GUÍA DE AUDITORÍA FORENSE DEL FRAUDE

CON TARJETAS DE CRÉDITO Y DÉBITO

CONTENIDO

Introducción: los sistemas de tarjetas de crédito y débito. Vulnerabilidades ............ 3

Fraude en el procesador ................................................................................................. 4

Fraude del comerciante ................................................................................................... 6

Fraude del tarjeta habiente o sobre sus tarjetas ........................................................... 7

Fraudes de “cuña” ......................................................................................................... 10

Fraude en el Banco o Entidad Financiera .................................................................... 12

Fraude con cajeros automáticos .................................................................................. 20

Prevención y detección del fraude con tarjetas de crédito y débito .......................... 27

www.auditool.org 2
 GUÍA DE AUDITORÍA FORENSE CON TARJETA DE DÉBITO Y CRÉDITO

Introducción: los sistemas de tarjetas de crédito y débito. Vulnerabilidades

Semejanzas y diferencias entre una tarjeta de débito y de crédito

Una tarjeta de débito es un instrumento, normalmente extendido a sus clientes por un Banco
u otra Entidad Financiera, con el propósito de:

• Operar en Cajeros Automáticos (ATM – Automated Teller Machines), ya sea para

consulta de saldos, depósitos, extracciones, pago de servicios, transferencias entre
cuentas y, en general, la mayoría de las operaciones que pueden cursarse en tales
instituciones físicamente, por la concurrencia a una sucursal, o por Internet
• Realizar compras en comercios habilitados

En tal sentido, las prestaciones de una tarjeta de débito no se diferencian de las de una
tarjeta de crédito, que permiten realizar las mismas operaciones. La diferencia entre ambas
es que las operaciones con tarjeta de débito impactan inmediatamente (o al menos, así
debería ser, aunque pudiera no serlo, dependiendo del procesamiento en la red).

Por su parte, las tarjetas de crédito generan una deuda al cliente respecto del Banco o
Entidad Financiera emisora, la cual debe cancelarse total o parcialmente con cierta
periodicidad, que puede ser quincenal o mensual dependiendo de la costumbre prevalente
en la plaza financiera de que se trate.

Tanto los sistemas que operan con tarjetas de débito como de crédito pueden ser cerrados
o abiertos.

• Sistemas cerrados. Se trata de una única Entidad Financiera que opera una tarjeta,
bien sea ésta de débito o de crédito. Un sistema muy conocido de tarjeta de crédito
cerrado fue originalmente la tarjeta Diners, que con el tiempo devino en un sistema
abierto, cuyo concepto definiremos seguidamente.

www.auditool.org 3
• Sistemas abiertos. En este caso existe un procesador, que es una institución que
realiza el procesamiento de las transacciones y adhiere, por medio de contratos
específicos, a tres tipos de afiliados:

o Bancos emisores de tarjetas, operadores de ATM y pagadores de comercios

adheridos
o Comercios adheridos, que aceptan que los clientes que dispongan de la
correspondiente tarjeta de débito o crédito la utilicen como medio de pago, y
o Socios o clientes, que son quienes obtienen una tarjeta de débito o crédito en un
Banco o Entidad Financiera

De modo que, en su expresión más amplia, un sistema de tarjetas de débito y crédito abierto
que opera ofreciendo servicios de cajero automático y compras en comercios, así como
extracciones de efectivo en ambos (cajeros automáticos y comercios), los fraudes pueden
cometerse por:

• La organización procesadora como tal, o personal infiel de la misma, en perjuicio de

los restantes componentes del sistema: Entidades Financieras, comercios y clientes
• Por las Entidades Financieras como tales o personal infiel de la misma, en perjuicio
del sistema procesador, comercios o clientes
• Por los funcionarios bancarios que operan los ATM
• Por los comerciantes en perjuicio del sistema procesador, su Banco o los clientes que
han realizado transacciones en su comercio
• Por los socios, clientes o usuarios de la tarjeta, en perjuicio de los comerciantes o de
la Entidad Financiera que les ha expedido la tarjeta

Fraude en el procesador

Es extremadamente improbable que la institución procesadora cometa un fraude como tal,

y de hecho no se tiene conocimiento de ningún caso en que esto hubiera sucedido.
Diferente es el caso de errores sin intencionalidad que causan perjuicio a las Entidades
Financieras. Es por lo tanto que los Bancos y Entidades Financieras estén alertas para
prevenir ambos, los improbables fraudes y los más probables errores del procesador de las
tarjetas.

www.auditool.org 4
Fraude del procesador

El procesador de la tarjeta de débito o crédito dispone de información, alguna de ella

provista por el Banco o Entidad Financiera, que implicará un efecto económico para la
Entidad Financiera y/o para sus clientes.

Por caso, el procesador puede aplicar un cargo por transacciones procesadas o tarjetas
emitidas, y deliberadamente sobrefacturarlo en exceso de las condiciones contractuales
pactadas, generándose así un beneficio y perjudicando a sus Entidades Financieras
adheridas. Como las Entidades Financieras practican un control sobre la información de
soporte de la facturación del procesador, este posible fraude sería rápidamente detectado,
lo cual es la razón más probable para que no me haya tocado conocer ningún caso.

Sí es más factible que el procesador cometa errores que pueden generar un perjuicio severo
a las Entidades Financieras adheridas a su sistema, a los clientes y comercios, o a todos
ellos. Por caso:
• Errores en tipos de cambio aplicables para operaciones en moneda extranjera
• Errores en las tasas de interés aplicables para la financiación de saldos de tarjetas de
crédito
• Errores en la carga de parámetros de las tarjetas de crédito, tales como el pago mínimo
que debe atender cada usuario mensualmente

Si bien estos errores no son a primera vista fraudulentos, en la medida en que el procesador
no encuentra ningún beneficio y sí más bien un daño reputacional en su comisión; si son
litigiosos, porque si el procesador niega su responsabilidad a la Entidad Financiera deberá
reclamársela y, eventualmente, comprobarla en una instancia judicial.

