Estafas con tarjetas de crédito y débito: solo dos de 570 casos terminaron en sentencia desde 2023

"Apenas había recibido la tarjeta de crédito hace una semana cuando me llamaron a decir que necesitaban validar mis datos para activarla. Llegó a domicilio, a través de un courier.

Ya tengo una tarjeta de crédito básica, con cupo de USD 1.000, pero esta era la primera vez que tenía una tarjeta "black" con cupo alto de USD 15.000, por eso pensé que se requería hacer una verificación especial de datos. 

La mujer que me llamó sabía qué tipo de tarjeta era la que tenía y que todavía no la había usado. Además, sabía mi nombre completo y mi número de cédula. Eso me dio confianza para creer que era trabajadora del banco.

Luego la mujer me pidió el número de la tarjeta y el código de atrás del plástico. Intentaba obtener esos datos para hacer compras con la tarjeta. Casi caigo".

• Hay más de 300 denuncias al día de estafas y robos informáticos a cuentas bancarias y tarjetas de crédito en Ecuador

En Ecuador, casos como el de esta clienta del sistema financiero se repiten día a día y no siempre terminan con la víctima dándose cuenta a tiempo.

La Fiscalía recibió 194 denuncias por delitos de estafa o fraude mediante tarjetas de crédito o débito en 2024. 

De esos, en 187 casos el delito fue consumado; es decir, a la persona le robaron su dinero o los delincuentes hicieron compras fraudulentas. En el resto de casos la denuncia fue por tentativa o intento.

Y hasta el 15 de agosto de 2025 ya van 111 denuncias. De esos, en 106 casos el delito se consumó.

Según la Superintendencia de Bancos, hay casos en los que las entidades financieras no se responsabilizan por las pérdidas del cliente, porque el cliente cometió el error de entregar datos confidenciales. Estos son los errores comunes:

¿Cómo obtienen los delincuentes los datos para robar?

Son casos complejos en los que no solo se trata de robo de dinero, dice el abogado financiero, Julio César Benítez.

Las redes de delincuentes operan con algo que hoy en día es más valioso que cualquier otro recurso tangible: los datos de las personas, añade el abogado.

Y es que las bases de datos personales y de la actividad de los clientes en el sistema financiero son el primer recurso con el que cuentan los delincuentes para luego dar los siguientes pasos:

• Hacer perfilamientos de las víctimas.
• Elaborar planes de estafa para, por ejemplo, hacerse pasar por el banco o por otras empresas.
• Contactar a las víctimas  mediante correos fraudulentos, llamadas o mensajes de texto en celulares.

¿Pero cómo acceden los delincuentes a estos datos? Benítez dice que no es secreto que en Ecuador existen redes que se dedican a la venta de bases de datos en el mercado negro.

Y aunque es algo ilegal, se presume que incluso las suelen comprar empresas de comercio que operan en el sector formal, para entregarlas a 'call centers'.

No se explica de qué otra manera estos 'call centers' llaman a tanta gente a vender productos o servicios de empresas a las que el cliente nunca les dio sus datos, agrega Benítez.

Lo que es más difícil saber es cómo esa información privada sale de donde debería estar resguarda, dice la abogada financiera Grace Chiriboga.

Es decir, ¿cómo se explica que los delincuentes sepan que una persona acaba de recibir una nueva tarjeta de crédito? ¿O cómo saben que una persona tiene una cuenta en un banco determinado y le envían un correo falso con un link malicioso pidiendo que dé clic para supuestamente que actualice sus datos?

• ¿Cómo funciona el vishing? La estafa con la que pueden robar sus datos y hacer compras con su tarjeta de crédito

Hay hipótesis que apuntan a que la información sale de la misma entidad financiera, ya sea mediante un hackeo informático de sus bases de datos o por algún mal elemento dentro de la entidad; es decir, algún funcionario filtra ilegalmente la data a terceros.

Chiriboga cree que es difícil que eso ocurra porque la mayoría de entidades financieras tienen protocolos bastante estrictos para proteger esa información. 

La Superintendencia de Bancos dijo a PRIMICIAS que una de las hipótesis que manejan es que la información de los clientes puede ser obtenida en el mercado negro, "por vulnerabilidades en los sistemas de bases de datos de terceros, como comercios o empresas de servicios, o, como se ha reportado en el pasado, por filtraciones a lo largo de la cadena de distribución de las tarjetas; es decir, empresas de courier".

• Call center de la extorsión en Quito facturaba hasta USD 67.000 al mes

Pero Rodrigo Páez, presidente de la Asociación Ecuatoriana de Empresas de Mensajería Expresa y Courier (Asemec) asegura que esto tampoco es posible, pues explica que los motorizados no conocen qué tipo de tarjeta hay dentro del paquete que están entregando.

Y añade que tampoco pueden ver los números o códigos cvv (los números de atrás del plástico), pues las tarjetas vienen dentro de sobres de papel químico con lo que no se puede ver a través de este. Además de esto, los couriers ponen un plástico y otro sello más. 

