Caso real: Me roban la tarjeta y pagan en Uber con ella ¿Cómo reclamo?

Escrito por Rubén Velasco

Podemos tener toda la seguridad del mundo que nada nos protegerá al 100% de caer en las garras de un pirata informático. Cuando nos conectamos a Internet nuestra seguridad no depende exclusivamente de nosotros, sino que depende de muchos otros factores, como las vulnerabilidades de nuestro sistema operativo, la seguridad de los servidores remotos y cómo guarden terceras empresas nuestros datos personales cuando nos registramos en ellas. Que se filtre nuestro correo en la red puede ser molesto, sin embargo, hay datos mucho más peligrosos y valiosos para los piratas informáticos, como los datos bancarios o de las tarjetas de crédito que tan libremente solemos usar en Internet.

Hablando desde una experiencia muy reciente (algo que ocurrió concretamente el pasado 3 de diciembre de 2018), a media mañana el móvil empezó a mostrarme una serie de notificaciones de la app del BBVA, mi banco, que mostraban una serie de intentos denegados para intentar autenticar la tarjeta en Uber, cargos, además, realizados en una moneda diferente al euro. Aunque eran intentos denegados, lo primero que fui a hacer fue bloquear la tarjeta desde la app, pero antes de poder hacerlo uno de los pagos se hizo efectivo, un pago por un valor de menos de 2 euros, pero un pago que, en realidad, yo no había hecho.

Pagos no autorizados Uber estafa - 1

Desde luego, lo primero que hice fue bloquear todos los pagos de la tarjeta. A pesar de tener la tarjeta bloqueada, a lo largo de los próximos días se intentaron hacer muchos otros pagos no autorizados con monedas extrañas, todos ellos a través de Uber. Estaba claro, me habían robado la tarjeta de crédito, pero ¿cómo?

La seguridad y la privacidad son dos elementos que, igual que hablo de ellos en RedesZone, aplico a mi día a día. Yo voy por la calle con la tarjeta dentro de una funda inhibidora, además de utilizar métodos de pago alternativos (Apple Pay en mi caso) siempre que puedo en vez de pagar directamente con la tarjeta en cualquier establecimiento. Más de una vez me he negado a pagar por no tener contactless, y jamás dejo que una persona de ningún comercio toque mi tarjeta. En los cajeros automáticos nunca meto la tarjeta, siempre uso el contactless para sacar dinero, o si no hago uso del efectivo móvil que ofrece mi banco para sacar dinero desde el móvil con un código. Además, a través de Internet, excepto en un par de webs de supuesta confianza (como Amazon o Aliexpress) siempre uso PayPal o una tarjeta exclusiva para pagos online. Entonces, ¿qué ha pasado?

Llegados a este punto, lo primero que debo indicar es que comprobé mi cuenta de Uber y, además de estar protegida por doble autenticación, no tenía vinculada en ella la tarjeta de crédito, sino PayPal. Contacté con Uber por si acaso podían ayudarme y la ayuda ha sido nula, poco más de un “búscate la vida”, no ayudándome para nada ni con los pagos no autorizados ni con nada. Está claro que a ellos el dinero les venía mejor que ayudarme con los pagos no autorizados, a pesar de que todos ellos llevan un identificador en el extracto del banco que, como podemos ver en la siguiente captura, es “wwmrg” (¿acaso hay una forma más fácil de identificar a la persona que así?).

Pagos no autorizados Uber estafa - 4

Uber ignora estafa

Así está el MD que les mandé, hasta hoy. Pero tampoco esperaba mucha más ayuda por su parte, la verdad. No hay más que ver las redes sociales para encontrar una gran cantidad de pagos no autorizados de Uber que, aunque no tienen relación con lo que me ha ocurrido a mí, han estafado a una gran cantidad de personas. Los siguientes tweets los comparto porque han sido respuestas mucho más útiles a mi tweet que la que me han dado ellos.

