La escena la vivieron cientos de de argentinos. Un consumo de $3.255 en la tarjeta con el concepto "Wwwmercadopagocom". Parece una compra menor y, a la vez, parece un error tipográfico de algún comercio. Y esa es exactamente la apuesta de los estafadores.
La modalidad funciona así. Los delincuentes obtienen datos de tarjetas de crédito o débito (a través de filtraciones de bases de datos, phishing, skimming en comercios o compras en sitios falsos) y los utilizan para registrar suscripciones o débitos automáticos a nombre de empresas inexistentes o con nombres que imitan servicios reales.
Los montos son deliberadamente bajos, entre $3.000 y $20.000. Lo suficiente para pasar desapercibidos en un resumen, lo suficiente para acumularse si nadie los detecta. "Mucha gente no revisa cuidadosamente el resumen de la tarjeta y los estafadores se aprovechan de eso", advierte la licenciada en Economía Paula Pía Ariet.
El caso documentado en la ciudad de Córdoba ilustra la escala del problema. Una trabajadora de comercio detectó un débito automático de una empresa con la que nunca tuvo vínculo. Cuando fue al banco, recibió respuestas contradictorias. Cuando buscó en la web, encontró que otras personas habían sufrido descuentos idénticos el mismo día, por el mismo monto, desde la misma empresa fantasma que se presentaba como una compañía de televisión con un nombre inventado.
"Era un nombre inventado, totalmente desconocido, nunca tuve un servicio con esa empresa. Ya ahí confirmé que era una estafa", explica la víctima a iProUP. Para peor, la damnificada cuenta que "cuando denunció la maniobra, le bloquearon la cuenta".
Por qué el banco no lo bloquea automáticamente
La pregunta que se hace cualquier víctima de esta modalidad es lógica: ¿por qué el banco autoriza un débito de una empresa que no existe o con la que el cliente nunca tuvo relación? La respuesta incomoda al sistema financiero.
"Los débitos automáticos funcionan sobre una infraestructura de autorizaciones que históricamente prioriza la fluidez del procesamiento sobre la verificación de cada transacción individual", explica a iProUP el experto en consumo Gabriel Meloni.
Una empresa registrada en el sistema de pagos puede generar débitos a múltiples tarjetas con relativa facilidad. El banco no verifica en tiempo real si el cliente autorizó específicamente ese vínculo. Asume que, si el débito llegó, es porque hay una relación previa.
A todo esto, la Defensoría del Pueblo de CABA advirtió sobre el incremento de reclamos por débitos y movimientos desconocidos en tarjetas de crédito, donde muchos usuarios afirman haber realizado pagos pero igual observan cómo aparecen nuevos cargos.
La UFECI registró 34.468 reportes por delitos informáticos en 2024, con un crecimiento interanual del 21,1%. El fraude en línea representó el 63% de esos casos, con 21.729 denuncias. Los débitos automáticos fraudulentos son una variante de ese universo que resulta especialmente difícil de detectar porque no genera alertas de seguridad: técnicamente, el cargo se procesa de forma normal.
Cómo evitar una estafa
Si revisás tu resumen y encontrás un cargo desconocido (especialmente si tiene nombre de empresa vago, URL como nombre comercial o se repite en fechas fijas) el protocolo es este, en ese orden:
- Avisar inmediatamente a la tarjeta. Llamar al número del dorso de la tarjeta o ingresar a la app del banco y reportar el consumo como "desconocido" o "no reconocido". Hacer el reclamo formal y pedir el número de caso. Ese número es crucial para los pasos siguientes
- Solicitar la baja del plástico y la emisión de uno nuevo. Si el fraude se produjo con los datos de la tarjeta, esos datos están comprometidos. Pedir la cancelación de la tarjeta actual y la emisión de una nueva con número diferente es la única forma de cortar el ciclo de débitos futuros
- Desconocer cada consumo fraudulento formalmente. No alcanza con llamar una vez. Cada débito que aparezca en el resumen debe ser desconocido por escrito, para que el banco tenga obligación de gestionar el contracargo con la empresa emisora del cargo
- Presentar denuncia ante el BCRA si el banco no resuelve. El BCRA actúa como segunda instancia de resolución. Si transcurrieron al menos 10 días hábiles desde el reclamo ante la entidad sin solución satisfactoria, el afectado puede presentar su caso en bcra.gob.ar con el número de reclamo del banco, descripción de los hechos, montos y fechas. Si el problema persiste tras la intervención del BCRA, el caso se deriva a la Dirección Nacional de Defensa del Consumidor
- Denuncia penal. En casos de ciberdelincuencia o estafas cometidas a través de medios electrónicos, se puede contactar a la Unidad Fiscal Especializada en Ciberdelincuencia (UFECI). El BCRA recomienda actuar con rapidez porque estas acciones permiten mitigar el impacto del fraude y contribuir a la investigación. También se puede denunciar en la fiscalía más cercana, como hizo la víctima de Córdoba
Cómo detectar el fraude antes de que se acumule
El mejor momento para actuar es antes de que el débito se consolide. La imagen que abre este artículo muestra exactamente esa ventana: un cargo "pendiente" significa que el comercio aún no confirmó el consumo. En ese estado, el banco todavía puede bloquearlo antes de que afecte el resumen.