"Si alguna de esas seguridades está rota, el cliente debe saber que no debe aceptar esa tarjeta y notificar al banco".

Rodrigo Páez, Asemec

Páez dice, además, que la entrega de tarjetas de crédito es tan delicada, que no todos los couriers están autorizados para hacerlo. 

"Deben tener solvencia operativa, económica e informática para hacer estas entregas. Las empresas que lo hacen tienen sistemas de rastreo automático de todo el proceso, por ejemplo, hacen el rastreo de las calles y los horarios minuto a minuto en la entrega", dice Páez.

"Hay trazabilidad de punta a punta, se requiere un sistema operativo en línea completo"

Rodrigo Páez, Asemec

Según Paez, eso ha permitido que cuando a algún motorizado le han robado los paquetes con tarjetas, de inmediato se conozca el incidente y el banco dé de baja esos plásticos en el sistema.

Pero hay nuevas hipótesis. Una es que los delincuentes están usando nuevas formas de extorsión a los negocios. "En lugar de pedir la 'vacuna' en efectivo, como lo han venido haciendo, sé de casos en que piden a los dueños de negocios, sobre todo en la Costa, datos de las tarjetas de los clientes de los negocios", relata Chiriboga.

¿Qué leyes protegen a los clientes de estos delitos?

El Código Integral Penal tipifica cuatro tipos delitos informáticos que pueden perjudicar a las personas que usan servicios bancarios como las tarjetas de crédito o débito, con penas de prisión:

Pero, además, está la Ley Orgánica de Protección de Datos personales, que entró en vigencia en 2021, explica Benítez.

• "Me robaron USD 2.000 de la tarjeta de crédito con un correo falso de Servicios Postales"

La Ley de Protección de datos establece una sanción administrativa que puede llegar hasta el 1% del total de la facturación anual de empresa o persona natural que esté implicada en haber permitido que terceros accedan a datos personales de sus clientes, añade Benítez.

Además, el afectado puede poner demanda civil y plantear resarcimiento por daños y perjuicios y pedir lucro cesante, agrega el abogado.

También otras opciones, como poner la queja directamente al banco o en la Superintendencia de Bancos o de Economía Popular y Solidaria en el caso de las cooperativas, para que realicen las investigaciones, explica Chiriboga.

Otra alternativa en el caso de los bancos es poner la queja ante el defensor del cliente, que es una persona independiente a la entidad bancaria y es elegida por la Superintendencia de Bancos.

Pese a las denuncias, hay impunidad

¿Pero hay resultados al interponer denuncias o quejas? Según la Fiscalía, la mayoría de casos denunciados no avanzan de la etapa de indagación previa, que es la etapa inicial de investigación para determinar si hay indicios para iniciar un proceso.

Por ejemplo, en 2023, Fiscalía recibió 265 denuncias por estafa o fraude mediante tarjetas de crédito o débito, de las cuales el 46% (121 casos) siguen en investigación previa hasta agosto de 2025.

Incluso, hubo 58 casos que ya fueron archivados por no haber hallado indicios suficientes y hubo 72 que están en el mismo camino. 

Del total de denuncias, apenas uno terminó en sentencia condenatoria y otro caso en llamamiento a juicio. 

• Hay servicios exequiales que saben de la muerte de una persona antes que sus familiares, alerta 'Súper' de Datos

De las 194 denuncias presentadas en 2024, apenas una terminó en sentencia condenatoria y otra en llamamiento a juicio.

El resto naufraga en la impunidad: el 63% de los casos de 2024 sigue estancado en investigación previa, 18 ya fueron archivados, 45 corren la misma suerte.

También hay dos casos que en 2024 resultaron en sobreseimiento, es decir, hay una persona presuntamente involucrada en el delito, pero no hay suficientes pruebas para determinar que es culpable, explica la abogada financiera Grace Chiriboga.

Para 2025, de las 110 denuncias, solo en dos casos la Fiscalía halló elementos para acusar a los sospechosos del delito, pero aún no tienen sentencia.

Chiriboga explica que en las investigaciones de robos con tarjetas a través de medios informáticos, lo máximo que se suele llegar a conocer es la dirección IP desde donde se concretó la compra y el país en el que se hizo. "Luego es muy difícil encontrar a la persona que lo hizo", explica.

En cambio, si se analiza las quejas puestas en los bancos, entre enero y julio de 2024, la Superintendencia de Bancos registró 374 quejas por estos delitos. Y  otros 273 casos en igual período de 2025. 

De los casos reportados en esos meses de 2024, en el 75% (281), la resolución fue desfavorable al cliente; es decir, la investigación concluyó que la estafa se concretó debido a errores atribuibles al usuario.

Y de las quejas de 2025, en el 73% (198) la resolución fue desfavorable para el cliente por cometer errores.  

"En la mayoría de los reclamos la estafa se ejecutó porque el usuario facilitó información confidencial".

Superintendencia de Bancos.

La Superintendencia de Bancos dice que hay al menos tres factores por los que estos casos se estancan o quedan en impunidad: