Plan prevención fraude tarjetas crédito

UNIVERSIDAD DEL CARIBE
ESCUELA DE NEGOCIOS
CARRERA DE ADMINISTRACIÓN DE EMPRESAS
MONOGRAFÍA PARA OPTAR AL TÍTULO
DE LICENCIADO/A EN ADMINISTRACIÓN DE EMPRESAS
DISEÑO DE UN PLAN PARA LA PREVENCIÓN Y CONTROL DE LOS FRAUDES
DE TARJETAS DE CRÉDITO Y DÉBITO EN LOS BANCOS DE LA REPÚBLICA
DOMINICANA, PERIODO 2017-2018
PRESENTADO POR:
GARCÍA CÉSPEDES, YEISON ANTONIO
MARTÍNEZ MORA, EURIS AMILKAR
TAVÁREZ TORRES, MARA ARLETTY
ASESOR:
RADHAMÉS VEGA DOMÍNGUEZ, M.A.
SANTO DOMINGO, D.N., REPÚBLICA DOMINICANA
MARZO, 2017.
Los conceptos emitidos en la presente
monografía, son de la exclusiva
responsabilidad de los sustentantes.

UNIVERSIDAD DEL CARIBE
ESCUELA DE NEGOCIOS
CARRERA DE ADMINISTRACIÓN DE EMPRESAS
MONOGRAFÍA PARA OPTAR AL TÍTULO
DE LICENCIADO/A EN ADMINISTRACIÓN DE EMPRESAS
PRESENTADO POR:
GARCÍA CÉSPEDES, YEISON ANTONIO
2011-2725
MARTÍNEZ MORA, EURIS AMILKAR
2010-3572
TAVÁREZ TORRES, MARA ARLETTY
2012-3037
ASESOR:
RADHAMÉS VEGA DOMÍNGUEZ, M.A.
SANTO DOMINGO, D.N., REPÚBLICA DOMINICANA
MARZO, 2017.

ÍNDICE
INTRODUCCIÓN ......................................................................................................................1
JUSTIFICACIÓN.......................................................................................................................5
DESCRIPCIÓN Y SISTEMATIZACIÓN DEL PROBLEMA...............................................6
OBJETIVOS ..............................................................................................................................7
METODOLOGÍA DE LA INVESTIGACIÓN .........................................................................8
CAPÍTULO I
ASPECTOS TEÓRICOS RELACIONADOS CON LA SEGURIDAD TECNOLÓGICA
EN LAS ENTIDADES FINANCIERAS
1.1 Seguridad informática............................................................................................. 10
1.2 Área de seguridad y riesgo.................................................................................... 13
1.3 Ventajas y desventajas de la tarjetas de crédito................................................ 15
1.3.1 Diferencias entre tarjetas de crédito y debito .............................................. 16
1.4 Consejos de las entidades financieras ................................................................ 19
1.4.1 Formas de clonado .......................................................................................... 20
1.4.2 Clonación en cajeros....................................................................................... 21
CAPÍTULO II
ASPECTOS TEÓRICOS RELACIONADOS CON LOS FRAUDES DE LAS
TARJETAS DE CRÉDITO Y DÉBITO
2.1 Definición de fraude ................................................................................................ 22
2.1.1 Fraude con tarjetas.......................................................................................... 25
2.2 Cibercrimen.............................................................................................................. 27
2.2.1 Phishing............................................................................................................. 27
2.2.2 Pharming ........................................................................................................... 29
2.2.3 Skimming........................................................................................................... 30
2.2.4 Malware ............................................................................................................. 31
2.2.5 Spyware............................................................................................................. 31
2.2.6 Keyloggers ........................................................................................................ 32
2.2.7 Troyanos............................................................................................................ 33
2.3 Comercio electrónico.............................................................................................. 34
CAPÍTULO III

PROCESOS PARA LA PREVENCIÓN Y CONTROL DE LOS FRAUDES DE LAS
3.1 Controles y procedimientos sobre prevención ................................................... 35
3.1.1 Controles para la prevención de fraude ....................................................... 36
3.1.2 Procedimientos para la prevención fraudes ................................................ 37
3.1.3 Procedimientos para la detección de fraudes ............................................. 37
3.1.4 Procedimientos en el comercio electrónico ................................................. 38
3.1.5 Proceso para una reclamación por cargos no reconocidos...................... 39
3.2 Depto. en prevención y detección de fraude ...................................................... 40
3.3 Presentación de resultados ................................................................................... 41
3.3.1 Gráficas y tabulaciones................................................................................... 42
CAPÍTULO IV
PLAN PARA LA PREVENCIÓN Y CONTROL DEL FRAUDE EN LAS TARJETAS
DE CRÉDITO Y DÉBITO
4.1 Descripción del problema ...................................................................................... 53
4.1.1 Objetivos del plan............................................................................................. 53
4.1.2 Estrategias del plan ......................................................................................... 54
4.2 Implementación en el país ..................................................................................... 56
4.2.1 Recursos necesarios....................................................................................... 58
4.2.2 Representantes y tiempo de ejecución ........................................................ 61
4.3 Evaluación y control del plan................................................................................. 62
CONCLUSIONES.................................................................................................................. 63
RECOMENDACIONES......................................................................................................... 66
BIBLIOGRAFÍA ..................................................................................................................... 68
ANEXOS

1
INTRODUCCIÓN
Para el correcto estudio del tópico central “La prevención y control de los fraudes de
tarjetas de crédito y débito en los bancos de la República Dominicana”, hay que
desmenuzarlo en conceptos simples y mediante el uso de la gramática entre lazarlos
para un mejor acercamiento, a lo que es intrínsecamente.
En el diccionario de la Real Academia Española se encuentran dos definiciones
afines. La primera: Acto tendente a eludir una disposición legal en perjuicio del
Estado o de terceros. Y la segunda: Delito que comete el encargado de vigilar la
ejecución de contratos públicos, o de algunos privados, confabulándose con la
representación de los intereses opuestos.
Entendido esto hay que hablar del fraude electrónico que se presenta a manera de
virus, es decir, una vez ingresado altera el funcionamiento de la computadora o
dispositivo electrónico. Bloquea redes, daña los archivos del sistema de
almacenamiento. Estos se muestran en la pantalla con mensajes o imágenes
humorísticas, generalmente molestas. También como una solicitud de actualización
de datos o ingreso de información ya sea clave secreta, número de tarjeta,
documento de identidad, etc.
En principio, esto era un juego o lo hacían por afición. Pero esto creció aún más
cuando en 1981 se introducía los primeros sistemas IBM PC. Pero los cibernautas o
delincuentes de la Internet, la utilizaron para ganar dinero. Por eso, le dieron giro a la
creación para que empiece a resultar rentable. Los autores de este cibercrimen ya se
han implantado en la red, se dejan ver al igual que el comercio electrónico, la venta
de entradas para conciertos o la consulta de las últimas noticias. Sin duda, han
evolucionado de una manera peligrosa, es decir, se han convertido ya en bandas
organizadas.
Los fraudes electrónicos más conocidos a la fecha son:

2
Spam: Envío / Recepción de gran cantidad de correos electrónicos generalmente
conteniendo propaganda comercial. Una variante es el envío del mismo mensaje a
un solo servidor muchas veces con el fin de saturarlo e interrumpir el servicio.
Spyware: Es un programa espía, es un término usado para describir un programa
que de manera silenciosa se instala en un ordenador para recoger cualquier
información personal de los usuarios sin su conocimiento. Esta se infiltra en un
ordenador para dañarlo.
Pharming: Consiste en re-direccionar al usuario hacia un URL fraudulento sin que
éste se entere. Cuando un usuario trata de acceder a un URL, la dirección
fraudulenta lo lleva hacia sitio fraudulento donde se le presenta una pantalla similar a
la original, en la cual ingresa su usuario y contraseña. El sitio fraudulento responde
que hay error en usuario y/o contraseña, y que se debe intentar de nuevo. Cuando el
usuario reintenta, es direccionado al sitio legítimo.
Phishing: Forma de suplantación de identidad. El delincuente cibernético consigue
engañar al usuario mediante un correo, normalmente ‘spam’, invitándole por ejemplo
a realizar una operación bancaria en una página que aparentemente tiene la misma
interfaz que la de su banco.
Skimming: La clonación de tarjetas de crédito o débito mediante lectores en cajeros o
lugares de trabajos de gran flujo comercial.
La República Dominicana es más vulnerable al fraude electrónico que otros países
de la región según José Luis Vargas; director para el Caribe de FICO. Una compañía
líder en soluciones de analítica que ayuda a las organizaciones de más de 80 países
a tomar las mejores decisiones a la hora de incrementar sus niveles de crecimiento,
rentabilidad y satisfacción de los clientes. El fraude en el comercio electrónico en
América Latina y el Caribe alcanza los 430 millones de dólares al año y las

3
compañías a nivel global pierden 3,5 billones de dólares por fraude anualmente.
(2014).
El fraude que se comete con mayor frecuencia en toda Latinoamérica y el Caribe son
las transacciones internacionales. En este sentido, explica Vargas que "te roban la
identidad en tu país o en otro en el que estás viajando y luego hacen los consumos
en un país donde es común que se hagan compras de grandes montos para que no
haya verificación". Durante el encuentro apuntó que República Dominicana no cuenta
con la infraestructura tecnológica que tiene Puerto Rico para prevención de fraude,
por lo que se vuelve más vulnerable. (2014)
La infraestructura que tiene República Dominicana está limitada, hay evidencia sobre
elecciones caracterizadas por fraude electrónico y la manipulación digitalizada de los
votos. La primera se evidenció en el 1990 contra el Partido de la Liberación
Dominicana (PLD) y en 1994 contra el Partido Revolucionario Dominicano (PRD) a
nivel cuantitativo; ambas elecciones favorecieron la candidatura del doctor Joaquín
Balaguer.
Habiendo plantado las bases del presente proyecto de investigación, resta ubicarnos
estructuralmente:
Capítulo I: Aspectos teóricos relacionados con la seguridad tecnológica en las
entidades financieras; hace basamento en las teorías que guardan relación directa
con la seguridad cibernética en las entidades financieras. Logrando esto mediante el
desglose de temas como la seguridad informática, el departamento o área de
seguridad y riesgo de una financiera; las tarjetas de débito y crédito, sus ventajas y
desventajas, las diferencia entre ellas, las formas de evitar los distintos tipos de
fraudes.
Capítulo II: Aspectos teóricos relacionados con los fraudes de las tarjetas de crédito y
débito; en esta oportunidad se explican los diferentes medios por los que se realizan

4
las transacciones fraudulentas con las tarjetas de débito o crédito y/o la manera en
que captan los datos necesarios para realizarlas. Para el correcto análisis de este
apartado, el mismo iniciara con los conceptos de fraude, fraude con tarjetas, sus
antecedentes y el cibercrimen, con sus distintas derivaciones.
Capítulo III: Procesos para la prevención y control de los fraudes de las tarjetas de
crédito y débito, en el mismo hablaremos de los controles y procedimiento existentes
sobre la prevención de fraude y cuales procedimientos son utilizados. Auxiliados del
instrumento de 10 items diseñado para medir el grado de conocimiento de los tarjeta
habientes sobre el fraude y sus métodos.
Capítulo IV: Plan para la prevención y control del fraude en las tarjetas de crédito y
débito; con el objetivo principal de brindar a las entidades financieras de Rep. Dom.,
las herramientas necesarias para minimizar los daños causados por el delito
cibernético en nuestro país.
La estructuración de los capítulos anteriores está fundamentada en las bases del
objetivo general de diseñar un plan para la prevención y control de los fraudes de
tarjetas de crédito y débito en los bancos de la República Dominicana, periodo 2017-
2018; apoyándose en los específicos. Definir los aspectos teóricos relacionados con
la seguridad tecnológica en las entidades financieras; Definir los aspectos teóricos
relacionados con los fraudes de las tarjetas de crédito y débito; Analizar los procesos
que se llevan a cabo para la prevención y control de los fraudes de las tarjetas de
crédito y débito; Y señalar los aspectos del plan para la prevención y control del
fraude en las tarjetas de crédito y débito.

5
JUSTIFICACIÓN
Un delito informático o cibercrimen, se refiere a actividades ilícitas realizadas por
medio de aparatos electrónicos, internet y redes computacionales. Algunos delitos
informáticos son aún mayores y complejos, estos pueden incluir delitos tradicionales
como el fraude, el robo, chantaje, falsificación, en los cuales ordenadores redes han
sido utilizado. Con el avance tan precoz como es el de la tecnología las entidades
financieras deben velar por el bienestar de sus clientes para asegurar su futuro en la
era digital.
Un tema controversial y de gran importancia, con jurisdicción globalizada que tiene
sus inicios en la década de los ‘90. A través de la implantación de los primeros
ordenadores personales, hoy en día producto del auge de los teléfonos inteligentes y
otros medios electrónicos las entidades financieras de República Dominicana
necesitan una mejora en la infraestructura de detección de fraude, capacitar el
personal y los usuarios de los plásticos de dichas entidades.
Según la magnitud del tema tratado y a los niveles en que se ve envuelto, el fraude
electrónico está cada vez más inmerso entre las principales causas que afectan a los
Estados de todo el mundo. El interés de la presente investigación rondara en tres
puntos: El pueblo dominicano, pues es el más afectado, los empresarios de las
entidades financieras que deben cubrir total o parcialmente las pérdidas de sus
usuarios y el Estado dominicano, pues se nutre de la situación económica de sus
dependientes el pueblo y las empresas

6
DESCRIPCIÓN Y SISTEMATIZACIÓN DEL PROBLEMA
En el entorno general las debilidades más notables del sector financiero son sus
usuarios. La capacidad de estos para no ser presas del cibercrimen; la plataforma
utilizada por las diversas entidades financieras que solo están aptas para la
investigación de los sucesos no para su prevención, la cual necesita de las
actualización necesarias para dichos fines. Y por supuesto que la capacitación
necesaria para hacer uso de una plataforma actualizada y las herramientas que esta
demanda.
La corta visión de los empresarios privados y estatales del país. Son parte causante
de los acontecimientos relacionados al tema en República Dominicana, como
también la falta de actualización en los medios para la realización de las
transacciones financieras tanto las partes lógicas como físicas, la distribución de los
puestos acorde a la afiliación política, violentando los lineamiento del proceso de
reclutamiento de personal. Donde los asesores de seguridad del país son nacionales
de España, México, Estados Unidos u otra nacionalidad.
Un pronóstico asertivo en el que incurriría el país, es el aumento incontrolable del
cibercrimen, la caída de la moneda nacional, aumento de la deuda externa, alza de
los productos de primera necesidad y la infalible pérdida de identidad como nación.
Por lo que para la realización de este trabajo de investigación, surgen las siguientes
interrogantes:
¿Cuáles son los aspectos fundamentales de la seguridad tecnológica en las
entidades financieras?
¿Qué conceptos guardan relación con el fraude en las tarjetas de crédito y débito?
¿Cuáles son los procesos que se llevan a cabo para prevenir y controlar el fraude en
las tarjetas de crédito y débito?
¿Qué aspectos hay que tomar en cuenta para crear un plan de control y prevención
del fraude en las tarjetas de crédito y débito?

8
Diseñar un plan para la prevención y control de los fraudes de tarjetas de crédito y
débito en los bancos de la República Dominicana, periodo 2017-2018.
Específicos:
 Definir los aspectos teóricos relacionados con la seguridad tecnológica en las
entidades financieras.
 Definir los aspectos teóricos relacionados con los fraudes de las tarjetas de
crédito y débito.
 Analizar los procesos que se llevan a cabo para la prevención y control de los
fraudes de las tarjetas de crédito y débito.
 Señalar los aspectos del plan para la prevención y control del fraude en las
tarjetas de crédito y débito.
METODOLOGÍA DE LA INVESTIGACIÓN

9
Para el desarrollo apropiado del presente estudio sobre la prevención y control de los
fraudes de tarjetas de crédito y débito en los bancos de la República Dominicana, se
hizo uso del método analítico, pues se analizaron de forma crítica y constructiva las
informaciones obtenidas en la investigación que guardaban relación directa con los
canales o medios utilizados para la realización de las transacciones con tarjetas de
crédito o débito.
También se utilizó el método descriptivo, pues mediante éste se detallaron todos los
elementos que inciden en la prevención y control del fraude electrónico, para verificar
si estos ayudan a las empresas al logro de sus objetivos. Entre las técnicas que se
utilizaron para extraer las informaciones que permitirán hacer un trabajo de
investigación basado en los procedimientos científicos, se tiene la consulta
documental, pues se utilizaron libros, folletos, revistas, publicaciones y otras fuentes
relacionadas con el tema.
Se empleó un tipo de investigación campo-documental: basada en informaciones
obtenidas directamente de la realidad, permitiéndole al investigador cerciorarse de
las condiciones reales en que se han conseguido los datos. En otras palabras, el
investigador efectúa una medición de los datos.
El universo del estudio desarrollado fue conformado por las entidades financieras
más representativas del país (Banco Popular, BanReservas, Asoc. La Nacional,
ScotiaBank y la Asoc. Popular). La muestra seleccionada se compuso en base a 50
empleados de las diferentes instituciones seleccionadas, que sostengan relación
directa con el tema de estudio: seguridad, emisión de plástico, abastecimiento de
cajero, entre otros.
El instrumento empleado para la recolección de datos fue el cuestionario, el cual
estuvo compuesto de 10 preguntas cerradas, ya que se consideró el método más
eficaz, pues permitió obtener una información más completa sobre el tema en
cuestión. Los datos resultantes de la aplicación de la encuesta, fueron presentados

10
en tablas y gráficos estadísticos con sus respectivos comentarios, auxiliados de las
herramientas de office, Word y Excel.
CAPÍTULO I
ASPECTOS TEÓRICOS RELACIONADOS CON LA SEGURIDAD TECNOLÓGICA
EN LAS ENTIDADES FINANCIERAS
1.1 Seguridad informática

11
La seguridad informática consiste en asegurar que los recursos del sistema de
información de una organización se utilizan de la manera que se decidió y que el
acceso a la información allí contenida así como su modificación solo sea posible
a las personas que se encuentren acreditadas y dentro de los límites de su
autorización.
Esta ha tomado gran auge, debido a las cambiantes condiciones y nuevas
plataformas tecnológicas disponibles. La posibilidad de interconectarse a través
de redes ha abierto nuevos horizontes a las empresas para mejorar su
productividad, lo cual lógicamente ha traído consigo la aparición de nuevas
amenazas para los sistemas de información.
La seguridad es el área de la informática que se encarga de la protección de la
infraestructura computacional, así como de garantizar la confidencialidad,
integridad y disponibilidad de la información.1
Existen muchas definiciones del término seguridad. Simplificando, y en general,
podemos definir la seguridad como: Característica que indica que un sistema
está libre de todo peligro, daño o riesgo.
Cuando hablamos de seguridad de la información estamos indicando que dicha
información tiene una relevancia especial en un contexto determinado y que, por
tanto, hay que proteger. La Seguridad de la Información se puede definir como
conjunto de medidas técnicas, organizativas y legales que permiten a la
organización asegurar la confidencialidad, integridad y disponibilidad de su
sistema de información. 2
1 ITLA. (15 de marzo de 2017). Centro de seguridad informática y computación forense. Obtenido de
ITLA: http://www.itla.edu.do/seguridad/
2 Mifsud, E. (2012). Introduccion a la seguridad informática. España: Mc Grow-Hill.

12
Hasta la aparición y difusión del uso de los sistemas informáticos, toda la
información de interés de una organización se guardaba en papel y se
almacenaba en grandes cantidades de abultados archivadores. Datos de los
clientes o proveedores de la organización, o de los empleados quedaban
registrados en papel, con todos los problemas que luego acarreaba su
almacenaje, transporte, acceso y procesado.
Los sistemas informáticos permiten la digitalización de todo este volumen de
información reduciendo el espacio ocupado, pero, sobre todo, facilitando su
análisis y procesado. Se gana en 'espacio', acceso, rapidez en el procesado de
dicha información y mejoras en la presentación de dicha información.
Pero aparecen otros problemas ligados a esas facilidades. Si es más fácil
transportar la información también hay más posibilidades de que desaparezca
'por el camino'. Si es más fácil acceder a ella también es más fácil modificar su
contenido, etc.
Desde la aparición de los grandes sistemas aislados hasta nuestros días, en los
que el trabajo en red es lo habitual, los problemas derivados de la seguridad de la
información han ido también cambiando, evolucionando, pero están ahí y las
soluciones han tenido que ir adaptándose a los nuevos requerimientos técnicos.
Aumenta la sofisticación en el ataque y ello aumenta la complejidad de la
solución, pero la esencia es la misma.
Existen también diferentes definiciones del término Seguridad Informática. De
ellas nos quedamos con la definición ofrecida por el estándar para la seguridad
de la información ISO/IEC 27001, que fue aprobado y publicado en octubre de
2005 por la International Organization for Standardization (ISO) y por la comisión
International Electrotechnical Commission (IEC). “La seguridad informática
consiste en la implantación de un conjunto de medidas técnicas destinadas a
preservar la confidencialidad, la integridad y la disponibilidad de la información,

13
pudiendo, además, abarcar otras propiedades, como la autenticidad, la
responsabilidad, la fiabilidad y el no repudio.” 3
1.2 Área de seguridad y riesgo
El área de seguridad y riesgo de un banco emisor de tarjeta de crédito, es aquella
área donde específicamente se monitorea por medio de un sistema
automatizado, las actividades desarrolladas en las tarjetas de crédito y
proporciona el seguimiento a los casos identificados como fraudulentos.
Ahora bien, si hablamos del Área Seguridad y Riesgo en lo que se refiere a
seguridad y riesgo en general, tenemos que hablar de varias áreas que en el
tema de tarjeta de crédito, se consideran de riesgo específico. Tal es el caso por
ejemplo del área donde se analiza la documentación para la aprobación de la
tarjeta de crédito o el área responsable del envío y entrega del plástico a la
tarjeta habiente directamente.
Términos propios del Área:
Monitoreo: Seguimiento de la actividad de la tarjeta de crédito a través de un
sistema automatizado.
Sistema de Alertas: Emite aviso de todas aquellas transacciones sospechosas en
el momento en que sé está solicitando la autorización, de acuerdo a parámetros
establecidos en el sistema.
Prevención de fraude: Acción de crear normas y procedimientos con el fin de
evitar acciones o transacciones dolosas que puedan ocasionar pérdidas
económicas a una persona individual o empresa en particular y que se conviertan
en fraude potencial.4
3 Ibídem. Pág. 47
4 Liquez García, M. J. (2012). El contador público y auditor en la prevención y detección de fraudes
con tarjeta de crédito. Santo Domingo: UAPA.

14
Detección de fraude: Actividad dedicada a detectar actividades fraudulentas por
reclamos de clientes.
Recuperar: No perder el valor de las transacciones fraudulentas, ya sea porque el
cliente las paga o porque se utiliza otro medio para su recuperación.
Punto de compromiso: Lugar o comercio donde roban la información de las
tarjetas, para luego fabricar tarjetas falsas.
Referido: Solicitud de autorización directamente al emisor, debido a que la
tarjeta presenta algún problema.
Declinar: Rechazar la solicitud de autorización.
Contra cargo: Rechazo por parte del emisor de la transacción original, ya sea
porque el cliente no la recuerda o por ser una transacción fraudulenta.
Departamento
No existe un patrón que pueda determinar la organización del área de seguridad
y riesgo, dependerá de la administración del banco en particular. Algunos bancos
tienen esta área ubicada físicamente dentro del departamento de Seguridad del
banco; otros bancos que operan como grupos financieros, posiblemente la
ubiquen en el área de tarjeta directamente.
Importancia
La importancia de esta área radica en detectar transacciones potencialmente
fraudulentas y de ser posible evitar que ocurran. Además crear procedimientos
para la prevención de ataques de fraude por las bandas criminales.
La administración del banco debe considerar que el personal que labore en esta
área debe tener la capacidad de análisis y la suspicacia para detectar cualquier

15
actividad sospechosa en las transacciones efectuadas con tarjeta de crédito. Por
ser una labor sumamente delicada, el personal que labora para el Área de
Seguridad y Riesgo debe estar capacitado.
Las marcas de tarjeta dan seminarios de capacitación, para las diferentes áreas
de los emisores, con el fin de maximizar su servicio y al mismo tiempo de que los
emisores cumplan con los requerimientos y obtengan beneficios.5
1.3 Ventajas y desventajas de la tarjetas de crédito
Las ventajas importantes que se conocen sobre el uso de la tarjeta de crédito se
describen a continuación:
a) Aceptación en el ámbito mundial en cualquier comercio que exhiba la
marca a la que pertenezca.
b) Se puede utilizar en compras o retiros de efectivo.
c) Mayor conveniencia de servicios.
d) Crédito inmediato.
e) Menor riesgo de ser víctima de robo de efectivo o cheques.
f) Elimina el circulante.
g) Uso del financiamiento por los consumos durante el mes.
h) Financiamiento gratuito en caso de pago de contado.
i) Acceso a los cajeros automáticos, los 365 días del año, las 24 horas.
j) Seguro de viajes.
k) Seguro de autos rentados.
l) Seguro contra robo.
m) Seguro contra fraude.
n) Reemplazo del plástico en caso de emergencia, en cualquier parte del
mundo.
o) Transacciones a través del Internet.
p) Referencias crediticias para el buen usuario.
5 Ibídem. Pág. 45.

16
q) Reducción de costos administrativos para los establecimientos.
r) Reducción de riesgo de manejo de efectivo para el comercio.
s) Garantía de pago y evita gestión de cobro al comercio.
t) Aumento de volumen de ventas para el comercio.
u) Descuentos y promociones especiales por ser poseedor de una tarjeta de
crédito en particular si es buen usuario de la misma.
Las desventajas de la tarjeta de crédito con relación a las ventajas que ofrece, son
pocas y al igual que las ventajas van tanto para el tarjeta-habiente como para el
comercio:6
a) Alta tasa de interés por el financiamiento, 1.63 % mensual.
b) Comisiones por transacciones; (retiros de efectivo, por cheque rechazado,
por pago retrasado).
c) Riesgo de robo y fraude.
d) Riesgo de extravió y fraude.
e) Descontrol en gastos del usuario o tarjeta habiente.
f) Por uso del financiamiento, el costo del bien adquirido sube.
g) Riesgo de caer en mora por los altos pagos que pueda generar.
h) Riesgo de caer en cobro jurídico por mora.
i) Riesgo de malas referencias crediticias.
j) Pérdida por transacciones fraudulentas para el establecimiento.
k) El comercio cae en riesgo de cancelación de la afiliación, por liquidar
transacciones fraudulentas.
1.3.1 Diferencias entre tarjetas de crédito y debito
La diferencia entre tarjeta de crédito y débito no siempre está clara entre los
usuarios. Y fruto de ese desconocimiento se producen situaciones
desagradables: penalizaciones y deudas generadas de manera inesperada. En
6 Jurinski, J. J. (2015). Estafas bancarias. Guayaquil: Strategic Finance.

