Cómo detectar a tiempo un fraude con tarjetas: aprendizajes de un caso real

Introducción

Hace poco viví un caso real de posible fraude con una tarjeta de consumo.
No mencionaré entidades ni marcas. Comparto lo ocurrido y, sobre todo, las lecciones prácticas que pueden ayudar a detectar y contener incidentes similares a tiempo.

---

Qué ocurrió

A mediados de 2025 adquirí una tarjeta de crédito asociada a promociones de un supermercado.
La utilicé una sola vez y luego quedó inactiva, con la intención de cancelarla al mes siguiente, algo que no llegué a hacer por falta de tiempo.

A finales de noviembre recibí un mensaje de alerta por la compra de un seguro vehicular, pese a que no tengo automóvil.
De inmediato revisé el estado de cuenta y encontré un monto cercano a USD 1,000, correspondiente a transacciones que no reconocía.

Contacté de inmediato a la central:

• La tarjeta fue bloqueada.
• Se abrió un caso de investigación.
• Se me indicó que la respuesta se daría en 15 días hábiles, plazo que caía cerca de Navidad.

Durante los primeros días:

• No aparecían transacciones detalladas que justificaran el monto debitado.
• No contaba con un registro claro (fecha, hora, comercio) accesible desde la plataforma.

Confié inicialmente en que se trataba de un error administrativo que se corregiría.

Sin embargo, cinco días después aparecieron transacciones que explicaban solo el 40 % del monto total, sin ninguna aclaración sobre el saldo restante.

Ante esa inconsistencia:

• Presenté denuncia policial, señalando que las transacciones aparecieron fuera del plazo razonable.
• Ingresé un reclamo formal mediante el Libro de Reclamaciones.
• Elevé una queja ante Indecopi, adjuntando capturas de pantalla y evidencias.

Días después, el monto de la deuda fue reajustado sin explicación, quedando solo el 40 %, lo que generó incertidumbre sobre un posible cobro indebido.

Finalmente, y tras el seguimiento correspondiente, recibí una respuesta favorable, cerrando un proceso que fue innecesariamente angustiante pero que dejó aprendizajes importantes.

---

Lecciones aprendidas

Lección 1: Riesgo de tarjetas sin MFA

Las tarjetas que no utilizan autenticación multifactor (MFA) dependen únicamente de datos estáticos:

• número de tarjeta
• fecha de vencimiento
• código CVV

Estos datos pueden terminar:

• en bases de datos de terceros,
• en archivos (Excel, correos),
• o en sistemas con controles débiles.

Conclusión: el MFA no elimina el fraude, pero reduce drásticamente el impacto y acelera su detección.

---

Lección 2: Las alertas en tiempo real son un control crítico

La detección temprana fue posible gracias a una notificación inmediata.

Sin alertas:

• el fraude puede continuar,
• especialmente en tarjetas poco usadas,
• hasta el cierre del estado de cuenta.

Conclusión: SMS, app o notificaciones push no son opcionales; son un control esencial de detección.

---

Lección 3: Reacción rápida y escalamiento

Bloquear la tarjeta de inmediato, documentar evidencias y escalar por los canales formales (reclamos, reguladores) contiene el daño y cambia el resultado del caso.

---

Recomendaciones prácticas

• Activar MFA siempre que sea posible.
• Mantener alertas por monto y canal.
• Revisar movimientos incluso en tarjetas poco utilizadas.
• Bloquear y escalar sin demora ante cualquier anomalía.
• Usar límites bajos en tarjetas secundarias o de uso ocasional.

---

Cierre

Desde la gestión de riesgos y la ciberseguridad, este caso refuerza una verdad clave:
la detección temprana y la respuesta rápida marcan la diferencia entre un incidente controlado y un problema mayor.