Estas denuncias representaron un perjuicio económico de ¢5.219 millones y $3,3 millones, lo que equivale a unos ¢7.000 millones.

Según datos del Ministerio Público, el 89% de estas denuncias se concentró en cuatro entidades: el Banco Nacional de Costa Rica (BNCR), el Banco de Costa Rica (BCR), BAC Credomatic y el Banco Popular.

Aunque la mayor parte de las denuncias se centraron en estas entidades, esto no quiere decir que sean más inseguras que otras, sino que su alta concentración de clientes hace posible que en ellas se reporten más casos.

De acuerdo con Esteban Aguilar, fiscal coordinador de la Unidad de Cibercrimen del Ministerio Público, tener más clientes debería implicar un mayor compromiso por parte de estas entidades bancarias en la seguridad de los usuarios.

“Son los bancos más grandes y tienen la mayor cantidad de clientes en nuestro país, pero son entonces los que deberían ser más responsables y tener más medidas de control en favor de sus usuarios”, dijo el fiscal.

Casos en aumento

Durante el periodo de análisis se puede observar un crecimiento en la incidencia de esta criminalidad. Mientras en todo el 2023 se presentaron 2.104 denuncias, en los primeros siete meses del 2024 el número subió a 2.672, un crecimiento del 27%.

En el caso del Banco Nacional se presentaron 776 denuncias por estafas informáticas en el 2023, con un perjuicio de ¢1.306 millones y $1,2 millones. Sin embargo, de enero a julio del 2024 hubo 1.027 denuncias, con pérdidas de ¢1.177 millones y $325.882.

En el BCR, se registraron 613 denuncias en el 2023, con un total de pérdidas de ¢473 millones y $102.755. Para los primeros siete meses del 2024, este número aumentó, con perjuicios de ¢902 millones y $264.640.

Por su parte, BAC Credomatic registró en el 2023 302 denuncias, que representaron un perjuicio de ¢264 millones y $211.911. En los primeros siete meses del 2024, se contabilizaron 466 denuncias por estafas informáticas a usuarios de esta entidad, con pérdidas de ¢214 millones y $134.615.

El Banco Popular cerró el 2023 con 113 denuncias por estafas informáticas, resultando en pérdidas de ¢134 millones y $18.857. Durante los primeros siete meses del 2024, se presentó la misma cantidad de denuncias, aunque el perjuicio económico alcanzó ¢40 millones y $322.650.

En el 2023, los meses con mayor número de denuncias por estafas informáticas fueron julio y febrero; en los primeros siete meses del 2024, julio y abril encabezaron la lista.

Según Aguilar, la incidencia de denuncias en julio no tiene una explicación clara.

LEA MÁS: ¿Cómo protegen los bancos a sus usuarios de las estafas?

Métodos más comunes para estafas informáticas

Aguilar explicó que existen tres métodos que los estafadores utilizan con mayor frecuencia para quitarles dinero a las víctimas.

El más común es el farming, que consiste en crear sitios web falsos que imitan los de las entidades bancarias.

En estas páginas, los usuarios ingresan, sin saberlo, sus datos de acceso, lo que permite a los estafadores acceder a sus cuentas.

“Necesariamente utilizan (para crear los sitios) personas que tienen conocimientos informáticos. El cibercrimen es transnacional. Los grupos criminales nacionales, parece ser, se han venido aliando con estructuras criminales fuera del territorio nacional”, dijo Aguilar.

El experto destacó que se detectaron casos en los cuales los cibercriminales que robaron el dinero de usuarios costarricenses se hallaban en otros países. Asimismo, hay informes de estafas informáticas ejecutadas en naciones como Nicaragua y Panamá mientras los victimarios estaban en Costa Rica.

El segundo método más utilizado por los cibercriminales es el carding, que se dirige a tarjetas de crédito o de débito.

Este método se presenta tanto a nivel nacional como internacional. En la modalidad nacional, ocurre cuando una persona le toma una foto a la tarjeta de un tercero en el momento en el que este hace el pago, lo que les permite a los estafadores realizar compras. “Es fácil de investigar, pero se dan más casos de manera internacional”, indicó Aguilar.