Tal como han confirmado la Policía y la Guardia Civil al hacer la denuncia, estas prácticas son más habituales de lo que creemos, y se basan en “bots” que prueban números de tarjetas al azar hasta dar con uno bueno, esta vez ha sido el mío, y empiezan a hacer cargos en teoría imposibles de rastrear. ¿culpa mía? no, ¿culpa de Uber? en este casi sí, igual que de Visa, ya que ninguna de las dos entidades deberían haber permitido hacer esos pagos, la primera por no estar identificados y la segunda por ser en una moneda extranjera.

Pero vamos por partes.

Cómo enterarnos de que están usando nuestra tarjeta para hacer pagos fraudulentos

Seguramente haya algunas personas que miran sus cuentas en los bancos y todos los movimientos todos los días, sobre todo porque hacerlo por Internet es muy fácil, pero no es mi caso. En vez de eso, es mucho más práctico y cómodo tener las notificaciones que nos ofrece nuestro banco, ya sea por correo o a través de las apps móviles, activadas para que cada vez que se haga un movimiento nos llegue una notificación.

En mi caso concreto, al tener activadas las notificaciones de la app de BBVA, todos los intentos de pago denegados, y el pago fraudulento, me llegaron a través de la propia app, y, como estaba justo pegado al móvil, pude actuar en apenas 60 segundos.

Hoy en día es vital tener estas notificaciones activadas para saber en todo momento cuándo se hacen pagos no autorizados. Normalmente todos los bancos nos ofrecen varios tipos de notificaciones: mediante sus apps, a través del correo o a través de SMS. Excepto esta última, las demás son notificaciones totalmente gratuitas que nos ofrecerán un control absoluto sobre nuestras cuentas y tarjetas.

¡Me han robado la tarjeta! que no cunda el pánico. Qué debo hacer si se emite un pago no autorizado, o fraudulento, con mi tarjeta de crédito

Lo primero que debemos hacer antes de nada en cuanto veamos un cargo que no identifiquemos, ya sea de dos euros como de 2000, es bloquear la tarjeta. Todos los bancos nos ofrecen un número de teléfono desde el que podemos hacer gestiones las 24 horas en caso de una emergencia, como es esto.

Las apps de los bancos también nos permiten bloquear nuestras tarjetas en caso de querer desactivarla temporalmente o, como es este caso, en caso de un robo o actividad sospechosa, así podremos desactivar cualquiera de las tarjetas en segundos hasta arrojar más luz sobre lo sucedido.

Apagar tarjeta app móvil

Ahora, con la tarjeta bloqueada ya podemos empezar a investigar tranquilamente, ya que si intentan hacer nuevos pagos, además de quedar registrados, todos ellos se rechazarán automáticamente. Si al final el pago sospechoso resulta ser legítimo, siempre podemos volver a activar la tarjeta fácilmente para seguir utilizándola.

Recomendamos tomar capturas de pantalla de todas las notificaciones para adjuntarlas a la denuncia como prueba, así como para poder justificar los intentos de cobro, ya que muchas veces las operaciones denegadas no pueden listarse como las aprobadas, ni siquiera por el banco.

Efectivamente me habían robado la tarjeta. Qué debo hacer ahora

Si comprobamos que hemos sido víctimas de un robo de tarjeta y la están utilizando, donde sea, para pagos fraudulentos, entonces el siguiente paso será poner la denuncia correspondiente.

Una denuncia de este tipo se debe poner en la Policía Nacional, si vivimos en la capital de provincia, o en la Guardia Civil si vivimos en cualquier otro núcleo urbano. La denuncia será totalmente gratuita y nos servirá principalmente para:

  • Poder exigir al banco el reintegro del dinero defraudado.
  • Estar cubiertos de posibles usos que puedan hacer con nuestra tarjeta (imaginemos, en el peor de los casos, de que la usen para comprar armas, drogas o para otras actividades delictivas).
  • Poder pedir daños y perjuicios a terceras empresas responsables si, por ejemplo, los estafadores se han hecho con ella a través de una violación de la GDPR o una vulnerabilidad en sus sistemas.