Fraude del personal del procesador

Distinto es el caso de fraudes cometidos por personal infiel del procesador, que pueden, y
de hecho han incurrido en conductas tales como:

• Proveer información de datos de clientes a la delincuencia organizada para generar

tarjetas “clonadas” con datos correspondientes a clientes reales

www.auditool.org 5
• Manipular transacciones con sus propias tarjetas o las de allegados para no recibir
cargos por extracciones o compras realizadas, diferir su pago o computarlas
incorrectamente en su propio beneficio

Fraude del comerciante

Al igual que en el procesador y el Banco o Entidad Financiera, también los fraudes del
comercio pueden ser cometidos por este como tal, o por un empleado infiel en perjuicio de
su empleador.

Fraude del comercio

El fraude más común del comerciante es cargar en la cuenta de tarjeta habientes

operaciones que nunca se realizaron, o cuya contra prestación no fue completada, o que
fue pactada en diferentes condiciones, como, típicamente, por un importe menor. Si bien
esta era una modalidad más fácilmente ejecutable en un entorno de cupones de compra
impresos en papel y se redujeron con la masificación de los POS, las transacciones por
Internet han vuelto a presentar la oportunidad, para los comerciantes inescrupulosos, para
ejecutar este tipo de fraudes.

El POS, inversamente, facilitó la captura de información de tarjeta habientes por los

comerciantes para proceder con la clonación de tarjetas, el otro fraude común de parte de
los comerciantes

Fraude de los empleados del comercio

Un mecanismo del que pueden disponer los empleados infieles para sustraer efectivo de la
caja es sustituir ventas cobradas en efectivo por transacciones falsas con tarjetas de
crédito. De tal forma, el arqueo no registra novedades, pero luego las operaciones ficticias
son reclamadas por los tarjeta habientes. En cuyo caso, el empleado infiel cuenta aún con
el recurso de argumentar ante su empleador que quien está accionando fraudulentamente
es el cliente que desconoce la compra realizada.

www.auditool.org 6
La circunstancia desafortunada para los comerciantes es que, ante recurrentes casos de
fraudes originados en un mismo comercio tanto los procesadores como los Bancos o
Entidades Financieras optan por cancelar el vínculo comercial imputando la responsabilidad
al propietario del comercio, sin entrar a analizar si este fue o no victimizado por alguno/s de
su/s dependiente/s.

Fraude del tarjeta habiente o sobre sus tarjetas

El fraude más característico del tarjeta habiente es el de intentar repudiar operaciones que
efectivamente ha realizado, tanto extracciones en ATM como en comercios. En ocasiones
por imposibilidad de pagarlas, y en otros casos porque tales consumos pueden generar
desavenencias familiares:

• Compras por las personas con tarjeta adicional en oposición a lo indicado por el titular
de la cuenta. En casos extremos, cónyuges que vacían la tarjeta después de una
desavenencia con su pareja
• Situaciones conflictivas como consumos que indicarían una presumible infidelidad
• Adicciones, por ejemplo, individuos que realizan consumos en estado de ebriedad y
luego no los recuerdan

Otro fraude más controvertido es cuando el tarjetahabiente (usuario de una tarjeta de

crédito o débito) extravía su tarjeta (o eso dice…) y la misma es usada con posterioridad,
pero antes que el cliente denuncie la pérdida.

Especialmente cuando el extravío es concurrente con la pérdida de documentos de

identidad

Cada uno de estos fraudes los analizaremos en mayor profundidad más adelante, en el
desarrollo de esta guía

Fraude con tarjetas nuevas, perdidas o robadas

Cuando una tarjeta de crédito se pierde o es robada, por lo regular la delincuencia la

comercializa con organizaciones delictivas en el uso de tales tarjetas.

www.auditool.org 7
El primer recaudo es de parte del usuario, que en caso de reportar el robo o extravío en el
mismo día de acontecido está cubierto ante cualquier uso no autorizado por parte del seguro
que al efecto contrata generalmente el sistema procesador de tarjetas de crédito.

También hay recaudos adicionales, tanto de parte del sistema de tarjetas de crédito como
por parte de la compañía aseguradora. En principio, los sistemas de tarjetas de crédito
tienen sistemas de inteligencia artificial que identifican consumos atípicos de sus clientes,
eventualmente contactándolos cuando los mismos se producen. A modo de ejemplo:
• Carga de combustible por montos excesivos que un conductor no podría consumir en
una sola jornada
• Más de cierta cantidad de comidas en restaurantes en el mismo día. Muy
inusualmente alguien lo hará más de tres veces
• Intento o adquisición de compra de pasajes a lugares remotos por clientes que no
tienen ese hábito de compra
• Compras en varios lugares distantes en el mismo día
• Compras de vestimentas, perfumes o artículos suntuarios de alto valor por clientes
que no tienen tal hábito de consumo

La compañía de seguros, por su parte, en casos en que la pérdida o robo de la tarjeta no

estuviera acompañada de la sustracción del documento, acudirá al comerciante para
indagar sobre el soporte de la operación. Y en caso de no contar con evidencia suficiente
de haber constatado el documento cuando por monto hubiera correspondido, rechazará el
pago y obligará al Banco a rechazar a su vez el pago de la operación al comercio
involucrado.

La otra modalidad de fraude es con tarjetas nuevas, que aún no llegaron a su destinatario.

Para reducir este riesgo, el Banco o Entidad Financiera debe:

• En las tarjetas de crédito y las de débito habilitadas para compras en comercios,
requerir la habilitación de la tarjeta una vez recibida por el usuario, confirmando
telefónicamente o por Internet datos que no pudieran ser conocidos por los empleados
de la marca procesadora que embozan las tarjetas, ni por los del Banco a cargo de la
custodia de plásticos nuevos, ni por el correo que entrega usualmente las tarjetas al
usuario

www.auditool.org 8
 • En las tarjetas de uso exclusivo en ATM, enviar separadamente al usuario el plástico
físico y la clave de acceso PIN (personal identification number)

Un recaudo complementario, para las tarjetas de crédito y débito con función de

compra en comercios, es contar con un rastreo adecuado que delimite cada entrega
con fecha y hora cierta:
• Del procesador al Banco o Entidad Financiera
• Del Banco al correo o transporte privado
• Del transporte privado al tarjetahabiente

En caso de llevarse apropiadamente este registro, y en caso de existir un consumo no

reconocido por el tarjetahabiente, podrá delimitarse claramente quién tenía la tarjeta en
custodia en ese momento.