Las señales que deben activar la alerta inmediata son estas:
- Nombre del comercio que parece una URL o tiene formato de dominio web (como "Wwwmercadopagocom" en lugar de "Mercado Pago")
- Monto exacto y redondo en pesos sin centavos o con centavos idénticos en distintos meses
- Empresa que no aparece en ningún buscador como prestadora de servicios en Argentina
- "Cuando hay un cargo que se repite en la misma fecha del mes sin que el cliente lo haya autorizado conscientemente", agrega el experto en ciberseguridad Enrique Nievas
- El patrón más revelador es la coincidencia de montos y fechas con denuncias de otros usuarios en plataformas como "Tu Queja Suma" o en foros de redes sociales
El BCRA recomendó específicamente activar el doble factor de autenticación en todas las aplicaciones disponibles, utilizar contraseñas seguras y cambiarlas con frecuencia, no guardarlas en navegadores y evitar operar servicios financieros desde redes wifi públicas. También sugirió no abrir enlaces recibidos por WhatsApp o mensajería aunque parezcan provenir de fuentes confiables: el phishing sigue siendo la vía más frecuente de robo de datos de tarjetas.
El banco también tiene responsabilidad
Un punto que la víctima de Córdoba señaló con claridad merece atención: "Lo llamativo es que el banco está permitiendo esto". No es una opinión sin fundamento jurídico.
El sistema de tarjetas de crédito, compra y débito se rige por la Ley 25.065. Para las infracciones en materia financiera, la autoridad de aplicación es el Banco Central. Para las comerciales y de consumo, la Dirección Nacional de Defensa del Consumidor. Eso significa que si el banco procesó un débito sin que el cliente haya autorizado el vínculo con esa empresa, y no lo revierte dentro del plazo establecido, la entidad puede ser pasible de sanción.
La ley establece que el titular de una tarjeta tiene derecho a impugnar cargos dentro de los 30 días de recibido el resumen. El banco tiene la obligación de investigar y resolver el reclamo. Si la empresa emisora del débito no puede acreditar que el cliente autorizó el servicio, el cargo debe ser revertido. El problema es que muchas víctimas no conocen ese derecho o se desalientan con la primera respuesta evasiva de la entidad.
La arquitectura de esta estafa es simple y eficiente. Apostar a que la mayoría de las personas no revisa su resumen de tarjeta con atención, y las que lo hacen asumen que es un error y no reclaman. Un débito de $3.000 por mes, replicado en 10.000 tarjetas, genera $30 millones mensuales sin que la mayoría de las víctimas haga nada.
La solución no requiere tecnología sofisticada ni cambios regulatorios urgentes. Requiere un hábito: revisar el resumen de tarjeta cada mes, línea por línea. Desconocer cualquier cargo que no se pueda identificar con precisión. Actuar en los primeros días, cuando el cargo todavía puede estar "pendiente" y la ventana de intervención está abierta.
El sistema financiero tiene herramientas para frenar esta modalidad. Las usa cuando la presión del cliente lo obliga. Y esa presión empieza con un llamado al banco que muchos nunca hacen.
