Se suponía que el fraude con tarjetas falsificadas desaparecería tras la sustitución de las bandas magnéticas por los chips EMV. Pero no fue así.

Según un informe reciente del Banco de la Reserva Federal de Kansas City, el 8,0 % de cada transacción de débito con tarjeta física en las redes Visa y Mastercard sigue perdiéndose debido al fraude por falsificación. Ese porcentaje puede parecer pequeño, pero para un comerciante que procesa 100 millones de dólares en transacciones con tarjeta física al año, eso podría suponer una pérdida de hasta 80 000 dólares por fraude por falsificación.

Aunque la tasa de fraude es menor en las redes regionales de débito con PIN de un solo mensaje (2,2 puntos básicos), el fraude por falsificación sigue superando al fraude por pérdida o robo de tarjetas en las redes de doble mensaje.

Lo que resulta aún más llamativo es que las tasas de fraude en transacciones con tarjeta física en Estados Unidos siguen siendo más elevadas que en muchos otros mercados de pagos avanzados. Europa registra aproximadamente 0,7 puntos básicos, mientras que Australia se sitúa cerca de 1,0 puntos básicos, según los datos comparativos citados en el análisis del Banco de la Reserva Federal de Kansas City.

Sin embargo, la persistencia del fraude con tarjetas falsificadas no es una anomalía exclusiva de Estados Unidos. Los datos del Banco Central Europeo muestran que las tarjetas falsificadas seguían representando alrededor del 11 % del valor total del fraude con tarjetas no remoto (presencial) en toda la UE y el EEE en 2024, incluso después de que la tecnología EMV acabara en gran medida con la era de la clonación de bandas magnéticas.

Los chips EMV dificultaron considerablemente la falsificación tradicional. Pero los estafadores se adaptaron. Cometen fraudes mediante tarjetas falsificadas siempre que los terminales o cajeros automáticos recurren a la lectura de la banda magnética en lugar del chip.

Esta guía explica qué es el fraude por tarjetas falsificadas, cómo funciona hoy en día y qué pueden hacer los comerciantes para evitarlo. ¡Empecemos!

Responsabilidad por el fraude con tarjetas falsificadas y el traspaso de responsabilidad en el estándar EMV

Antes de octubre de 2015, los bancos emisores asumían la mayor parte de las pérdidas derivadas del fraude con tarjetas falsificadas.

Esto cambió tras el cambio de responsabilidad en el ámbito EMV introducido por las principales redes de tarjetas, entre ellas Visa y Mastercard. La norma es sencilla: la responsabilidad recae sobre la parte que haya utilizado la tecnología menos segura durante la transacción.

En la práctica:

• Si una tarjeta con chip se procesa a través del chip, normalmente es el emisor quien asume la pérdida por fraude.
• Si la misma tarjeta con chip se procesa como una transacción con banda magnética, el comerciante suele ser responsable.

El detalle fundamental que muchos comerciantes pasan por alto es que la responsabilidad depende de lo que realmente ocurrió en la transacción, y no simplemente de si se dispone de un lector de chips. Cuando se produce una devolución, las redes de tarjetas analizan tres factores:

1. ¿La tarjeta era compatible con el chip?
2. ¿El terminal era compatible con tarjetas con chip?
3. ¿Se procesó la transacción mediante la lectura del chip o de la banda magnética?

Si una tarjeta con chip se procesa como una transacción con banda magnética, especialmente mediante el mecanismo de respaldo, el comerciante suele asumir la pérdida.

¿Qué es el fraude con tarjetas falsificadas?

El fraude con tarjetas falsificadas (también conocido como «clonación de tarjetas») es un tipo de fraude con tarjeta física en el que los delincuentes copian los datos de una tarjeta de pago robada en una tarjeta física falsa y, a continuación, la utilizan para realizar transacciones presenciales o retirar efectivo en cajeros automáticos.