Alteración del número de la tarjeta

Un posible fraude consiste en quitar números de la tarjeta y reemplazarlos por otros,
manteniendo un número formalmente válido pero que no se corresponde con el del titular
de la cuenta. Es de notar que este tipo de fraude no se puede aplicar en compras en
comercios con dispositivos POS, puesto que en tal caso el número de tarjeta capturado por
el comercio será el de la banda magnética, y no el físicamente visible. A menos que el
delincuente cuente con la tecnología necesaria como para alterar también dicho número y
hacerlo coincidir con el físicamente adulterado.

Tarjetas enteramente falsas

Habiendo obtenido un stock de tarjetas vírgenes y un listado de clientes válidos por parte
de empleados colusorios, ya sea en la organización procesadora o en un Banco, la
delincuencia organizada tiene la capacidad de generar tarjetas enteramente falsificadas y
con apariencia legítima. Tales tarjetas también se denominan “mellizas”, y tanto se pueden
utilizar en comercios como en ATM.

Estafas telefónicas
En otra modalidad de estafa, un estafador llama a un tarjetahabiente, bien sea porque le
consta que tiene una tarjeta o simplemente, tomando su nombre y número de teléfono del
directorio de la guía telefónica.

www.auditool.org 9
Le menciona que ha ganado un premio muy atractivo en un sorteo, y si el tarjetahabiente
da crédito a lo que el estafador le dice, le solicita los datos de su tarjeta de crédito y
personales, por ejemplo, para cobrarle un cargo administrativo mínimo para liquidar el
premio. Una vez en posesión de tales datos, el defraudador está en posición de hacer
compras telefónicas o vía web que serán cargadas en la cuenta de la víctima.

Alternativamente, el intento de estafa puede realizarse por correo electrónico o por medio
de hackers que incorporan ventanas emergentes o pop ups en ciertos sitios bajo la misma
modalidad de anunciar que la persona ha ganado un premio atractivo (un teléfono celular
sofisticado, por caso), debiendo solamente reportar sus datos de tarjeta de crédito o débito
para procesar un mínimo cargo administrativo.

Robos de identidad
Otra modalidad de fraude, cuando los delincuentes obtienen billeteras o porta documentos
perdidos o robados, es tramitar tarjetas de crédito o débito con tales documentos o con la
información por ellos provista.

Programas de computación que generan números de tarjetas de crédito válidos

En la Internet existen programas que permiten generar números válidos de tarjetas de
crédito, lo que posibilita a los delincuentes que ganen acceso a plásticos sustraídos,
robados o vírgenes para embozarlos o volver a grabarlos con dichos números, generando
así tarjetas falsas pero aptas para ser aceptadas en los comercios.

Fraudes de “cuña”
Este tipo de fraude se puede perpetrar de dos formas:
• Almacenando datos de tarjetas válidas para luego replicarlas
• Interceptando las comunicaciones entre el comercio y el sistema de autorización del
procesador

Veamos cada una de ellas:

www.auditool.org 10
Almacenando datos de tarjetas válidas para luego replicarlas

Bajo esta modalidad, que tiene lugar mayormente en comercios en los cuales el cliente no
visualiza el momento en que se procesa la transacción (por ejemplo, en restaurantes), el
empleado infiel puede ingresar primeramente la tarjeta en un dispositivo que captura los
datos, y recién luego procesar la operación genuina.

Los datos son luego vendidos al crimen organizado especializado, que produce tarjetas
duplicadas para su uso fraudulento. Debido a que pueden pasar varios meses entre el
momento de captura de los datos y que los cargos fraudulentos se hacen conocidos por el
usuario legítimo de la tarjeta, identificar la fuente original en la cual se copiaron
originalmente los datos puede ser extremadamente dificultoso.

Otros lugares en los cuales se pueden capturar datos de tarjetas de crédito y débito para
luego replicarlas y generar operaciones fraudulentas son:

• ATM o cajeros automáticos, particularmente los ubicados en locaciones no bancarias,

como por ejemplo: Gasolineras

Interceptando las comunicaciones entre el comercio y el sistema de autorización del

procesador

Bajo esta modalidad, que fue conocida en el Reino Unido, se inserta un dispositivo entre el
punto de venta usado por el comercio y la entidad procesadora de tarjetas de crédito. Este
dispositivo autoriza transacciones cuyo PIN (número de identificación personal) es erróneo,
como si fuera válido. De tal forma, se pueden cursar exitosamente transacciones
fraudulentas con tarjetas duplicadas o mellizas cuyo PIN se desconoce.

Fraude de comercio
En ocasiones, el comerciante forma parte de una red criminal dedicada a cursar
operaciones fraudulentas.

www.auditool.org 11
Esto puede realizarse, en lo esencial, bajo dos modalidades:

Usando o vendiendo datos de transacciones reales cursadas en el comercio

El comerciante puede generar transacciones fraudulentas sobre tarjetas de clientes que

cursaron realmente operaciones en su negocio, o para reducir posibles conflictos y
reclamos, puede vender los datos a la delincuencia organizada especializada en el fraude
con tarjetas de crédito, tal como ya hemos visto que pueden hacerlo sus empleados.

Cursando falsamente operaciones que no fueron realmente realizadas

En este caso, el comerciante fraudulento no corre un riesgo financiero, habida cuenta que
realmente no realizó ninguna venta, de modo que si la operación resulta rechazada no
habrá experimentado ninguna pérdida. Por el contrario, si la operación le es abonada y el
reclamo llega posteriormente o no llega, habrá obtenido el resultado esperado: siempre y
cuando su negocio principal sea el delito y la actividad comercial sea solamente una
fachada. En caso contrario, puede sufrir un perjuicio severo si la tarjeta lo inhabilita y
emprende acciones legales por estafa.

En un caso, el crimen organizado logró victimizar a un Banco emitiendo una tarjeta de

crédito para un fallecido, que registraba inmediatamente antes de su deceso altos ingresos
y un impecable registro crediticio. Posteriormente, la tarjeta en cuestión fue canalizada en
operaciones ficticias en numerosos comercios colusorios (de fachada).

Fraude en el Banco o Entidad Financiera

Fraude del Banco o Entidad Financiera

Aun cuando pudiera parecer que, si no hay fraude de los procesadores respecto de sus
Entidades Financieras adheridas tampoco debiera acontecer en sentido inverso. Por
sorprendente que resulte, sí existe el fraude de Entidad Financiera contra el procesador.