17
este artículo vamos a definir qué es cada tarjeta y cuáles son sus ventajas y sus
inconvenientes.7
Tarjetas de débito
Una tarjeta de débito es una tarjeta plástica vinculada a una cuenta bancaria
(normalmente a una caja de ahorros o una cuenta corriente). Al realizar compras
con este tipo de tarjetas, se debita automáticamente el valor de la compra de la
cuenta bancaria. Las tarjetas de débito también permiten retirar dinero desde los
cajeros automáticos, lo que representa una ventaja importante ya que los
mismos funcionan las 24 horas y no solamente en horario bancario.
Normalmente, cuando se termina el dinero en la cuenta bancaria a la que está
vinculada la tarjeta, no es posible continuar haciendo compras hasta que el
cliente vuelva a depositar fondos (o los reciba mediante alguna transferencia) en
su cuenta. De todas formas hay bancos que otorgan préstamos para poder
continuar comprando (hasta un cierto límite) aun cuando la cuenta no tenga más
fondos.
Las tarjetas de débito (al igual que las de crédito) son provistas por empresas y
redes dedicadas a tal fin tales como Visa y Master Card y son distribuidas a los
usuarios por los bancos.
Debido a que estas tarjetas no involucran necesariamente un préstamo o crédito
por parte del banco, los requisitos y garantías para la obtención de las mismas
suelen ser menores que los de las tarjetas de crédito. Normalmente al abrir una
caja de ahorros o cuenta corriente en un banco es normal que la misma venga
con una tarjeta de débito incluida.
Tarjetas de Crédito
7 economia.WS. (22 de Marzo de 2017). Las empresas. Obtenido de Economía Web Site:
http://www.economia.ws/diferencias-credito-debito.php

18
Una tarjeta de crédito es una tarjeta plástica que permite realizar compras
mediante un crédito otorgado por el banco emisor y por lo tanto el titular de la
tarjeta luego debe realizar el pago de esas compras al banco, en plazos y en una
fecha posterior a la de realización de la compra.
En la mayoría de los casos, las compras con tarjetas de crédito involucran un
interés que es variable dependiendo de la cantidad de cuotas elegidas para
realizar el pago total de la compra. Además, el banco suele cobrar un costo anual
de mantenimiento por la tarjeta.
Las tarjetas de crédito son provistas por empresas y redes dedicadas a tal fin
tales como Visa y Master Card y son distribuidas a los usuarios a través de los
bancos.8
Debido a que estas tarjetas representan en sí a la obtención de un crédito, es
muy común que los bancos exijan ciertos requisitos como prueba o garantías
para otorgar tarjetas de crédito (por ejemplo un recibo de sueldo, un recibo de
pago de un servicio, etc).
Al finalizar el período (normalmente mensual) el banco envía un resumen de los
gastos realizados por el cliente e indica el monto correspondiente a pagar en el
vencimiento más próximo. El cliente entonces puede efectuar el pago a través de
los medios de pago que el banco ofrezca, tales como pago en efectivo por
ventanilla, pago en efectivo por terminal autoservicio, pago manual desde una
caja de ahorros que el cliente tenga en el banco, débito automático desde una
caja de ahorros, etc.
Diferencias
8 Ídem.

19
La principal diferencia que existe entre ambas es que en una tarjeta de débito,
como la palabra lo indica, el valor de una compra se debita (o descuenta) desde
una cuenta que el cliente ya tiene en el banco y por lo tanto, salvo que el banco
otorgue algún tipo de préstamo, una vez que la cuenta no tiene más fondos no es
posible continuar realizando compras o extracciones hasta que la cuenta vuelva
a tener una cantidad igual o superior de dinero comparada con el monto de la
compra.
En cambio, la tarjeta de crédito representa (aunque muchas veces sea pequeño)
un crédito otorgado por el banco para realizar la compra. En este sentido si bien
ambas tarjetas suelen tener un costo de mantenimiento, en el caso de la de
crédito además hay que sumar los intereses que puedan existir por el
financiamiento de ese dinero.9
Otra diferencia es que para la mayoría de los casos, las tarjetas de débito
permiten retirar dinero de los cajeros automáticos de la red a la que pertenecen
(tal como si se retirara el dinero desde la ventanilla del banco) mientras que las
tarjetas de crédito no suelen hacerlo. Esto, desde ya, depende del banco, de la
marca de la tarjeta, de la red a la que pertenezca y del país.
1.4 Consejos de las entidades financieras
a) Nunca entregue claves de acceso secreto a otras personas ni su tarjeta;
b) Si al comenzar su operación, otra persona se encuentra muy cerca, pídale
que se retire hacia atrás. Si no lo hace es preferible que no efectúe la
transacción;
c) Verifique que no estén obstruidas las ranuras para introducir la tarjeta;
d) Al realizar la transacción, utilice su cuerpo como barrera para que otras
personas presentes en la fila no puedan ver cuando usted escribe su clave
de acceso o cuánto dinero está retirando;
9 Ídem.

20
e) Llévese los comprobantes con usted. No los bote en papeleras cercanas;
f) Nunca acepte ayuda de desconocidos, consejos o asistencia de otra
persona que esté en la fila o cerca;
g) Al terminar la transacción y retirar el dinero, tenga las llaves de su
vehículo en la mano, de modo que no pierda tiempo cuando lo aborde;
h) No perder de vista la tarjeta. En comercios donde se la entrega a un
dependiente considere un tiempo razonable para que esta le sea devuelta;
i) Revise a detalle su estado de cuenta. Y verifique que el saldo
corresponda al consumo;
j) Si se detecta un consumo que no se realizó, deberá notificar al banco de
inmediato;
k) Antes que deslicen por segunda vez la tarjeta de crédito, deberá pedir que
esperen a que llegue la autorización;
l) Nunca aceptar ayuda o sugerencias de extraños dentro de un cajero
automático;
m) No entregar la tarjeta a desconocidos o personas que la visiten en su
residencia a nombre del banco o emisor con la finalidad de darle una
nueva tarjeta;
n) Nunca debe estar condicionada la entrega de un premio o de un servicio
contra la información o datos de la tarjeta de crédito. En todo caso
verifíquelo con su banco;10
o) No revele su pin a nadie, ni lo traiga consigo. (El PIN por sus siglas en
inglés y NIP por sus iniciales en español ósea número de identificación
personal);
p) Tenga a la mano los teléfonos del proveedor del producto, para notificar
robo o extravió;
1.4.1 Formas de clonado
10 Cayetano Eliton, F. D. (2014). Los delitos que pueden efectuarse con tarjetas de crédito y débito
ilícitamente adquiridas. Asunción: CARNET.