Lo hacen siempre que la tarjeta se pasa por el lector o se introduce en persona. Obtienen los datos robados de la banda magnética de la tarjeta, que suelen capturarse mediante dispositivos de skimming, filtraciones de datos o robos por parte de personas internas. Una vez codificada en una tarjeta en blanco, la copia falsificada funciona igual que la auténtica.

El fraude con tarjetas falsificadas se diferencia del fraude sin presencia física (CNP), en el que el delincuente solo necesita el número de la tarjeta y nunca pone un pie en tu tienda. En el caso del fraude con tarjetas falsificadas, hay una tarjeta falsa física en manos de alguien que se encuentra en tu terminal.

Cómo funciona el fraude con tarjetas falsificadas en las transacciones presenciales

El ataque sigue un proceso de tres pasos: robar los datos, crear la tarjeta y utilizarla para realizar una transacción no autorizada.

Cuando el titular de la tarjeta detecta el cargo, o cuando el emisor lo señala primero, se produce una reclamación, y la devolución resultante suele recaer directamente sobre ti, el comerciante que aceptó la transacción.

Métodos habituales utilizados en el fraude con tarjetas falsificadas

Analicemos el proceso del fraude con tarjetas falsificadas:

Paso 1: Robo de datos

Los delincuentes se centran en la banda magnética de la tarjeta, donde se almacenan datos fijos. Su objetivo es utilizar esa misma información cada vez que se pasa la tarjeta. Los métodos más habituales de captura de datos son:

• Skimmers: utilizan dispositivos de superposición acoplados a cajeros automáticos, surtidores de gasolina o terminales de punto de venta para leer de forma sigilosa la banda magnética cuando pasa la tarjeta.
• Fugas de datos y malware: las intrusiones coordinadas en la red o el malware en los puntos de venta pueden utilizarse para recopilar datos de bandas magnéticas de tarjetas de forma masiva sin necesidad de ningún dispositivo físico.
• Robo por parte de empleados: Los empleados con acceso a los datos de las tarjetas o al hardware de los terminales también pueden ser cómplices del delito.

A menudo, se combina una cámara oculta o una plantilla para el teclado numérico con un skimmer para capturar el PIN del titular de la tarjeta. Esto se hace cuando las transacciones requieren la autenticación mediante PIN.

Paso 2: Codificación de la tarjeta

Los datos robados de la banda magnética —concretamente la pista 1 y la pista 2, las dos capas de datos de todas las tarjetas de pago que almacenan el número de cuenta, la fecha de caducidad y los códigos de autenticación— se graban en una tarjeta en blanco. El resultado es una tarjeta que se autoriza de la misma forma que lo haría una transacción normal con banda magnética en cualquier terminal que lea dicha banda.

Los chips EMV no se pueden clonar de esta manera. Los chips generan un criptograma único para cada transacción que no se puede replicar a partir de datos robados. Por eso, la mayor parte del fraude con tarjetas falsificadas hoy en día se basa en transacciones con banda magnética o en el sistema de respaldo. El terminal o el cajero automático lee la banda magnética en lugar del chip.

Paso 3: Uso fraudulento

La tarjeta falsa se pasa por los terminales que admiten la lectura de la banda magnética, ya sea porque el terminal no es compatible con el chip, porque la lectura del chip ha fallado y se ha activado el sistema de respaldo, o porque el estafador activa deliberadamente dicho sistema.

Es posible que las víctimas ni siquiera se den cuenta del delito hasta que reciban el extracto bancario; la tarjeta original nunca salió de su cartera.

Cómo pueden los comerciantes detectar actividades relacionadas con tarjetas falsificadas

El fraude con tarjetas falsificadas está diseñado para parecer normal. La tarjeta parece auténtica, la transacción se autoriza sin problemas y el pago se procesa correctamente. En muchos casos, el primer indicio de fraude es una devolución del cargo semanas más tarde.

Sin embargo, las actividades fraudulentas casi siempre dejan rastros sutiles: en el terminal, en los patrones de transacción y en los datos de disputas. Los comerciantes que supervisan activamente estas señales suelen detectar los dispositivos comprometidos o el uso de tarjetas clonadas antes de que las pérdidas se agraven.