En un caso, un Banco se adhirió a sí mismo como comercio en una categoría arancelaria

sumamente baja.

www.auditool.org 12
Adhirió comercios como Banco pagador a la categoría arancelaria que le correspondía a
cada uno de ellos, y recibía sus presentaciones para liquidarles los pagos. Pero cursaba
tales pagos a través del comercio ficticio, y cuando recibía los fondos por tales
transacciones, pagaba el importe correcto a sus comercios adheridos y retenía para el
Banco la diferencia de arancel.

Esto fue posible debido a que, en aquel entonces, no existían los dispositivos POS – (Point
of Sale, punto de venta) que existen actualmente. Las operaciones de tarjeta de crédito se
documentaban en un cupón en papel y el comercio las presentaba en su Banco pagador,
generando así la posibilidad de la intermediación ficticia.

El fraude fue detectado por la entidad procesadora debido a que:

1. El 85% de las operaciones correspondientes al Banco fraudulento se cursaban a través
de un único comercio, y
2. La dirección del comercio fraudulento era la de la Casa Matriz del Banco

Fraude del personal del Banco

Cuando los fraudes con tarjetas de crédito o débito son perpetrados por personal infiel del
Banco o Entidad Financiera, rara vez afectan al sistema procesador, pero sí pueden afectar
al propio Banco o Entidad Financiera en la cual prestan servicios, a los comercios adheridos
al sistema y a los tarjeta habientes, que es otro término para referirse a los clientes, socios
o usuarios

Típicamente, tales fraudes son:

• Otorgamiento irregular de tarjetas a personas inexistentes o insolventes
• Alta de comercios inexistentes o irregulares para la comisión de fraude
• Envío deliberado de información errada o faltante al procesador para beneficiar a
ciertos usuarios o comercios colusorios con el/los empleados infiel/es

Fraude del personal bancario en la operación del ATM

Los ATM son dispositivos muy sensibles, en la medida en que administran dinero.

www.auditool.org 13
Los fraudes que se pueden cometer sobre ellos por personal bancario son vastos:

• Reaprovisionamiento ficticio o parcial por personal que surte de efectivo al ATM fuera
del horario correcto
• Reaprovisionamiento con billetes de distinta denominación a la correcta por parte del
Tesorero de la sucursal. A tal efecto, existe un dispositivo, llamado “control de
opacidad”, que identifica las denominaciones de billetes, pero puede ser manipulado
si existe intención fraudulenta
• Sustracción de los depósitos en efectivo en Bancos o Entidades Financieras que no
dispongan de dispositivos para contar y acreditar tales depósitos a los clientes en
tiempo real
• Sustracción de tarjetas retenidas

Fraude de terceros en o sobre el ATM

El ATM, como dispositivo contenedor de valores y procesador de transacciones, es un

blanco atractivo para la delincuencia y el vandalismo. Algunas de las modalidades son:

• Obtención de claves y tarjetas de clientes que concurren al ATM, por vía de:
o Cámaras y dispositivos instalados al efecto (con o sin complicidad del personal
bancario)
o Observación visual. Existen individuos que tienen la capacidad de saber qué
clave se está ingresando por los movimientos que realiza el cliente al operar el
ATM. Posteriormente, un cómplice roba la tarjeta de forma violenta y ya la clave
está en conocimiento de ambos
o Ingeniería social. Personas que solicitan la clave a clientes inexpertos e incluso
le sustraen parte del efectivo con distracciones

• Sustracción violenta del tesoro del ATM por medios mecánicos. Incluso, con grúas
• Mero vandalismo a los ATM por razones políticas o terrorismo. Ciertos ATM son muy
relevantes para una comunidad en razón de un feriado bancario, o la distancia a la
sucursal más próxima, o un período de gran movimiento de efectivo como el cobro de
haberes o períodos vacacionales en una locación turística

www.auditool.org 14
Como ya se ha mencionado, es extremadamente infrecuente que un Banco o Entidad
Financiera como tal cometa fraude contra el sistema procesador de tarjetas de crédito.
(Salvo el caso ya mencionado del Banco que adhirió fraudulentamente un comercio para
aprovecharse de la diferencia entre aranceles cobrados a los comercios y el arancel más
bajo que correspondía al supuesto rubro del comercio ficticio).

Pero es en cambio relativamente frecuente que los empleados del Banco cometan fraude
con tarjetas de crédito y débito, debido a que se encuentran en una posición privilegiada
para ello. Algunas modalidades son:

• El otorgamiento de tarjetas de crédito a personas conocidamente insolventes e

incluso inexistentes, particularmente por gestión de vendedores retribuidos con base
a comisión por ventas
• El uso fraudulento de tarjetas no recibidas por los clientes, no retiradas o devueltas
• El alta fraudulenta de comercios a sabiendas de que son fachada de operaciones del
crimen organizado
• El alta fraudulenta y colusoria de comercios para beneficiarlos con un arancel de
ventas inferior al que correspondería en virtud de la naturaleza de sus operaciones.

Prevención del fraude con tarjetas de crédito y débito en los Bancos y Entidades
Financieras

Programas de capacitación

Tanto los cajeros del Banco o Entidad Financiera como los comerciantes deben recibir
información e instrucciones sobre cómo proceder ante sospechas de fraude, conforme lo
detallado precedentemente.

Monitoreo de operaciones

Eventualmente con el uso de sistemas expertos e inteligencia artificial, tanto los

procesadores de sistemas de tarjeta de débito y crédito como los Bancos y Entidades
Financieras integrantes del sistema deben monitorear los consumos realizados por sus
tarjetahabientes adheridos y las ventas cursadas por sus comerciantes afiliados.

www.auditool.org 15
Particular atención deben recibir:

• Consumos fuera del patrón usual del tarjetahabiente, según se mencionó

precedentemente
• Incremento inusual de operaciones, tanto en el caso de tarjetahabientes como de
comercios
• Operaciones individuales de valor inusual para el tarjetahabiente o comercio

Investigación de fraudes

Es virtualmente imprescindible que los Bancos y Entidades Financieras que operan en

sistemas de tarjetas de crédito y débito cuenten con personal con experiencia en
investigaciones de fraudes contra el sistema financiero, idealmente retirados de fuerzas
policiales o de seguridad, con buenos contactos en su respectiva institución.

Adicionalmente, los sistemas informáticos, tanto del procesador como de los Bancos o
Entidades Financieras adheridos, deben proveer al área de investigaciones de información
sobre transacciones sospechosas y la posibilidad de investigar posibles patrones de fraude.

Adicionalmente a ello, es importante que tanto los sistemas de tarjeta de crédito y débito
como los Bancos y Entidades Financieras que participan de ellos entiendan debidamente
que no es pertinente competir ocultando información sobre fraudes al resto del mercado,
sino que el esfuerzo contra la delincuencia organizada debe ser cooperativo para ser
exitoso. El éxito en la prevención no es lograr que la delincuencia victimice a otro Banco u
otro sistema de tarjetas, sino que el fraude sea castigado, y el producto sea recuperado y
finalmente la actividad abandonada por los criminales por ser demasiado riesgosa en
relación con su producido.

Características de seguridad física en tarjetas VISA y Mastercard

• BIN – Bank Identification Number, Número de identificación bancaria. Debajo de los

cuatro primeros dígitos de la tarjeta, los plásticos de VISA y Matercard tienen un
número pre- impreso que debe coincidir exactamente con el número embozado.

www.auditool.org 16
 En caso de diferir, es indicativo de que el número de la tarjeta de débito o crédito ha
sido adulterado.
• Los números embozados deben estar correctamente alineados en el mismo tamaño
y estilo.
• Si hay “imágenes fantasma” detrás de los números, se evidencia que la tarjeta ha sido
re-embozada. En tal caso, puede suceder que el holograma haya resultado dañado.
• Evaluar si hay signos de alteración en la fecha de expiración, y no aceptar en ningún
caso tarjetas con fecha de expiración vencida.
• El holograma debe tener movimiento tridimensional
• Las tarjetas Mastercard comienzan con un número 5 y tienen 16 dígitos, alineados en
cuatro columnas de cuatro dígitos cada una
• Los paneles de firma de VISA y MASTERCARD tienen un fondo característico e igual
para todas las tarjetas de la misma marca
• Hay marcas solo visibles bajo luz ultravioleta tanto en el caso de Mastercard (MC) y
una paloma en el caso de VISA
• Debe haber números impresos en el panel de firma que coincidan con los embozados
en la tarjeta
• Un suave movimiento de la tarjeta debe hacer visible un movimiento tridimensional en
el holograma en las tarjetas auténticas

Características de seguridad de AMEX- American Express

• Utiliza tinta ultravioleta solo visible a la luz negra, bajo la cual aparecen las letras
AMEX y una fosforescencia en la cara del centurión
• Se emplean 15 dígitos, la mayoría de las tarjetas inician con 37, y algunas con el
número 34, un espacio para la firma y una limitada edición que inicia en 1988
• Un número de cuenta duplicado aparece en el reverso de la tarjeta para asegurar que
el número impreso en el frente de esta no ha sido alterado

Hologramas

Si bien al surgir los hologramas la seguridad de las tarjetas de débito y crédito que lo utilizan
se incrementaron apreciablemente, hace ya tiempo que ha surgido una industria de
falsificación de hologramas, principalmente en China y el sudeste asiático.

www.auditool.org 17
La delincuencia organizada dedicada a la falsificación y adulteración de tarjetas de crédito
tiene nexos con los falsificadores de hologramas para mejorar la calidad de sus
falsificaciones y adulteraciones, especialmente cuando se trata de tarjetas respecto de las
cuales espera sacar un rédito considerable a través de su circulación.

Bien sea por su alto límite de autorización, o porque el tipo de tarjeta de que se trata no es
frecuentemente monitoreado para detectar uso fraudulento.

Panel de firma

Uno de los controles o recaudos que deben tomarse al cursar una operación con tarjeta de
crédito o débito, y cuando se requiere firma, es comparar la firma en la tarjeta con la del
comprobante de transacción y el documento de identidad. Es de destacar que en muchas
ocasiones este control se realiza solo parcialmente, comparando la firma de la tarjeta con
la del comprobante, o sin comparar firmas en absoluto. En los peores casos, ni siquiera se
solicita el documento de identidad. En otros casos, el sistema no requiere la firma del
comprobante.

También debe tomarse nota y eventualmente negarse a cursar operaciones en las cuales
el panel de firma está dañado y/o la firma borroneada.

Activación de la tarjeta de crédito

En un esfuerzo para restringir el creciente fraude con tarjetas de crédito utilizadas antes de
su recepción por el tarjetahabiente, los sistemas emisores no activan las tarjetas
embozadas y enviadas al cliente sino hasta que el usuario las activa.

Para ello, el mecanismo más frecuente es requerirle que haga una llamada telefónica en la
cual se le realizan algunas preguntas personales que ordinariamente no debería conocer
un ladrón de tarjetas de crédito y que se han puesto previamente en conocimiento del
sistema de tarjetas de crédito. Tales datos se pueden emplear también con posterioridad
para transacciones delicadas que el tarjetahabiente pudiera querer cursar a lo largo de la
vida activa de la tarjeta, tales como el cambio de PIN o la denuncia por extravío o robo.

www.auditool.org 18
Límites de compra y de uso

En su forma más elemental, los sistemas informáticos de los procesadores limitan el valor
monetario de las compras que un determinado usuario puede realizar en un lapso diario y/o
mensual. Complementariamente, también se puede limitar la cantidad de transacciones que
se pueden efectuar, superadas las cuales la tarjeta se bloquea automáticamente para el
uso.

En formas más sofisticadas con uso de inteligencia artificial, y como ya se ha mencionado

anteriormente, el sistema identifica patrones de actividad inusual para el usuario de que se
trate, dando lugar a que eventualmente el Banco o el sistema de tarjetas de crédito contacte
al usuario para confirmar dichas transacciones y, eventualmente, bloquee la tarjeta en caso
de no tener éxito en tales intentos de contacto.

Control del comercio en el punto de venta

En tanto que el surgimiento de los dispositivos POS – Point of Sale, Punto de Venta,
representó un gran avance de seguridad puesto que los datos se capturan de la banda
magnética y no del embozado físico de la tarjeta de crédito o débito. Es obviamente mucho
más difícil para los falsificadores generar un número falso de embozado, lo cual requiere el
acceso a un dispositivo especializado, que adulterar los números del embozado físico. Sin
embargo, si no existe un operador humano junto al POS y se discontinúan los controles
manuales de documento de identidad y firma hológrafa en el momento de cursar la
transacción, un delincuente que hubiera ganado acceso al dispositivo de falsificación de
banda magnética tendría el campo allanado para usar libremente la tarjeta falsificada o
adulterada.

