pues en estos momentos la Asamblea Legislativa está en período extraordinario.
Las formas en que roban su dinero
Los estafadores cibernéticos tienen muchos mecanismos para robar el dinero de las cuentas, tarjetas de débito o crédito, incluso de sus depósitos a plazos, y las más usuales en estos momentos son:
Carding: ya no necesitan tener acceso a las tarjetas de los clientes, pues ahora hay algoritmos que adivinan los números de las cuentas, el código de seguridad y fecha de vencimiento e incluso adquieren información en la «Deep web”. Una vez logrado, los ciberdelincuentes utilizan esos datos para hacer compras fraudulentas.
Vishing: estafa por teléfono que suplanta la identidad de una empresa o persona de confianza, para obtener información personal de la víctima.
Smishing: mediante el envío de mensajes por SMS simulando ser una entidad legítima para robarle información privada o realizar cargos económicos.
Suplantación de identidad: los delincuentes obtienen el correo electrónico de la persona, ingresan a la banca electrónica, piden cambio de clave que llega al correo, cambian todos los accesos y claves, desinscriben el software de seguridad como token o clave dinámica e inscriben un hardware diferente, dejan al dueño de la cuenta sin accesos y le roban el dinero.