21
Como formas de clonación de tarjetas de crédito, podemos comprender en
principio dos conductas que utilizan tecnologías similares, para producir
resultados que no en todos los casos son los mismos:
a) Clonación para compras
b) Clonación para retiros de cajeros
La primera de estas formas: consiste en copiar la información contenida en la
banda magnética (o en su caso chip) de una tarjeta de crédito, para luego
transferir la misma a otro plástico (o chip) y por medio de ese segundo elemento,
realizar compras con el saldo o el crédito que el tarjeta habiente pudiera tener
disponible en la misma.11
La segunda, si bien comienza con la copia de la información contenida, además
requiere de la obtención del numero confidencial del cliente para la realización de
retiros, ya que como sabemos sin ese número (NIP o número de identificación
personal o PIN por sus siglas en inglés) no es posible realizar extracciones en los
cajeros automáticos que es a lo que se apunta con esta conducta en particular.
La tarjeta de crédito se utiliza para cualquier tipo de compras, son emitidas a
favor de una persona determinada que le da derecho a adquirir bienes al crédito.
El uso de la tarjeta de crédito ha generado diferentes tipos de fraudes y delitos
en la actualidad, vivimos ya en una era tecnológicamente avanzada la cual se
presta para buscar innovaciones para los delitos informáticos.
1.4.2 Clonación en cajeros
En el caso de los cajeros automáticos, la mecánica delictiva varía de la anterior.
Debido a la necesidad de la obtención del número confidencial, no es tan simple
como el primer proceso sino que se desarrolla a través de la colocación de

22
dispositivos de lectura en los mismos equipos de retiro de dinero, los cuales
pueden consistir en la colocación de un skimmer a un lado de los lectores reales.
De esta manera se obtienen los datos de la banda magnética y para la obtención
del número de identificación personal se colocan cámaras ocultas que graban en
video la digitación que realiza el tarjetahabiente o en su caso se colocan equipos
de computación en lugar de las pantallas de los cajeros para que al digitar los
números estos queden grabados en el equipo que colocó el sujeto activo y de
esa manera completar la información necesaria.12
CAPÍTULO II
ASPECTOS TEÓRICOS RELACIONADOS CON LOS FRAUDES DE LAS
2.1 Definición de fraude
12 Galeon. (2014). Seguridad en tarjetas de crédito Visa. Madrid, España. Recuperado el 26 de Marzo
de 2017, de www.Kerubin.galeon.com

23
El vocablo Fraude se refiere a: “Engaño que se hace a uno para procurarse una
ventaja en detrimento de él, de los actos del deudor que dejan al acreedor sin
medios de cobrar lo que se debe. 13
El diccionario para Contadores del autor Kohler se refiere a fraude como:
“Práctica de la simulación o del artificio con intención de engañar o lesionar a
otro, ordinariamente el fraude involucra la representación falsa y voluntaria o la
ocupación deliberada de un hecho importante con el fin de inducir a otra persona
a que haga o se abstenga de hacer algo en su detrimento, o de no revelar un
hecho importante, de esta manera podrá inducirse fraudulentamente a una
persona a que renuncie a sus derechos sobre una propiedad, o que abandone
sus derechos legales, a que se firme un contrato desventajoso.(1982)
El término “fraude” se refiere a un acto intencional por parte de uno o más
individuos de la administración, empleados o terceras personas, que da como
resultado una representación errónea de los estados financieros.
El fraude puede implicar:
 Manipulación, falsificación o alteración de registros o documentos.
 Malversación de activos.
 Supresión u omisión de los efectos de transacciones en los registros o
documentos.
 Registro de transacciones sin sustancia.
 Mala aplicación de políticas contables.
La esencia de los fraudes punibles (estafas) reside en el elemento interno:
engaño, que es, la mutación o alteración de la verdad para defraudar el
13 Real Academia Española. (2014). Diccionario de la lengua española. Fraude, (23.a Ed.). Madrid,
España: RAE.

24
patrimonio ajeno. Mediante una manipulación o ardid, se procura hacer llegar al
dominio del activo, el bien ajeno.
Las legislaciones modernas ante lo arduo de encontrar una definición que
comprenda íntegramente en reducidos términos la complejidad del fraude,
prefieren hacer una lista detallada de los casos de incriminación, provistos cada
uno de constitutivas especiales pero comprendidos todos ellos bajo la
denominación común de fraude. El fraude puede ocurrir en todo tipo de ente:
público y privado, de beneficencia y con fines de lucro, industrial, comercio, de
servicio y financiero.14
Los tipos más frecuentes de actividades de fraude, que usualmente ocurren
podrían incluir pero no limitarse a:
 Utilizar plásticos destruidos parcialmente
 Lavado de dinero con tarjeta crédito
 Robo de estados de cuenta.
 Consumo y retiros de efectivo usando una tarjeta de crédito no entregada
o robada o clonada.
 Robo de base de datos de clientes.
 Operaciones de créditos y pagos a cuentas fraudulentas.
 Activación de tarjetas inactivas y retiro de fondos de éstas.
El fraude puede adoptar diversas formas ya que los individuos u organizaciones
que lo perpetran, buscan formas más sofisticadas y complejas de hacerlo con el
fin de burlar el sistema de control interno establecido por la entidad que se
trate. Sin embargo, no es nuestro objetivo cubrir estas diferentes formas y
entidades ya que en éste capítulo nos enfocaremos específicamente al fraude
con tarjeta de crédito.
14 Liquez García, M. J. (2012). El contador público y auditor en la prevención y detección de fraudes
con tarjeta de crédito. Santo Domingo: UAPA.

