Pagas en el supermercado, compras por internet y crees que todo está bajo control.

Sin embargo, hay métodos invisibles que pueden vaciar tu cuenta bancaria en completo silencio, sin que te des cuenta de nada hasta que revisas el extracto.

Los delincuentes emplean técnicas cada vez más sofisticadas para copiar los datos de tu tarjeta: en cajeros automáticos, gasolineras y tiendas online. Con frecuencia no notas nada hasta que tu extracto aparece lleno de pagos que jamás realizaste. ¿Cómo funciona exactamente este tipo de fraude silencioso y qué hábitos sencillos pueden reducir drásticamente tu exposición?

De la manipulación de cajeros a los espías ultrafinos en la ranura

El fraude con medios de pago lleva años creciendo sin freno. En Francia, este tipo de fraude por manipulación aumentó más de un tercio en 2025, alcanzando daños de cientos de millones de euros. La mecánica básica lleva dos décadas siendo la misma: los criminales intentan interceptar los datos de tu tarjeta entre el momento en que la sacas del monedero y el instante en que el banco procesa la transacción.

Durante mucho tiempo, esto ocurría principalmente en cajeros automáticos y terminales de pago en gasolineras. Para ello, los delincuentes recurren a las técnicas clásicas conocidas como skimming.

Cómo funciona el skimming clásico

En el skimming, se instala hardware sobre o alrededor del cajero automático. Estas piezas pueden parecer sorprendentemente auténticas a simple vista.

Se coloca un lector de tarjetas adicional sobre la ranura original para copiar la banda magnética.
Una cámara diminuta graba tus dedos mientras introduces el PIN.
O bien se superpone un teclado falso sobre el real, que registra tu código secreto.
Los datos robados se transmiten por Bluetooth o red móvil, de modo que el delincuente ni siquiera necesita recuperar físicamente el dispositivo.

Con la combinación de los datos de la tarjeta y el PIN, los criminales fabrican copias de tu tarjeta o realizan retiradas de efectivo en países donde todavía se aceptan transacciones con banda magnética.

Shimming: el sucesor invisible del skimming

A medida que los bancos fueron adoptando tarjetas con chip, el skimming clásico perdió eficacia. El chip EMV genera un código único en cada operación, lo que hace que simplemente copiarlo no sea suficiente.

Los delincuentes idearon entonces una nueva técnica: el shimming.

El shimming es un espía ultrafino dentro de la ranura del lector de tarjetas que intercepta los datos del chip sin ser visible.

Un shimmer es una lámina extremadamente delgada cargada de electrónica que se introduce en la ranura del lector de tarjetas. Queda situada entre tu tarjeta y los contactos del terminal. Mientras tú pagas con total normalidad, el dispositivo intercepta los datos que se intercambian entre el chip y el terminal de pago.

Clonar el chip en sí sigue siendo prácticamente imposible. Pero con los datos interceptados, los estafadores fabrican las llamadas tarjetas de fallback: tarjetas de banda magnética que utilizan en países o terminales que todavía admiten ese tipo de transacciones. En expedientes policiales de 2025 aparecieron casos en los que el shimming en gasolineras francesas derivó en retiradas de efectivo en ciudades extranjeras, con importantes sumas de dinero como botín.

De la calle a la pantalla: el skimming se traslada a las tiendas online

Conforme los cajeros y terminales físicos se protegen mejor y el pago sin contacto crece con rapidez, muchos delincuentes se desplazan a internet. Allí emplean el e-skimming: el mismo principio que en el cajero, pero aplicado al código de una página de pago.

En una tienda online comprometida, los criminales inyectan unas pocas líneas de JavaScript en la página de pago. En cuanto introduces el número de tarjeta, la fecha de caducidad y el código CVV, el script copia esos datos y los envía a un servidor controlado por los atacantes. Para ti, el pago parece completarse con normalidad, y la tienda tampoco detecta nada extraño en su sistema habitual de cobros.

