A
Adrián Z. Rivero
Guest
A un ritmo que da la impresión de que nada puede detenerlos, los ciberfraudes bancarios aumentaron un 1.446% entre 2019 y 2025, superando en ese último año, por primera vez, la cifra de 10 mil denuncias, de acuerdo con información brindada a UNIVERSIDAD por el Organismo de Investigación Judicial (OIJ).
“Las personas deben pasar de asumir que no van a ser atacados, es decir, que la probabilidad de que sufran una estafa es pequeña, a más bien asumir que van a ser atacados o van a sufrir algún intento de ataque eventualmente”, señaló Esteban Jiménez, ingeniero en sistemas y experto en ciberseguridad, en declaraciones a este medio sobre el tema.
La información suministrada por la policía judicial indica que en 2019 se recibieron 656 denuncias por estafas informáticas, pero a partir de 2022 comenzaron a crecer a un ritmo exorbitante, hasta llegar a los 10.142 casos en 2025, el equivalente a una víctima cada 51.8 minutos en el último año.
“El cibercrimen bancario no solamente en Costa Rica, sino en el mundo viene en crecimiento. Cada vez hay más víctimas y cada vez con tecnología más avanzada. Entonces, esto es un reto para los banqueros y para los mismos consumidores de cómo protegernos”, dijo la abogada Adriana Rojas, especialista en consumo bancario y directora de la Asociación Pro-Defensa al Consumidor (Aprodeco).
Costa Rica: un país atractivo para los ciberdelincuentes
Jiménez también señaló que las cifras están alineadas con la situación a nivel global, donde cada vez hay más estafas de este tipo, sin embargo, enlistó varios factores que convierten a Costa Rica en un país sumamente atractivo para la ciberdelincuencia.
Primero, situó como un antecedente muy importante el ataque del grupo cibercriminal Maze al Banco de Costa Rica (BCR) en 2019: “Nos da a conocer como un país vulnerable, pero también como un país del que se puede obtener ganancias”, anotó el especialista.
El ingeniero explicó que para 2022, cuando la estadística de denuncias muestra el primer salto brusco, ya se había popularizado “el modelo de afiliados” en el cual las organizaciones ciberdelincuentes comenzaron “a crear pequeñas células en territorios fuera de sus cuarteles generales”, es decir, grupos de ataque locales, los cuales también se habrían instalado en Costa Rica.
“Hay dos maneras en las que nos ponen (al país) en una popularidad más alta. Primero, que la infraestructura sea vulnerable, pero que pague. Y segundo, que la infraestructura sea vulnerable y lo suficientemente compleja para que los afiliados suban de nivel, porque ellos también prospectan a sus cadetes; conforme puedan lograr ataques exitosos en estas infraestructuras, ellos suben de nivel”, agregó el experto en ciberseguridad.
De acuerdo con Jiménez, además de la exposición, las vulnerabilidades nacionales y el potencial de generar ganancias a los ciberdelincuentes, otro elemento que ha favorecido la situación es la filtración de información, desde listas de abonados municipales hasta bases de datos comerciales con registros sobre deudores.
“Esa información nutre a los sistemas de ataque, en ese sentido de los afiliados, para empezar a hacer las técnicas de ingeniería vía social. Con que uno tenga un número de teléfono, una fracción del número de cédula, una fracción del número de tarjeta, una dirección, etcétera, ya uno tiene contexto para poder generar ese tipo de ataques”, advirtió el especialista.
A todo eso, el ingeniero en sistemas sumó la falta de “capacidad real de respuesta” ante amenazas cibernéticas, la capacidad de investigación limitada, falta de coordinación entre instituciones, ausencia de normativa para procesar estos delitos y que “no hay un actor nacional específico que tenga la responsabilidad real de generar una estrategia de defensa en el ciberespacio, como sí lo tienen otros países”.
Adultos jóvenes son los que más denuncias registran
Los datos aportados por el OIJ revelan que, entre 2019 y 2025, el grupo etario que más presentó denuncias por estafas informáticas fue el ubicado entre 30 y 39 años, con un total de 6.767 víctimas; seguido del de 40 a 49 años, con 5.612 afectados; y el de 50 a 64 años, con 5.593 casos. Los mayores a 65 años, con 2.811 víctimas, fue uno de los que menos denuncias presentó.
Para Rojas, estos registros posiblemente se deben a que los adultos jóvenes utilizan más las tarjetas de crédito que los adultos mayores, quienes más bien son estafados en gran número a partir de transferencias bancarias. En la información enviada por el OIJ no se desglosa a ese nivel de detalle.
“El que utiliza la tarjeta de crédito es el adulto joven. Ese grupo de 30 a 50 yo lo relacionaría muchísimo con la tarjeta de crédito, porque el adulto joven mete la tarjeta de crédito para Uber, para Amazon, Temu, para comprar en Shein y es el que asume más riesgos en el comercio electrónico”, indicó la abogada.
Por su parte, Jiménez señaló que es importante considerar que la estadística solo muestra la cantidad de denunciantes, pero que el número real de estafados podría ser mucho mayor:
“En Costa Rica la gente no denuncia, porque les da pereza o porque saben que la denuncia va a quedar engavetada. Ese grupo que estás viendo ahí es el grupo que denuncia porque tiene las capacidades, porque tiene el tiempo y porque están más en capacidad de redactar la denuncia, que es otro tema importante”, añadió el experto en ciberseguridad.