Peor aún: podría operar incluso con una tarjeta blanca que solamente tuviera una banda
magnética aceptable para el sistema procesador.

Es por ello por lo que la situación más segura, tanto para el comerciante como para el
tarjetahabiente, es aquella en la cual quien opera el dispositivo POS es un operador humano
que al ingresar la transacción realiza los controles manuales de verificación de documento
y firma.

www.auditool.org 19
Pedidos por Internet

Originalmente, los pedidos por Internet representaban un gran riesgo de fraude, tanto para
el comerciante como para el tarjetahabiente. En el primer caso, por el uso de tarjetas
falsificadas o adulteradas. En el segundo caso, por la posible captura de información de
tarjeta por el comerciante para ulteriores transacciones fraudulentas.

Es por ello por lo que, en la actualidad, las compañías que realizan ventas por Internet
disponen de mecanismos de compra segura que les permiten asegurar a sus compradores
que sus datos han sido resguardados, al tiempo que ellos se aseguran de que las tarjetas
utilizadas están autorizadas para la operación que han realizado, reduciendo a un mínimo
los rechazos de operaciones.

Otros sistemas de pago, tales como paypal o payoneer, proveen de seguridad adicional a
los usuarios, permitiéndoles asociar su tarjeta a dichas marcas, de modo que al cursar
compras por la plataforma sus datos personales no deban ser compartidos ni siquiera con
la firma procesadora de pago seguro. Esto reduce otro de los riesgos eventuales de las
compras por Internet, que es el ataque de “man in the middle” (hombre en el medio), por el
cual un hacker o atacante se coloca entre el tarjetahabiente y el sitio de pago capturando
sus datos y pudiéndolos así utilizar en transacciones fraudulentas ulteriores.

Fraude con cajeros automáticos

El fraude en cajeros automáticos puede realizarse bajo diversas modalidades:

• Uso indebido de tarjetas: tarjetas nuevas, extraviadas, robadas, retenidas y vencidas.

Tarjetas duplicadas o falsificadas
• Fraude por otro usuario o personal del Banco o Entidad Financiera en el ATM
• Manipulación del ATM por personal del Banco

Analicemos cada una de estas modalidades:

www.auditool.org 20
Uso indebido de tarjetas: tarjetas nuevas, extraviadas, robadas, retenidas y vencidas.
Tarjetas duplicadas o falsificadas

Tarjetas nuevas

El uso de una tarjeta aún no entregada al tarjetahabiente en un ATM es más crítico que en
un comercio, puesto que no hay un comercio que valide firma y documento de identidad.
Solamente un dispositivo mecánico que valida un PIN, personal identification number,
número de identificación personal. Por lo cual la asignación del PIN inicial es un tema crucial
de seguridad.

Un mecanismo frecuentemente utilizado por los Bancos y Entidades Financieras por

motivos de seguridad para tal asignación inicial de la clave de seguridad es generar una
clave al azar y remitirla en un sobre inviolable al destinatario por vía separada a la del envío
de la tarjeta. Esto presenta algunos asuntos que considerar:

1. El envío separado de la tarjeta plástica y su clave de acceso inicial hace que el

tarjetahabiente no pueda operar hasta disponer de ambos, tarjeta y clave.

En los casos en que el cliente recibe la tarjeta plástica pero no la correspondiente

clave de acceso inicial, el Banco o Entidad Financiera debe disponer de un
procedimiento para asignar una clave al usuario. Regularmente esto de realiza por un
“blanqueo” de PIN, que es requerido por un funcionario autorizado para que el cliente
pueda iniciar su operación con cualquier PIN y reemplazarlo en la primera transacción
que realice. Lo mismo sucede cuando el cliente olvida o extravía el PIN.

Pero el inconveniente de seguridad que plantea el blanqueo de PIN es que dicho

blanqueo pueda efectuarse fraudulentamente, y de ese modo habilitar el uso
fraudulento de la tarjeta.

El recaudo principal para reducir este riesgo es que los funcionarios bancarios
habilitados para autorizar el blanqueo de PIN no estén habilitados para entregar,
custodiar ni recibir tarjetas de clientes, bajo ninguna circunstancia.

www.auditool.org 21
 Infortunadamente, las múltiples situaciones que pueden darse en la relación
comercial hacen que lo más probable es que quienes están facultados para gestionar
el blanqueo del PIN se encuentren en algún momento en posesión de las tarjetas de
clientes

2. La generación de la clave inicial de clientes debe ser generada por un algoritmo,

impreso y ensobrado. En este proceso es perfectamente posible que personal de la
empresa procesadora de las tarjetas pueda conocer qué clave inicial le corresponderá
a una tarjeta determinada y:

a. Interceptar la tarjeta física, o

b. Generar un duplicado de esta y usarlo fraudulentamente antes de su recepción
por el tarjeta habiente

Tarjetas extraviadas o robadas

El uso en ATM de una tarjeta robada o extraviada difícilmente resulte exitoso, porque el
delincuente normalmente no tendrá acceso al PIN requerido para utilizarla. A menos que:

1. El tarjetahabiente haya sido tan imprudente como para anotar el PIN en la tarjeta o,
eventualmente, en la billetera o cartera junto con la cual le sustrajeron dicha tarjeta,
o, alternativamente
2. Que el tarjetahabiente sea conducido con violencia o intimidación a realizar las
extracciones en ATM por los delincuentes. En tal sentido, los Bancos y Entidades
Financieras adoptan por lo regular el recaudo de limitar la extracción diaria por ATM
a cada tarjetahabiente, con el fin de evitar que una acción criminal pudiera derivar en
la sustracción del saldo total de la cuenta
3. La alternativa al caso anterior es el autofraude, circunstancia por la cual el
tarjetahabiente finge haber sido víctima de un acto delictivo y realiza extracciones con
la tarjeta que luego repudia. Estos casos requieren normalmente de una investigación
policial de lo sucedido que pueden exceder de las posibilidades del Banco o Entidad
Financiera, y que requieren de una buena coordinación de la Entidad con las
autoridades

www.auditool.org 22
Tarjetas duplicadas o falsificadas

Una tarjeta duplicada se confecciona en base a los datos de un plástico que genuinamente
solicitó y. eventualmente, obtuvo un cliente del Banco o la Entidad Financiera. Al comenzar
a operar, el tarjetahabiente recibirá cargos en su cuenta, tanto por sus transacciones
efectivamente realizadas, como también por las llevadas a cabo por los delincuentes.