Así es como se hace:

Transacciones de reserva con banda magnética

La señal de alerta más clara es un aumento repentino e inesperado de las transacciones de respaldo mediante banda magnética.

Las tarjetas con chip EMV están diseñadas para insertarse. Cuando no es posible leer el chip tras varios intentos, el terminal recurre a la banda magnética. Estos cambios ocasionales son normales y pueden deberse a un chip dañado, un lector desgastado o un firmware obsoleto.

Sin embargo, los picos repetidos o repentinos en el mismo terminal suelen indicar:

1. Manipulación o lector mal configurado
2. Los delincuentes que utilizan tarjetas con banda magnética clonadas (a menudo con chips dañados intencionadamente o en blanco para forzar el modo de reserva).

Visa advierte expresamente de que los estafadores ahora forzan deliberadamente el uso del modo alternativo para eludir la seguridad del chip, y que la tasa de fraude asociada está aumentando. Los adquirentes y los procesadores pueden proporcionar informes sobre el uso del modo alternativo por ID de terminal. Revíselos semanalmente.

‍

Manipulación de terminales o modificaciones en los lectores de tarjetas

La mayoría de los fraudes por falsificación comienzan con el robo de datos mediante dispositivos de skimming o shimming instalados en el lector o en su interior. Presta atención a estas señales de alerta físicas:

1. Cubiertas para lectores de tarjetas que quedan ligeramente elevadas con respecto al hardware original.
2. Ranuras que parecen holgadas, ajustadas, desalineadas o atascadas.
3. Terminales de pago que se notan abultados, esponjosos o flexibles.
4. Cualquier componente que se mueva o se suelte al someterlo a una ligera presión.

Práctica recomendada: fotografíe cada terminal (por dentro y por fuera) el día de la instalación y durante las revisiones rutinarias. Compare las nuevas fotos con las de referencia. Las diferencias sutiles suelen ser la única pista que permite detectar un fraude con tarjetas falsificadas.

Grupos de transacciones inusuales en terminales especiales

Las tarjetas clonadas suelen ponerse a prueba antes de realizar compras importantes. Presta atención a estas señales:

1. El uso de varias tarjetas diferentes de forma consecutiva en un mismo terminal.
2. Una serie de pequeñas autorizaciones «de prueba» seguidas de cantidades mayores.
3. Picos repentinos de volumen en dispositivos que suelen estar silenciosos.

Supervisa la actividad por ID de terminal (no solo a nivel de tienda) para poder aislar y desconectar rápidamente el lector afectado.

Entornos de pago sin personal

Las cajas de autopago, los quioscos de aparcamiento, las máquinas expendedoras y los surtidores de gasolina son objetivos prioritarios, ya que la vigilancia es mínima. Presta atención a estas señales de alerta:

1. Las transacciones se disparan fuera de las horas punta.
2. Grupos de cartas que se juegan con pocos segundos de diferencia entre sí.
3. Actividad inusual en dispositivos con poco tráfico.

Códigos de motivo de devolución que indican actividad fraudulenta

Cuando los emisores detectan un uso fraudulento, las devoluciones suelen producirse con los siguientes códigos de motivo:

1. Visa 10.1: Transferencia de responsabilidad en casos de fraude por falsificación en el entorno EMV (transacciones con tarjeta física)
2. Mastercard 4870: Fraude con tarjetas falsificadas

Un conjunto de estos códigos vinculados al mismo terminal o intervalo de tiempo es una clara señal de que se instaló un dispositivo de lectura clandestina o de que se utilizaron tarjetas clonadas.

Patrones fuera del horario laboral o de baja seguridad

A los estafadores les encantan los periodos de baja actividad. Presta atención a los picos que se producen por la noche o a primera hora de la mañana, a las secuencias de transacciones de prueba o al uso de varias tarjetas en rápida sucesión.

Ningún indicador por sí solo demuestra que se haya cometido un fraude, pero cuando se dan simultáneamente signos de manipulación física, picos de recurso, concentraciones de transacciones y devoluciones por fraude, las pruebas son contundentes.