Otro aspecto que revela la información del OIJ es que, durante el periodo de tiempo analizado, la provincia con mayor incidencia en estafas informáticas fue San José, con 8.311 casos; seguido de Alajuela, con 5.957 delitos, y Heredia, con 3.587 casos.
Después se ubicaron Cartago, con 2.694 estafas; Guanacaste, con 2.132; Puntarenas, con 1.792; y Limón, con 1.531; mientras que 286 casos se marcaron como “desconocido”.
Durante los diferentes meses analizados, los días con más fraudes cibernéticos fueron los cercanos a las fechas de pago, como el 15 (1.111 casos), el 1 (1.083 casos), además del 2 y el 28 (1.044 casos cada uno).
Ante la problemática, el ingeniero recomendó adoptar una actitud preventiva, activando todas las características de seguridad que permitan los diferentes dispositivos y cuentas bancarias, como antivirus de pago, tokens de acceso a correo electrónico y transacciones con firma digital.
Nueva ley obligaría a los bancos a hacerse responsables
El pasado 4 de marzo, tras una férrea posición del gremio banquero, la Comisión Plena Tercera de la Asamblea Legislativa aprobó, en segundo debate, un proyecto de ley que obliga a los bancos a responder por fraudes electrónicos que sufran sus clientes, tramitado bajo el expediente 23.908.
“¿Qué va a generar? La indemnización o devolución del dinero perdido en el trámite administrativo interno de la misma entidad financiera, sin necesidad de acudir a abogados, peritos, jueces y procesos largos de cinco años”, señaló, en declaraciones previas a este medio, la directora de Aprodeco.
Por su parte, Jiménez calificó positivamente la iniciativa de ley y dijo que “es algo que más bien debió haberse hecho hace tiempo”, ya que hasta ahora las entidades financieras estaban teniendo “la desfachatez de, en todas las situaciones de denuncia por estafa, poner al usuario automáticamente como responsable”.
“Esa es la modalidad que estaban teniendo todas. Entonces, viene con una estafa, usted primero es culpable y usted tiene que demostrarme a mí que no lo es. Y eso es donde yo considero que este proceso hizo un buen cambio, porque eso no es correcto”, relató el experto.
El ingeniero señaló que ha encontrado “cualquier cantidad de fallas” en investigaciones donde las estafas ocurrían a lo interno de la entidad, con salidas cuantiosas de dinero en cuestión de segundos, pero que la institución de entrada obligaba al cliente a demostrar que no fue quien tuvo la culpa de la situación: “No era justo con la gente”, agregó.
Ahora, la nueva ley —a la cual solo le falta la firma del presidente Rodrigo Chaves y su posterior publicación— obligaría a los bancos y demás entidades financieras a resolver, en un plazo máximo de 30 días naturales, los reclamos que pongan sus clientes por estafas electrónicas.
La futura norma indica que, cuando un usuario rechace haber autorizado una transacción en la que ha sido víctima de fraudes, estafas o rebajas no autorizadas, tendrá 30 días naturales para presentar su reclamo ante las entidades financieras correspondientes.
Para ello, los bancos deberán tener a disposición un formulario sencillo que permita a las personas exponer lo sucedido, el cual deberá ser entregado por las víctimas junto con una denuncia interpuesta ante el Organismo de Investigación Judicial (OIJ).
Una vez interpuesto el reclamo, los bancos y demás entidades financieras tendrán un plazo máximo de 30 días para investigar los hechos y resolver si procede o no. El plazo puede ampliarse, por una única vez, hasta por 10 días hábiles adicionales, pero esto deberá ser comunicado a los usuarios 3 días antes del vencimiento del periodo original.
Rojas explicó que las personas con menos recursos serán las más beneficiadas con la nueva ley, pues actualmente a muchas de las víctimas solo les queda la opción de acudir a la vía judicial cuando son estafadas, sin embargo, en una gran cantidad de casos estas no cuentan con el dinero para pagar un proceso de esta naturaleza, cuyo costo mínimo es de alrededor de ₡3 millones.
“En este momento, si una persona pierde ₡250 mil o ₡700 mil no tiene ninguna oportunidad de recuperar el dinero, pero ahora (tras la aprobación del proyecto en segundo debate) los consumidores van a tener justicia pronta y cumplida en la vía administrativa sin necesidad de peritos y abogados”, dijo la experta.
La nueva normativa solo establece tres casos en los cuales los bancos pueden rechazar los reclamos, que son cuando haya existido autofraude, dolo (conducta deliberada de una persona orientada a cometer un acto ilícito, con pleno conocimiento de ello) o cuando la transferencia haya sido entre cuentas del mismo titular.
Tras la aprobación del proyecto, la Asociación Bancaria Costarricense (ABC) rechazó el texto, asegurando que “genera inseguridad jurídica” y que “ha generado una falsa percepción sobre sus alcances reales”. La ABC también sostuvo que “la normativa aprobada se limita a operaciones vinculadas con cuentas bancarias, por lo que no cubre transacciones realizadas mediante tarjetas de crédito”.
La entrada Ciberfraudes bancarios arrodillan al país: estafas crecieron 1.446% en apenas seis años, sin nada que las detenga aparece primero en Semanario Universidad.
Sigue leyendo...