“Me hicieron un cargo al mes sin darme cuenta”: así son las estafas virtuales a las tarjetas de los mexicanos

Hace un par de semanas, Samantha Rodríguez vio que su cuenta de nómina tenía un poco menos dinero del que pensaba, por lo que decidió consultar detalladamente su estado de cuenta a través de la aplicación de banco en su celular. “Había varios cargos muy parecidos de servicios como Rappi, Uber y otros que siempre hago, se veían muy normales”, comenta la diseñadora mexiquense, en consulta. No fue hasta que hizo las sumas que cayó en cuenta de una estafa. “Tenía un cargo mensual por 120 pesos que yo jamás hice”, relata.

No solo se trataba de un cargo no reconocido a su tarjeta de nómina, sino que ese cobro se venía haciendo desde hace cuatro meses. Al preguntar en el servicio telefónico de su banco, le indicaron que se trataba de un “servicio de transporte”, sin dar más especificaciones. “Metí el reclamo al banco, pero hasta ahorita no me han respondido”, dice.

El acceso ilegal a los datos de una tarjeta bancaria, ya sea de crédito o de débito, es una forma de estafa cibernética que continúa creciendo en México y se le conoce como carding. De acuerdo con datos de la Comisión Nacional para Protección y Defensa de los Usuarios de Servicios Financieros (Condusef), en 2020 (el último dato disponible), se registraron 16.306 denuncias por este tipo de delito. En días recientes, varias delegaciones de la Condusef en varios Estados del país han alertado a sus usuarios del crecimiento de este fraude virtual.

“Estos criminales tienen varios niveles de sofisticación, van de lo muy simple a lo verdaderamente complejo”, explica en entrevista David Schekaiban, director de seguridad en la firma Código Verde, dedicada a la seguridad de la información. “Primero con programas básicos que adivinan los números a partir de los códigos de las tarjetas de los bancos, luego ataques de ingeniería social, sitios maliciosos, clones de sitios y finalmente, el ataque a empresas y bancos”, detalla.

Los fraudes del tipo carding son aparentemente inocuos para las cuentas de las víctimas. Se trata de cargos de una denominación no muy alta que se usan para pagar compras en línea o diversos servicios en los que solo falta tener los números del plástico. Así, un usuario puede estarle pagando a un criminal una suscripción a Netflix, sus viajes por aplicación en Uber o Didi o bien, la televisión por cable o el servicio de electricidad, dependiendo del tipo de cargo que se haga.

Una de las primeras fugas de información en este tipo de robo empieza por los malos hábitos de los usuarios, cuando tienen contraseñas débiles, no verifican los sitios que visitan o dan clic en falsas ofertas que llegan por mensaje de texto o correo electrónico. Según un estudio de Kaspersky, la tarjeta de crédito del 12% de los usuarios de la banca en México ha sido utilizada sin autorización. Fabio Assolini, director de Investigación y Análisis para América Latina en Kaspersky, señala que confiar ciegamente en un sitio web ingresando los datos de tarjetas de crédito es una de las formas más comunes de ser hackeado. “Una de las tácticas es el envío de correos falsos con ofertas”, comenta.

Para cometer estos fraudes, no es necesario ser un hacker o un experto en informática. Si bien, buena parte de los datos bancarios de clientes vulnerados se encuentra a la venta en la red oscura de internet, también se pueden encontrar tutoriales y consejos en foros de Reddit o de 4Chan, sin necesidad de conseguir ningún otro aditamento. “Siempre ha habido criminales que buscan los datos, pero hoy están más a la mano, desde foros públicos o hasta el acceso mediante Tor y hasta comprando dispositivos como clonadores o skimmers”, dice Schekaiban.

Pero no todo es culpa de los tarjetahabientes. El robo a las grandes empresas que almacenan los datos bancarios de millones de clientes juega un papel fundamental para los ciberdelincuentes. Por ejemplo, en 2018, Shein, el gigante textil de origen chino, fue vulnerado en un ataque, comprometiendo así los datos de 39 millones de usuarios de la plataforma, de acuerdo con una investigación de la Fiscalía de Nueva York.

Mientras algunas empresas no dan aviso a sus clientes de los ataques que reciben, los usuarios que deciden ignorar los avisos de vulnerabilidad pueden ver comprometidos sus ingresos, como el 40% de los mexicanos que tiene registrados los números de sus plásticos en aplicaciones o servicios tan comunes como Netflix. “Claro que hay una responsabilidad del usuario, pero, por otro lado, las empresas deben también de hacerse responsable de cuidar los datos de los clientes”, reflexiona Shekaiban.

Los usuarios y empresas en México siguen estando en la mira de organizaciones de criminales tan poderosas como los cárteles de drogas. Según datos de la Confederación de Cámaras Nacionales de Comercio, Servicios y Turismo (Concanaco), de los 156.000 millones de ataques cibernéticos registrados en el primer semestre de 2022 en Latinoamérica, unos 80.000 millones corresponden a México. “A mí me hicieron este fraude, pero si lo multiplicas por millones, cuánto no nos estarán robando al mes”, reflexiona Samantha, esperando que el banco responda por los cargos que no ha reconocido.

Suscríbase aquí a la newsletter de EL PAÍS México y reciba todas las claves informativas de la actualidad de este país