Combine las inspecciones visuales diarias, la generación de informes a nivel de terminal y la revisión proactiva de los cargos revertidos para detectar a tiempo los dispositivos comprometidos y frenar las pérdidas antes de que se multipliquen.

Cómo prevenir el fraude con tarjetas falsificadas

El fraude por falsificación tiene éxito en tu terminal porque la transacción lee la banda magnética en lugar del chip. Todas las medidas de prevención se basan en subsanar esa deficiencia.

Restringir el uso de la banda magnética como alternativa

La función de recambio está prevista para tarjetas físicamente dañadas. Los estafadores la aprovechan deliberadamente. Ponte en contacto con tu entidad adquirente y pregunta si es posible desactivar o restringir la función de recambio en tu terminal.

Muchos comerciantes nunca lo preguntan. Y la respuesta suele ser afirmativa. Los comerciantes que restringen el uso de la opción de reserva ven reducida de forma significativa su exposición a las tarjetas falsificadas.

Exigir la lectura del chip en todas las tarjetas con chip

Configura los terminales para que soliciten la inserción del chip en primer lugar, en todo momento. Los fallos reales del chip son tan poco frecuentes que justifican una comprobación por parte del personal, en lugar de un paso automático.

Dar prioridad a los terminales desatendidos

Si tus terminales de exterior no están totalmente adaptadas al estándar EMV, haz que su actualización sea tu máxima prioridad. Las cajas de autopago, los quioscos de aparcamiento y los surtidores de gasolina siguen siendo los activos más susceptibles de ser objeto de skimming en el sector minorista estadounidense, ya que no hay personal que pueda intervenir o detectar manipulaciones.

Implementar el cifrado punto a punto (P2PE)

P2PE cifra los datos de la tarjeta en el momento en que se registran en el terminal. No impide que se instale un skimmer, pero hace que cualquier dato robado resulte inútil, lo que elimina por completo tu entorno como objetivo viable de una filtración.

Establecer una referencia para la inspección en terminal

Fotografía todos los terminales y teclados numéricos el día de la instalación. Utiliza esas imágenes como referencia diaria para las inspecciones de apertura. Comprueba al tacto:

• un suave tirón en el rostro del lector,
• comprobar si el teclado numérico presenta alguna holgura inusual,
• cualquier elemento que sobresalga del resto de los componentes.

Las inspecciones periódicas ayudan a detectar manipulaciones antes de que se acumulen los datos robados.

Reflexiones finales sobre el fraude con tarjetas falsificadas y próximos pasos

La tecnología EMV redujo drásticamente la clonación tradicional de tarjetas, pero no eliminó el fraude por falsificación. En su lugar, los delincuentes centraron su atención en las vulnerabilidades que aún persistían en el ecosistema de pagos, en particular el recurso a la banda magnética, los terminales comprometidos y los entornos de pago desatendidos.

Los comerciantes que supervisan activamente el funcionamiento de los terminales, restringen las transacciones de reserva e inspeccionan periódicamente los dispositivos de pago pueden reducir considerablemente su vulnerabilidad ante el fraude por tarjetas falsificadas.

Próximos pasos: utilizar los datos de devoluciones para evitar las transacciones de reserva

El recurso a la banda magnética no solo reduce la seguridad, sino que también aumenta el riesgo de que el comerciante se vea afectado por devoluciones por fraude.

Las series de devoluciones por fraude vinculadas al mismo terminal y a un breve intervalo de tiempo suelen indicar casi siempre un caso de skimming.

Ahí es donde Chargeflow Insights marca la diferencia.

Este panel de control gratuito basado en IA detecta al instante esos grupos concretos de códigos fraudulentos en todos tus terminales y procesadores. Si lo combinas con Chargeflow Alerts, podrás recibir notificaciones en tiempo real sobre dispositivos comprometidos en cuestión de minutos. Si añades Chargeflow Automation, la reclamación se gestiona de forma automática.