Tal como nos confirmaron en la Guardia Civil (en nuestro caso), esta práctica es bastante habitual, y se trata de bots que prueban números de tarjetas al azar hasta dar con un número válido. Al hacerlo, una persona se agencia dicho número (seguramente una venta a través de la Deep Web) y empieza a utilizarla para sus fines.

Si el importe estafado es de menos de 150 euros no se va a abrir una investigación sobre lo sucedido, ya que no merece la pena ni es rentable. En caso de que el importe estafado sea superior a 150 euros se podría investigar, aunque seguramente no merezca la pena malgastar recursos, ya que nuestro banco y la emisora de la tarjeta tienen un seguro que nos cubre este tipo de actividades delictivas y, presentando la denuncia, nos devolverán el dinero sin hacer más preguntas.

Una vez interpuesta la denuncia sobre lo sucedido, ya podemos acudir al banco para acabar con este episodio.

Con la denuncia, solo queda ir al banco a reclamar nuestro dinero y pedir una tarjeta nueva

Ya bloqueamos nuestra tarjeta, ya hemos puesto la denuncia, y ahora solo nos queda el paso final: reclamar al banco. Depende del banco esto puede ser más o menos complicado, aunque con la denuncia en la mano nadie se atreverá ni a ponernos en duda ni a ponernos pegas.

Devolución importe fraudulento BBVA

Cuando nos atienda un asesor del banco (no en ventanilla), le explicaremos lo ocurrido y él podrá ver todos estos movimientos desde su plataforma. Presentaremos la denuncia y pediremos, lo primero de todo, una reclamación del importe defraudado (que vendrá en la correspondiente denuncia) y un bloqueo de la tarjeta por robo para pedir una numeración nueva (esto último puede tener una comisión, aunque podremos reclamarla al banco para que no nos la cobren).

En unos días deberíamos recibir la nueva tarjeta en nuestra casa, una tarjeta que tendrá una nueva numeración, nueva fecha y nuevo CVV para evitar que esto vuelva a ocurrir, al menos hasta que uno de estos bots vuelva a hacer de las suyas.

¿De quién es la culpa de todo esto?

Desde luego, yo, o cualquiera que haya podido verse en mi misma situación, no somos culpables de lo ocurrido, siempre y cuando la tarjeta siempre haya permanecido en nuestro poder y hayamos actuado acorde a las medidas básicas de seguridad que ya sabemos, es decir, tener nuestro ordenador actualizado y protegido y hacer pagos solo en tiendas online de plena confianza.

La culpa, por una gran parte, de lo sucedido en mi caso es de Uber. Esta compañía ha estado permitiendo pagos sin verificar la identidad de la tarjeta, sin comprobar el CVV, seguramente sin verificar la fecha… y en caso de que la tarjeta fuera clonada (algo que seguramente no haya ocurrido), sin un PIN. Pero Uber no es la única que hace esto, y es que si vas a pagar en una autopista, por ejemplo, el resultado es el mismo, metes la tarjeta, no comprueban nada, cobran y ale.

Por otro lado, parte de la culpa la tienen BBVA y Visa. Aunque su respuesta con la denuncia en mano ha sido perfecta, ninguna de las dos entidades deberían haber permitido pagos en moneda extranjera sin autorización. Además, al ver varios intentos denegados deberían haber aplicado alguna medida de seguridad ante un uso sospechoso. Pero no, pagar en dólar neozelandés y en rupias indias en el mismo día es algo completamente normal para ellos.

Todo ha salido bien, pero es importante mantener la calma en todo momento y seguir los pasos adecuadamente. Si, por ejemplo, cancelamos la tarjeta antes de poner la denuncia seguramente podríamos perder pruebas, lo mismo que si vamos al banco sin la correspondiente denuncia, hacemos todo y más adelante descubrimos nuevos usos no autorizados de nuestra tarjeta.

Continúa leyendo