Grupos criminales, filtraciones en proveedores y ataques masivos

Los cibercriminales especializados en esta técnica suelen agruparse bajo el nombre colectivo de Magecart, en referencia a una popular plataforma de comercio electrónico que atacaron intensamente en sus inicios. Su metodología se ha vuelto cada vez más sofisticada.

En lugar de atacar una sola tienda cada vez, ahora comprometen a proveedores de scripts que funcionan en miles de sitios simultáneamente.

Entre los objetivos habituales se encuentran:

servicios de análisis que miden el comportamiento de los visitantes;
scripts de publicidad y seguimiento;
widgets de pago o chat proporcionados por terceros.

Si uno de esos servicios es hackeado, el código malicioso llega de golpe a todos los sitios que lo utilizan. Investigadores describieron en 2024 una gran campaña en la que una vulnerabilidad en una plataforma comercial de comercio electrónico provocó la infección de aproximadamente 11.000 tiendas online en todo el mundo. Se estima que cientos de millones de números de tarjeta acabaron así en la dark web.

Ocultos en iconos, analytics y páginas de error

Para eludir los controles de seguridad, los atacantes esconden sus scripts de formas cada vez más creativas. Se han encontrado códigos maliciosos:

camuflados en imágenes aparentemente inocentes, como los pequeños iconos favicon que aparecen en la pestaña del navegador;
disfrazados de herramientas de estadísticas conocidas, con nombres muy similares a los de scripts legítimos de analítica;
integrados en páginas de error, como la famosa página 404 de "página no encontrada", que muchas tiendas online apenas supervisan.

Una táctica descrita por investigadores de seguridad: el cliente rellena correctamente el formulario de pago, el e-skimmer roba los datos de la tarjeta y luego muestra un mensaje de error sobre una sesión caducada. El comprador lo atribuye a un problema técnico, recarga la página e intenta de nuevo más tarde. Mientras tanto, sus datos ya circulan por redes criminales.

Cómo reducir el riesgo en cajeros y gasolineras

Los consumidores pueden minimizar considerablemente la probabilidad de ser víctimas del skimming y el shimming adoptando unos pocos reflejos habituales.

Usa el pago sin contacto siempre que puedas. Al pagar de forma contactless, tu tarjeta no entra en la ranura, por lo que los skimmers y shimmers no tienen oportunidad de actuar. Para importes mayores en los que necesites introducir el PIN, la ventaja sigue siendo válida: no es necesario que haya ningún lector físico en la ranura.
Protege tu PIN con la mano. Cubre el teclado con la palma como si fuera un tejadillo. Aunque haya una cámara oculta o un teclado falso superpuesto, tapar el código lo hace mucho más difícil de capturar.
Elige ubicaciones seguras. Retira dinero en cajeros situados dentro de sucursales bancarias o establecimientos concurridos. Los cajeros exteriores, especialmente en lugares apartados, son los preferidos por los delincuentes. En gasolineras, los surtidores más cercanos a la tienda suelen estar mejor vigilados.
Examina los elementos del cajero. Tira suavemente de la ranura de la tarjeta y del teclado. Si algo se mueve, ves restos de pegamento o pegatinas extrañas, detente de inmediato y no uses ese cajero.

Cómo mantener los pagos online lo más seguros posible

También en internet puedes levantar barreras sólidas frente a los e-skimmers con unos pocos pasos concretos.

Usa tarjetas separadas o virtuales para las compras en internet

Una tarjeta de pago exclusiva para compras online con un límite reducido hace que el daño de un posible fraude sea manejable.

Cada vez más bancos ofrecen también tarjetas virtuales: números de tarjeta temporales que caducan tras una sola compra o al cabo de poco tiempo. Si los criminales interceptan esos datos, ya no les sirven de nada. Consulta con tu banco qué opciones tienes disponibles y cómo configurar los límites.

Activa las notificaciones en tiempo real

Las alertas de transacciones por SMS o aplicación bancaria pueden sacar a la luz un fraude en cuestión de minutos. Si recibes una notificación de un pago que no reconoces, puedes bloquear la tarjeta de inmediato y llamar a tu banco. Cuanto antes actúes, mayores son las posibilidades de que los importes sean devueltos.