Una tarjeta falsificada es, en cambio, una tarjeta que ningún cliente solicitó, pero que tiene
datos válidos de algún cliente. La dificultad para el Banco o Entidad Financiera con esta
situación es que, por lo regular, las tarjetas falsificadas se apuntan hacia cuentas de escaso
o nulo movimiento y saldo significativo. De la combinación de ambas circunstancias resulta
que, para el momento en que la operación es detectada, puede haber transcurrido un
tiempo sumamente extenso y el monto defraudado haber alcanzado un importe muy
significativo.

Desde el punto de vista del delincuente, la duplicación o falsificación de tarjetas para su uso
en ATM presenta una ventaja y una desventaja respecto de la alternativa de su uso para
compras en comercios.

La ventaja para el delincuente consiste en que , en el caso de ATM, el recaudo principal y

casi único de autenticación para realizar la extracción es el conocimiento del
correspondiente PIN. En efecto: cualquiera sabe que puede prestar su tarjeta a un familiar
o conocido y facilitarle el PIN para realizar extracciones, sin experimentar dificultades. Lo
cual no es tan sencillo con la cesión de los mismos plásticos para llevar a cabo compras en
comercios.

La desventaja para el defraudador es también el PIN. En efecto: si no cuenta con el PIN de

la tarjeta, no podrá utilizarla en ATM. Ya hemos explorado cuales son las alternativas por
las cuales la actividad criminal puede sortear esta limitación.

Tarjetas retenidas

Bajo ciertas circunstancias, el ATM puede retener la tarjeta.

www.auditool.org 23
Por ejemplo:
• Exceso de intento de ingresos de PIN erróneo
• Un corte de suministro eléctrico en el momento de la operación
• Una falla mecánica o de software. No se debe olvidar que los ATM tienen un
componente electrónico pero también dispositivos mecánicos, y ambos pueden fallar,
por separado o conjuntamente

Si una tarjeta es retenida, es altamente probable que la falla le impida al ATM extender un
comprobante por la operación, con lo cual el tarjetahabiente se encuentra privado/a de su
tarjeta sin constancia alguna que acredite la circunstancia.

La recuperación de la tarjeta por su titular es un proceso que también presenta ciertas

complejidades. En primer lugar, que el Banco o Entidad Financiera no sean el mismo en el
cual el cliente realizó la apertura de su cuenta. Peor aún: que el ATM que retuvo la tarjeta
ni siquiera esté localizado en una dependencia bancaria. En cuyo caso, la primer labor del
tarjetahabiente será informarse respecto de cual es el Banco o Entidad Financiera que
administra el ATM y dónde se encuentra ubicado.

En cualquier caso, al reclamar su tarjeta el tarjetahabiente puede ser derivado a su Banco,

porque al no conocer el Banco o Entidad Financiera sus datos filiatorios, puede ser que
opte por regresar la tarjeta a su Entidad emisora.

En resumen: que la tarjeta emprende una secuencia de viajes desde el ATM en que fue
retenida, hasta una Entidad Financiera que administra dicho ATM, y desde allí a la sucursal
bancaria de la Entidad Financiera que emitió el plástico.

Recorrido en el cual quienes intervienen en la operación se encuentran en posición de

generar un duplicado de la tarjeta y, si alguno de ellos tuviera posibilidad de conocer el PIN,
incluso de operar fraudulentamente sobre la misma.

www.auditool.org 24
Tarjetas vencidas

Finalmente, una posibilidad es que, si se descartan tarjetas vencidas sin destruirlas, sus
datos sirvan a la delincuencia para generar un duplicado válido como para poder hacer
extracciones fraudulentas en ATM.

Fraude por otro usuario o personal del Banco o Entidad Financiera en el ATM

Fraude por otro usuario

La primera, y más elemental modalidad para la comisión de fraude es que el tarjetahabiente

olvide retirar el dinero del cajero, y que el mismo sea extraído por el siguiente cliente en la
fila. Si este cliente se va del lugar con el dinero pero sin hacer ninguna operación,
prácticamente no hay manera de que el usuario damnificado tenga posibilidad alguna de
recuperar su dinero.

En fraudes más sofisticados, la delincuencia organizada introduce algún mecanismo que

impide el acceso al dispensador y concurre luego a retirar todo el dinero que los usuarios
intentaron sin éxito extraer del ATM. En este caso, procede la denuncia policial y, como la
actividad se repite normalmente en varios Bancos, es altamente probable que los
delincuentes sean capturados y parte del dinero recuperado.

La otra posibilidad es que el usuario olvide su tarjeta en un ATM y el siguiente usuario lo

note y no lo mencione. En tal caso, puede continuar la operación haciendo un retiro
fraudulento y/o cambiando el PIN. Esta posibilidad se limita bastante si el software está
debidamente configurado para que cada extracción requiera el reingreso del PIN, y lo
mismo el cambio de PIN.

Otras posibilidades son:

• Que un usuario observe el ingreso de clave por quien lo precede en la fila, o que esta
observación se haga de forma remota.

www.auditool.org 25
 Al respecto, es aconsejable para los tarjetahabientes evitar utilizar:
o Cajeros automáticos sin protección física
o Cajeros no ubicados en sucursales bancarias, especialmente los neutrales que
tampoco están ubicados en el interior de un comercio
o Evitar usar los cajeros automáticos en horarios nocturnos, días feriados y en
general cuando no hay posibilidad de obtener asistencia o auxilio y sí alto riesgo
de vandalismo
• Que un tarjetahabiente inexperto pida o le sea ofrecida ayuda para operar, ya sea por
personal bancario o por otro cliente, y que en el curso de esta le sea requerida la
clave. Esto puede dar lugar a extracciones no autorizadas o a la generación ulterior
de una tarjeta “melliza” o duplicada, apuntada a la cuenta de dicho usuario inexperto

Manipulación del ATM por personal del Banco

Administración de los depósitos

En el caso que la apertura del ATM no sea realizada, como se recomienda, por dos
funcionarios, puede suceder que quien abre el ATM sustraiga efectivo o valores
depositados y se apropie de los mismos, y niegue posteriormente que los mismos hubieran
sido depositados por los clientes que así lo declararon.

