Compraste en un sitio de ropa, pagaste con Mercado Pago o con tu tarjeta de débito, el pago acreditó sin problemas y te llegó el resumen de compra al mail. Todo normal. Excepto que en ese momento, sin que pudieras notarlo, un código malicioso copió tus datos financieros y los envió a servidores de ciberdelincuentes. Eso es el e-skimming: la técnica de fraude más silenciosa que existe hoy, y que está creciendo en Argentina con pérdidas documentadas de decenas de millones de pesos.
Cómo funciona el ataque
El e-skimming —también llamado web skimming o ataque Magecart— consiste en inyectar código malicioso dentro de un sitio de comercio electrónico. El objetivo es preciso: copiar los datos de pago que el usuario ingresa en la pantalla de compra antes de que lleguen al servidor de la tienda. El ataque ocurre en el navegador del comprador, lo que vuelve inútiles los sistemas de seguridad tradicionales del comercio.
La diferencia con el phishing clásico es crucial: acá no hacés nada mal. No entraste a ningún sitio falso. No hiciste clic en un link sospechoso. Compraste en el mismo sitio que usabas siempre. El problema está del otro lado: en el código del comercio, comprometido sin que los propios dueños lo sepan.
El pago se procesa con normalidad. El producto llega. Y días o semanas después, esos datos aparecen en foros de venta de información robada o directamente se usan para compras no autorizadas a tu nombre.
Las billeteras virtuales en la mira
Mercado Pago, Personal Pay, Naranja X: millones de argentinos usan estas plataformas para pagar compras online. Son cómodas, rápidas y en muchos casos son el instrumento principal de quienes el sistema bancario tradicional dejó afuera. Los ciberdelincuentes lo saben y perfeccionaron esta técnica apuntando exactamente a ese perfil de usuario.
Una causa judicial en Santa Fe documentó pérdidas de casi $30.000.000, con cuentas abiertas usando documentos falsificados y sin activación del doble factor de autenticación. No fue un ataque masivo y ruidoso: fue un robo metódico, invisible, que pasó desapercibido hasta que alguien revisó detenidamente los movimientos.
Los números generales son preocupantes: en 2023 se registraron 34.468 denuncias por delitos informáticos en Argentina, un 21% más que el año anterior. El 63% de los casos correspondió a fraudes en línea, según datos del sistema de denuncias. El e-skimming y el phishing son, por lejos, las modalidades dominantes.
Cómo protegerte: lo que realmente funciona
No existe protección infalible contra un sitio comprometido que no sabés que lo está. Pero hay medidas que reducen significativamente el daño potencial:
- Activá el doble factor de autenticación (2FA) en todas tus billeteras y cuentas. Es el paso más importante. Si tus datos son robados pero el atacante necesita un segundo código para operar, tiene mucho menos margen.
- Usá tarjetas virtuales para compras online. Mercado Pago permite generar una tarjeta virtual de un solo uso o con límite. Si esos datos son robados, no sirven para nada.
- Revisá tus movimientos con frecuencia. El e-skimming a veces tarda semanas en activarse. Un cargo pequeño y extraño puede ser la primera señal de una operación mayor.
- Preferí plataformas de marketplace reconocidas. No son infalibles, pero tienen más capas de seguridad que un sitio pequeño o recién creado.
- Si detectás un cargo no reconocido, actuá de inmediato. Contactá tu banco o billetera, desconocé el cargo formalmente y pedí el bloqueo preventivo. Cuanto antes actuás, más chances tenés de recuperar el dinero.
Si te robaron: ¿quién responde?
La justicia argentina viene consolidando un principio importante: las entidades financieras tienen responsabilidad objetiva en las estafas digitales. Si el banco o la billetera no tomó las medidas de seguridad adecuadas, no puede decirte que el error fue tuyo. Varios fallos de 2026 confirmaron que la entidad debe reintegrar el dinero cuando no implementó mecanismos suficientes de verificación y protección al usuario.
El primer paso es la denuncia formal ante el banco o billetera, por escrito y con constancia de recepción. Si no obtenés respuesta satisfactoria, podés recurrir al Banco Central (BCRA) a través de su formulario de reclamos o a Defensa del Consumidor para iniciar una conciliación gratuita.
El dinero digital no es invisible para la ley. Y cada día hay más jurisprudencia que respalda al usuario frente a las fallas de seguridad de las plataformas. Conocer ese derecho es el primer paso para hacerlo valer.
Si detectaste movimientos raros en tu cuenta o te sustrajeron datos en una compra online, documentá todo y escribime. A veces el tiempo corre y hace falta actuar rápido para recuperar lo que es tuyo.
