Compraste en un sitio de internet. La transacción salió bien, llegó el comprobante, todo en orden. Dos semanas después, aparece en el resumen de tu tarjeta —o de tu billetera digital— un cargo de $8.000 en una tienda que nunca conociste. Después otro de $12.000. Después más.
No fuiste víctima de phishing. No te llamaron haciéndose pasar por el banco. No escaneaste un código QR trucado. Te robaron mientras hacías todo bien. Así funciona el e-skimming, el fraude digital más silencioso que existe y que, en lo que va de 2026, dejó pérdidas documentadas por al menos $30 millones de pesos en Argentina, según un caso judicial registrado en Santa Fe (fuentes: iProup, El Diario 24, mayo 2026).
Qué es y cómo funciona el e-skimming
El e-skimming —también conocido como ataque Magecart— consiste en inyectar un código malicioso dentro de un sitio web de comercio electrónico. Ese código actúa en el navegador del comprador, en tiempo real, capturando los datos que escribís en el formulario de pago —número de tarjeta, fecha de vencimiento, código de seguridad— antes de que lleguen al servidor de la tienda.
Eso es lo que lo hace tan difícil de detectar: el ataque ocurre en tu dispositivo, no en el servidor de la empresa. Los sistemas de seguridad del comercio no lo ven. La tienda nunca sabe que fue comprometida. Y vos tampoco, hasta que los cargos aparecen en tu cuenta días, semanas o meses después. Los delincuentes acumulan los datos robados y los usan o venden de a poco para no levantar alarmas.
Las billeteras digitales también están en la mira
Hay una creencia extendida de que usar Mercado Pago, Naranja X, Ualá u otras billeteras en lugar de la tarjeta bancaria directa es más seguro para comprar online. Es una verdad a medias.
La mayoría de las billeteras emiten tarjetas prepagas digitales —con número de tarjeta, CVV y fecha de vencimiento— que se ingresan exactamente igual que cualquier plástico en los formularios de pago online. Si el sitio tiene un código de e-skimming activo, esos datos son tan robables como los de tu tarjeta bancaria.
La ventaja real de las billeteras en este contexto es que tienen saldos más acotados y algunas permiten generar números de tarjeta de uso único. Eso reduce el daño potencial. Pero no elimina el riesgo: un usuario puede tener miles de pesos en saldo disponible en su billetera y perderlos por esta vía.
Señales de alerta y qué hacer si te pasó
Algunas señales que deben encenderte una luz roja al revisar el resumen:
- Cargos de montos pequeños en comercios desconocidos, especialmente si aparecen varios seguidos.
- El cargo no coincide con ninguna compra que recordés haber hecho.
- Aparece semanas después de una compra online legítima, en un sitio completamente diferente.
Si detectás algo así, actuá de inmediato:
- Bloqueá la tarjeta o medio de pago desde la app de tu banco o billetera. No esperes a confirmar: bloqueá primero y averiguás después.
- Desconocé el cargo formalmente, por escrito o a través del canal oficial de reclamos del banco o fintech. Hacelo lo antes posible: algunos sistemas tienen ventanas de tiempo acotadas.
- Pedí el número de reclamo y guardalo. Es tu único respaldo para lo que sigue.
- Presentá denuncia ante la Unidad Fiscal Especializada en Ciberdelincuencia (UFECI) —formulario disponible en línea— o ante la comisaría más cercana. Eso habilita la investigación y también respalda tu reclamo al banco.
- Si el banco o fintech no responde en el plazo legal (máximo 10 días hábiles según normativa del BCRA), presentá reclamo ante el Banco Central o ante Defensa del Consumidor.
El banco tiene que devolverte el dinero
Este es el punto que los bancos y las fintechs prefieren no aclarar: ante un cargo que el titular no reconoce y no autorizó, la carga de la prueba se invierte. No es el consumidor quien tiene que demostrar que no realizó la operación. Es el proveedor financiero quien debe demostrar que la operación fue legítima y autorizada.
Así lo establece la Ley 24.240 de Defensa del Consumidor (artículos 37 y concordantes), y así lo viene confirmando la jurisprudencia en casos de fraude digital. Hay fallos de la Ciudad de Buenos Aires que condenaron a bancos y fintechs a restituir montos íntegros más daño punitivo, en casos donde el usuario fue víctima de fraude sin haber incurrido en ninguna negligencia.
En un e-skimming, esa ausencia de negligencia del usuario es evidente: compraste en un sitio aparentemente legítimo, ingresaste tus datos en un formulario que parecía normal. Lo que fue comprometido fue el sitio, no tu conducta. El banco no puede trasladarte esa responsabilidad.
Si te dicen que la operación fue válida, que el sistema no registra anomalías, que “lamentablemente no pueden hacer nada”: no lo aceptes. Ese “no” se puede revertir con un reclamo bien fundamentado. Y se gana.
Si te robaron datos de tarjeta en una compra online y el banco o billetera no te devuelve el dinero, podés escribirme. Hay un camino legal concreto para recuperarlo.
Fuentes: El Diario 24 | El Destape | iProfesional