En el ámbito internacional, los estafadores son ciberdelincuentes que obtienen bases de datos vulneradas de tarjetas, las cuales se venden en la dark web (parte oculta de Internet que no está indexada por los motores de búsqueda normales) o que logran obtener al vulnerar a proveedores de tarjetas para descifrar información confidencial.

“Ellos se cuidan mucho de no dejar rastro que permita identificarlos o incluso determinar desde qué parte del mundo operan”, dijo Aguilar.

El tercer método utilizado en las estafas informáticas es el vishing, conocido en Costa Rica como la llamada del falso funcionario.

En este tipo de engaños, los cibercriminales se hacen pasar por funcionarios bancarios o municipales y engañan a los usuarios para acceder a sus datos y robar su dinero.

Brecha de seguridad

Según Aguilar, aunque los bancos cuentan con mecanismos de seguridad interna bien establecidos, la verdadera brecha se halla en las plataformas utilizadas por los clientes, que dependen de la responsabilidad de los usuarios.

“Ya vimos que a los usuarios los siguen estafando, los siguen confundiendo con todas estas técnicas, pero hay algo de lo que no escapan ni el usuario ni el sospechoso y es el comportamiento”, explicó Aguilar.

De acuerdo con el fiscal, cada usuario tiene un comportamiento habitual. Los bancos saben cuánto tiempo tarda una persona en ahorrar una cantidad determinada, por lo que no sería normal que, desde un dispositivo y ubicación inusuales, se matriculen nuevas cuentas y se extraiga dinero.

“Eso no es normal, no es un comportamiento habitual y deberían detenerse, pero no pasa”, aseguró.

Normalmente, el dinero robado se transfiere a otra cuenta bancaria. Aguilar mencionó que, en la mayoría de los casos, estas cuentas pertenecen a algunos de los bancos más utilizados del país.

El uso de estas cuentas para depositar dinero robado también es anómalo, ya que, según Aguilar, estas cuentas no suelen recibir montos elevados.

“¿Qué hace una persona de estas recibiendo 1 millón, 20 millones de una persona de la que nunca ha recibido dinero? ¿Por qué no se congelan estos fondos?”, se preguntó Aguilar.

El experto indicó que estos depósitos sospechosos no se congelan porque, comúnmente, los bancos no involucran al oficial de cumplimiento, quien tiene la obligación de emitir reportes de operaciones sospechosas que deben llegar a la Unidad de Inteligencia Financiera (UIF).

“Conversando con compañeros de la UIF y validándolo con los colegas de la Fiscalía Adjunta contra Legitimación de Capitales, nos comentan que nunca se ha recibido un solo reporte de operación sospechosa vinculado a una cuenta destino por estafa informática”, aseveró Aguilar.

“No se está cumpliendo como tiene que ser, entonces creemos que algo está pasando”, agregó.

El fiscal expresó que, aunque las campañas informativas de los bancos son parte del modelo de prevención, no son efectivas y su ineficacia se refleja en los números.

“El Gobierno debería ser más robusto, generar normas que obliguen a los bancos a asumir responsabilidades por los delitos y el monto del perjuicio ocasionado a los afectados. Les estaríamos tocando el bolsillo a las instituciones financieras y probablemente veríamos un cambio”, mencionó.

Ley protegería a consumidores

Aguilar indicó que en Chile ya se implementó un modelo similar y, desde entonces, los bancos fortalecieron la protección de sus clientes.

En Costa Rica existe un proyecto de ley que propone esto. Se trata de la Ley de Protección a las Personas Consumidoras en la Custodia de su Dinero que Administra Cualquier Entidad Financiera, ya sea pública o privada, autorizada para este fin.

Este proyecto de ley, presentado el 29 de agosto del 2023 por el diputado liberacionista Óscar Izquierdo, ya fue dictaminado y se encuentra en la Comisión de Asuntos Jurídicos.

“Ya vimos que dejar a disposición de la actitud o de las acciones y políticas que tomen las instituciones no es la solución; se deben generar normas que establezcan obligaciones para las entidades”, dijo Aguilar.

LEA MÁS: Usuarios bancarios perdieron al menos ¢7.000 millones y $4 millones por estafas informáticas en 31 meses