Esta posibilidad se ha reducido en tiempos relativamente recientes, por medio de

dispositivos que cuentan y validan los depósitos en efectivo instantáneamente, acreditando
en cuenta del usuario los billetes de curso legal efectivamente recibidos y rechazando los
falsos.

Configuración del control de opacidad

En el dispensador de billetes, se pueden configurar billetes de distinta denominación, que
el ATM es capaz de diferenciar de acuerdo con el llamado “control de opacidad”. Por caso,
si se cargaran billetes de 50 y de 10, y el tarjetahabiente quisiera retirar 90, el ATM le
dispensaría un billete de 50 y 4 de 10. Pero si el control de opacidad se manipula y se
cargan en el dispensador de 50 billetes de 10, en la misma transacción el cliente recibiría
50, por los 4 billetes de 10 y otro billete adicional de 10 que el ATM confundiría con un billete
de 50. En tal caso, el Tesorero podría retener para sí la diferencia entre los valores
supuestamente expendidos por el ATM y el monto real entregado a los clientes.

www.auditool.org 26
Carga de cartuchos de efectivo fuera de horario bancario
Un fraude sumamente burdo pero muy significativo se puede producir cuando el personal
que supuestamente concurre para reaprovisionar los cartuchos con efectivo fuera de
horario, en lugar de hacerlo, se roba el dinero.

Si esto sucede en horarios de muy baja afluencia de público, el Banco puede tardar días
enteros en detectar la situación, hasta el momento en que concurra. En horario bancario, el
primer cliente que intente retirar un dinero supuestamente disponible pero que en realidad
no está allí.

Prevención y detección del fraude con tarjetas de crédito y débito

Algunas señales que pueden indicar al comerciante o cajero de Banco que un cliente
posiblemente esté intentando cometer fraude con una tarjeta robada, extraviada o que no
les pertenece son:

• Compradores que extraen la tarjeta de un bolsillo en lugar de hacerlo de la billetera o

cartera
• Compran un número inusualmente elevado de artículos de alto valor
• Compran virtualmente al azar, sin reparar en la calidad ni el precio de los ítems que
van adquiriendo
• Hacen muchas compras pequeñas para mantenerse por debajo del límite de
autorización, o preguntan cuál es ese límite para requerir autorización
• Firman el comprobante de compra lentamente, o con torpeza, o vacilando, o mirando
la firma en el documento de identidad que portan
• Hacen compras de importe elevado con una tarjeta recientemente emitida
• No tienen (o dicen no tener) una identificación válida con fotografía
• Dicen al cajero o dependiente que tienen prisa
• Compran un ítem costoso y de gran volumen e insisten en llevárselo en el momento,
aun cuando el servicio de entrega esté incluido en el precio
• Se muestran irritados o frustrados con el vendedor/a cajero/a por tener que esperar
que la transacción se complete

www.auditool.org 27
 Señales que indican que la tarjeta puede haber sido adulterada o falsificada son:

• Hologramas burdos, impresos rudimentariamente

• Palabras con errores de ortografía en la tarjeta
• Panel de firma adulterado o borroneado
• Palabras pegadas
• Tarjeta descolorida
• Sectores cubiertos con cinta transparente
• Tarjetas que tienen la apariencia de haber sido re estampadas

En cuanto a los resguardos que deben tomar en cuenta los tarjetahabientes para
protegerse de los fraudes, son esencialmente los siguientes:

• Saber dónde está su tarjeta en cada momento. Evitar en cuanto sea posible entregarla
a dependientes y perderla de vista mientras se procesa la transacción
• No dejar la tarjeta de crédito ni la billetera desatendidas en el espacio de trabajo. Es
sorprendente la cantidad de fraudes con tarjetas de crédito y débito que se producen
por un hábito aparentemente tan poco riesgoso como este
• No dejar en el ATM las copias impresas de ninguna transacción, ni siquiera arrojarlos
al cesto disponible al efecto en las instalaciones del Banco, Entidad Financiera o
comercio en el cual el ATM está localizado
• No dejar a la vista el número de la tarjeta para otras personas que aquellas que la
necesitan ver para cursar las operaciones
• No arrojar recibos de transacciones en cestos de uso público tales como los
disponibles en hoteles o centros de compras
• Revisar regularmente las compras cargadas en la tarjeta o cuenta bancaria, y nunca
con periodicidad mayor a la mensual
• Firmar el panel de firma incluido en el dorso de la tarjeta tan pronto se recibe la misma,
y destruir las tarjetas vencidas inutilizando todos los números y la firma antes de
arrojarlas al cesto. Si es posible, arrojar una parte de la tarjeta en un día y la otra en
otra fecha o en otro cesto de desperdicios
• Tener un registro de todos los números de tarjetas, guardado en un lugar seguro, para
el caso de robo o extravío
• Ser cauteloso/a respecto de ofertas remitidas por correo electrónico o en la web

www.auditool.org 28
• No revelar el número de tarjeta y tampoco el código de validación (CVV) incluido en
el dorso de la tarjeta a quienes hacen ofertas telefónicas de productos o servicios
• No permitir a los vendedores anotar el número de tarjeta de compra o crédito en sus
copias de la factura
• No permitir la visualización del número de tarjeta por otras personas en lugares
públicos tales como ATM, cabinas telefónicas u otros lugares similares
• Guardar las tarjetas en una billetera o similar, que permita visualizarlas en el interior
de esta, para advertir prontamente su eventual extravío
• Asegurarse de que la tarjeta sea devuelta al finalizar cada operación, y asegurarse la
tarjeta regresada por el comercio es la propia

Documento desarrollado por:

Contador Público y Máster en Economía y Administración

Guillermo Casal
Buenos Aires, Argentina
de Empresas en Argentina. Con más de 35 años actuando
en todas las especialidades de Auditoría. Auditor interno,
externo, informático y forense. Obtuvo todas las
certificaciones del IIA (CIA, CCSA, CFSA, CGAP, CRMA).
También la CFE (Examinador de Fraudes), y la CISA
(Auditor Informático). Dedicado hace quince años a la
consultoría y capacitación. Fue colaborador de Luis
Moreno Ocampo, Exfiscal Penal de la Corte Internacional
de la Haya, y Stephen Walker, Exagente Especial del
FBI. Colaborador de www.auditool.org.

VISITA SU BLOG

www.auditool.org 29