25
2.1.1 Fraude con tarjetas
Transacción en la cual el tarjeta habiente no participó, ni autorizó un consumo o
retiro de fondos con su plástico. Para ampliar el concepto de fraude con tarjeta de
crédito, se puede decir que: son todas aquellas transacciones realizadas con un
plástico valido o invalido, con el fin premeditado de obtener bienes y servicios,
los cuales serán cargados al estado de cuenta del titular del mismo, como
transacciones legítimas, que obviamente el tarjeta habiente no reconocerá, lo
cual representa pérdida para el banco emisor de la tarjeta; esto dependerá del
tipo de fraude para determinar si los valores son recuperables o no.15
2.1.1.1 Antecedentes
El fraude con tarjeta de crédito se ha dado desde que se emitieron las primeras
tarjetas de crédito. Para los expertos en la materia, la tarjeta de crédito
representa, una forma de robo o sustracción, ya sea de efectivo o bienes
adquiridos, que luego son vendidos para obtener el efectivo, que es el objetivo
principal de las personas que se dedican a esta actividad.
Al inicio los delincuentes cometían fraude utilizando tarjetas originales
extraviadas por su dueño o tarjetas robadas, las cuales no habían sido
reportadas como tales.
Seguidamente, se elaboraron tarjetas con características de una tarjeta
original. Luego con una tecnología más avanzada, se logró copiar los datos de la
banda magnética, con lo cual se acertó un fuerte golpe a las instituciones
emisoras de tarjeta de crédito, pues dio lugar a una nueva forma de cometer
fraude, denominada “Skimming” o sea transacciones con una tarjeta que tiene la
copia fiel de la banda magnética original, por lo que la institución que es
afectada por este tipo de fraude, no tiene otra salida, más que absorber como

26
pérdida el valor de las transacciones originadas por un Skimming o sea una
tarjeta clonada.
A medida que los delincuentes y los sistemas de procesamiento se hacen más
sofisticados, se multiplican las oportunidades para obtener acceso a información
valiosa de tarjetas de crédito.
El Internet es una ventana a la modernización y avance tecnológico de las
grandes ciudades, pero para la industria de la tarjeta de crédito el riesgo de
fraude que representa es en un nivel bastante elevado. Con el uso del Internet,
los piratas cibernéticos han cometido fraudes millonarios, en tan solo minutos,
sin dejar evidencia de donde se originó la transacción.16
“En el año de 1989 como una forma de contrarrestar la epidemia mundial de
fraude, las marcas de respaldo introdujeron un programa que permitiría que las
transacciones originadas en una terminal que tuviera la capacidad para leer la
banda magnética, fueran autorizadas únicamente si la misma incluyera un código
numérico que coincidiera con el que el emisor tiene en el archivo correspondiente
a la tarjeta y así se han ido haciendo mejoras, para proteger a los tarjeta
habientes y simultáneamente proteger el negocio de la tarjeta de crédito.
Una de las últimas medidas para evitar la falsificación ha sido la implementación
de las tarjetas con microchip, la desventaja que representa, es su alto costo,
aparte de ello el riesgo de que el mismo sea robado. Las bandas de criminales,
están ahora muy bien organizadas y equipadas con tecnología que les permite
cometer fraude desde el lugar de habitación, sin necesidad de tener que estar
presentes en el lugar de la transacción. Todo esto hace que los bancos emisores
de tarjeta de crédito se preocupen por protegerse y evalúen si sus controles son
eficaces.

27
2.2 Cibercrimen
El desarrollo de Internet y de las nuevas tecnologías asociadas a la red
relacionadas con la información y las comunicaciones hacen del ciberespacio un
nuevo lugar para la perpetración de distintos ataques a bienes jurídicos tan
importantes como la intimidad, el honor, la propiedad, la libertad sexual y hasta la
integridad física y la vida.
Aunque la mayoría de las conductas no son, en esencia, algo nuevo en sí
mismas la extraordinaria particularidad del medio con el que se cometen, o sobre
el que actúan, confiere a estas conductas una especial configuración que obliga a
romper los esquemas clásicos para su investigación y enjuiciamiento.
Se entiende por “ciberdelito” o “cibercrimen” cualquier infracción punible, ya sea
delito o falta, en el que se involucra un equipo informático o Internet y en el que el
ordenador, teléfono, televisión, reproductor de audio o vídeo o dispositivo
electrónico, en general, puede ser usado para la comisión del delito o puede ser
objeto del mismo delito.17
2.2.1 Phishing
El “phishing” ocurre a través de Internet y consiste en obtener todos los datos del
usuario, claves, cuentas bancarias, números de tarjetas de crédito entre otros,
para usarlos posteriormente en cualquier fraude electrónico.
Funcionamiento
En cualquier momento puedes recibir un correo electrónico de tu banco o tienda
de Internet explicando que por razones de seguridad, mantenimiento, mejora del
servicio, confirmación de identidad, advertencia de fraude o cualquier otro motivo,
debes actualizar los datos de tu cuenta. El correo de fraude también puede decir
17 Rayón Ballesteros, M. C., & Gómez Hernández, J. A. (2014). Cibercrimen: particularidades en su
investigación y enjuiciamiento. Madrid: Anuario Jurídico.

28
que te bloquearán la cuenta si no actualizas la información en un período de
tiempo determinado.18
Por lo general, dichos correos imitan el diseño (logotipo, firma, etc.) que utiliza el
banco (o tienda) para comunicarse regularmente contigo. El mensaje puede tener
un formulario para enviar los datos, aunque lo más habitual es que incluya un
enlace a una página para actualizarlos allí y de esa manera capturarlos para
cometer fraude.
Prevención
 Resguarda tus Datos. No suministres datos personales, claves u otros
datos a través de correos electrónicos.
 Mantente Atento. Nunca respondas correos no solicitados o de origen
desconocido.
 Navega seguro. Nunca hagas clic en enlaces procedentes de otros sitios.
Debes escribir la dirección exacta de la página en la barra del navegador.
2.2.1.1 Spam
Se define como los mensajes no solicitados, habitualmente de tipo publicitario,
enviados en forma masiva a muchos usuarios al mismo tiempo. La vía más
utilizada es la basada en el correo electrónico pero puede presentarse por
programas de mensajería instantánea o por teléfono.19
El término spam proviene de la contracción de Spiced Ham (carne especiada), un
producto muy comercializado en Reino Unido durante la Segunda Guerra
Mundial. Años más tarde, el grupo humorístico británico The Monty Python fue el
responsable de otorgarle el significado que tiene hoy spam tras popularizar una
broma televisiva en la que sus protagonistas repetían esta palabra en
18 Salas Peña, D. (2014). Responsabilidad civil bancaria frente al cliente por delitos informáticos.
Santo Domingo: UNAPEC.
19 FACUA. (2012). El Spam: qué es y cómo enfrentarte a él. Sevilla: INC.