Analiza con ojo crítico la tienda online

Unas pocas comprobaciones rápidas ofrecen una primera impresión sobre la fiabilidad de una tienda online:

la dirección comienza por https y no contiene errores ortográficos llamativos;
no aparecen ventanas emergentes inesperadas durante el proceso de pago;
el navegador no muestra ninguna pantalla de advertencia en rojo ni alertas de seguridad destacadas;
los datos de contacto e información sobre la empresa son fáciles de localizar.

Si algo te genera desconfianza, es preferible pagar a través de un intermediario de confianza o buscar otro proveedor.

No guardes los datos de la tarjeta en cualquier sitio

Puede parecer cómodo guardar tu tarjeta en el navegador o en la aplicación, pero cada lugar adicional de almacenamiento es un objetivo potencial. Especialmente en dispositivos compartidos o cuando usas redes wifi públicas, esto aumenta el riesgo de que personas malintencionadas accedan a tus datos de pago. Introducir los datos manualmente supone medio minuto extra, pero reduce considerablemente el riesgo.

Nuevas normativas para las tiendas online y lo que eso significa para ti

La exigencia también aumenta para las propias tiendas online. Los estándares de pago modernos requieren que los comerciantes hagan un seguimiento exacto de todos los scripts que se ejecutan en su página de pago, incluidos todos los códigos externos. Deben implementar sistemas que emitan alertas cuando se produzcan cambios inesperados.

En la práctica, esto supone revisiones periódicas de todos los scripts cargados y una selección más rigurosa de los servicios externos. Los grandes incidentes de los últimos años demuestran que una sola brecha en un script o plugin ampliamente utilizado puede desencadenar una reacción en cadena que afecte a miles de tiendas.

Para los consumidores, este enfoque más estricto no ofrece una garantía total, pero sí reduce el número de sitios vulnerables. Al final, la combinación sigue siendo la más eficaz: seguridad técnica por parte de la tienda online y rutinas más alertas por parte del cliente.

Consejos adicionales: ¿qué hacer si ocurre lo peor?

Quien detecte transacciones sospechosas a pesar de todas las precauciones debe actuar con rapidez. Bloquea la tarjeta de inmediato a través de la aplicación bancaria o el número de emergencia, y notifica cada pago desconocido al servicio de atención al cliente de tu banco. Habitualmente solicitarán una declaración escrita o un formulario online, tras lo cual se iniciará una investigación. Conserva los correos electrónicos o mensajes SMS sobre pagos; pueden ser de gran ayuda para reconstruir la cronología de los hechos.

Mucha gente duda si merece la pena denunciar un cargo pequeño y extraño. Sin embargo, los delincuentes a veces prueban con importes bajos para comprobar si una tarjeta funciona antes de intentar cargos mayores. Cualquier importe desconocido es una señal de alarma.

Quienes compran habitualmente por internet o utilizan el cajero con frecuencia cuando viajan pueden plantearse establecer límites diarios o por región. Un límite estándar reducido, con una subida temporal a través de la app cuando tengas prevista una compra importante, limita significativamente el daño en caso de fraude. Combinado con tarjetas virtuales, notificaciones en tiempo real y un poco más de atención en los cajeros, construyes así una defensa sólida en torno a tu tarjeta de pago, sin necesidad de pensar en ello cada día.

Author

Begoña Pérez

Begoña Pérez, conocida popularmente como La Ordenatriz, es una experta en orden y limpieza que ha revolucionado las redes sociales en España con sus soluciones prácticas para el hogar. Madre de siete hijos, Begoña comenzó compartiendo consejos basados en su propia experiencia diaria, lo que la llevó a convertirse en una guía indispensable para miles de personas. Su especialidad son los "trucos de limpieza" imposibles: cómo quitar manchas de tinta, vino o grasa usando productos económicos y accesibles. Ha publicado libros de éxito como "Limpieza, orden y felicidad", consolidándose como la máxima autoridad en лайфхаки domésticos.