29
innumerables ocasiones, de la misma manera en que ahora lo hace el correo no
deseado.
Junto a lo que se conoce de forma genérica como spam, con el paso del tiempo
se han ido desarrollando técnicas más desarrolladas que por los métodos
característicos que siguen y por el importante número de consumidores a los que
puede llegar han adoptado nombres específicos.
2.2.2 Pharming
El “pharming” consiste en conseguir que las páginas visitadas por los usuarios no
sean auténticas, sino otras creadas para recabar datos confidenciales
especialmente relacionados con la banca en línea.20
Funcionamiento
 Si al escribir un nombre en la barra del navegador de Internet
automáticamente se convierte en una dirección IP numérica; es decir, si se
transforma el texto que escribiste en números. Esto se le llama resolución
de nombres y se hace en los servidores DNS (Domain Name Server).
 Al modifica la lista de los nombres de servidores y direcciones IP (host) en
el computador que está conectado a Internet, de manera que al acceder a
una página específica, realmente entres a una página falsa.
Prevención
 Valida que estés conectado a la página auténtica de Banesco cuando
quieras entrar a la banca en línea. Para ello, verifica lo siguiente en la
pantalla de acceso antes de ingresar tu usuario y clave: La dirección o
URL que vez en la parte superior de la pantalla debe ser:
https://www.banesconline.com/mantis/Website/Login.aspx. Es importante
que la dirección comience con HTTPS y no con HTTP.
20 Salas Peña. Op. Cit. Pág. 89

30
 No abras mensajes ni anexos de correos electrónicos de personas
desconocidas. En oportunidades los delincuentes envían videos o archivos
multimedia y te indican que debes instalar (o bajar) “programas
especiales” para poder visualizarlos. Dichos programas capturan tus
claves y datos cuando los ingresas en la página web del Banco.
 Evita ingresar a la página web del banco desde un cybercafé, o lugares
públicos.
 Instala un firewall (corta fuego) y un antivirus en tu computador personal o
dispositivo móvil. Actualízalo frecuentemente.
 Actualice periódicamente el sistema operativo de tu computador personal
o dispositivo móvil y el navegador que usa para conectarte a
Banesco.com.
 No instales aplicaciones de fuentes desconocidas o de procedencia
dudosa en tu computador personal o dispositivo móvil.
2.2.3 Skimming
Esquema de fraude que se realiza a través de Datafonos o de ATMS; el
delincuente copia o escanea la información financiera y personal de la tarjeta de
crédito o débito de la víctima y luego la regraba en una tarjeta falsa, creando así
una réplica que tiene los mismos alcances y limitaciones que su tarjeta
personal.21
Para llevar a cabo el fraude el delincuente utiliza un pequeño aparato
denominado Skimmer o hilo del pescador, que se instala en la ranura del ATM
para que al momento de que se inserta una tarjeta, copia inmediatamente su
información, mientras un cómplice o el mismo estafador, se posiciona de tal
manera que se pueda percatar de los números del PIN y así al momento que la
víctima abandona el cajero automático de su entidad financiera, el criminal retira
sus fondos con la tarjeta clonada. A menudo, el tarjetahabiente no está
21 Cayetano Elinton. Op. Cit. Pág. 27

31
consciente del fraude hasta que su estado de cuenta es entregado y muestra las
compras que ellos no hicieron.
2.2.4 Malware
Una palabra genérica para describir cualquier tipo de programa o archivo dañino
para el ordenador. Proviene de una agrupación de las palabras malicious
software. Los tipos de Malware más conocidos son los virus, gusanos, troyanos,
puertas traseras, exploits, programas espías, ente otros.
Son códigos que lo que hacen es leer el teclado o referenciar y buscar dentro de
los archivos las contraseñas y demás datos que la gente tiene guardada en su
computadora, por eso no debe activarse la opción de recordar contraseña, con el
malware se buscan esos archivos dentro del sistema operativo para extraerlos.
Generalmente se instala por medio de virus o de descargas de archivos, en
correos o redes sociales.22
2.2.5 Spyware
El Spyware es todo aquel software que recolecta y envía información a los
usuarios. Normalmente, trabajan y contaminan sistemas como lo hacen los
caballos de Troya (Troyanos). Puede venir asociado a utilidades (reproductor
mp3 o un juego) y, generalmente, se ofrece como una clase de software sin
cargo (gratuito).
Funcionamiento
El problema es que tiene, también, un segundo componente oculto, que recolecta
información sobre los hábitos informáticos de los usuarios y envía la información
por Internet al creador del software.
22 Fernández Lázaro, F. (2017). Los nuevos medios de investigación en el proceso penal: Medios
técnicos en la Investigación de los delitos informáticos. Madrid, España: Consejo General del Poder
Judicial.

32
El hecho que esta actividad suceda sin el conocimiento del usuario, hace que se
les denomine “programas espías”.
En un inicio, los Spyware fueron utilizados para rastrear los datos que la persona
iba generando en Internet con fines de marketing, como por ejemplo, las
tendencias de compra de productos o las preferencias que mostraba. Sin
embargo, posteriormente se ha utilizado con fines delictivos.23
Prevención
El cuidado que debe tenerse para evitar la instalación de Spyware es descargar
aplicaciones únicamente en sitios seguros, fiables y no aceptar cualquier tipo de
invitación para abrir y descargar en el equipo un archivo.
2.2.6 Keyloggers
El “Key Logger” o capturas de teclado, son programas o dispositivos que se
instalan en un computador para grabar lo que escribe un usuario. La información
es utilizada posteriormente por el delincuente para cometer fraude electrónico.
Funcionamiento
Existen dos tipos:
 Hardware: Es un dispositivo USB o PS/2, que se conecta entre el PC y el
teclado a través de los puertos. La información se almacena en una
memoria extraíble a la que solo tiene acceso el delincuente. El dispositivo
puede desconectarse fácilmente si es descubierto el fraude.
 Software: Son programas que se instalan y funcionan de manera invisible
en las computadoras sin que se visualicen en la pantalla de tareas, ni de
procesos activos. Los key loggers son identificados por los antivirus y
mecanismos de defensa como programas espías o troyanos.24
24 Ídem.

33
Los Key Loggers pueden monitorear:
 Las teclas que se pulsan.
 Información sobre la utilización de Internet y muchas otras actividades que
se realizan en el computador del cliente al que se está espiando.
 La mayoría de los Key Logger envían la información que capturan por
correo electrónico, sin necesidad de tener acceso físico al computador.
Prevención
 No abras mensajes, ni archivos anexos a correos electrónicos que
proceden de personas desconocidas. Algunas veces se envían correos
falsos en nombre de Banesco con supuestos multimedia o videos de
temas actuales que requieren que instales un programa especial para
visualizarlos. Al instalarlo, se implanta en la computadora el Key Logger
que captura la actividad que realizas y luego la utiliza el delincuente.
 Evite ingresar a la página del Banco desde un cybercafé o lugares
públicos.
 Instala un firewall (corta fuego) y un antivirus en tu computador personal o
dispositivo móvil. Actualízalo frecuentemente.
 Actualiza periódicamente el sistema operativo de tu computador personal
o dispositivo móvil y el navegador que usas para conectarte a Banesco.
 No instale aplicaciones de fuentes desconocidas o de procedencia dudosa
en tu computador personal o dispositivo móvil.
2.2.7 Troyanos
Un programa denominado Caballo de Troya o Troyano es un software dañino
disfrazado de software legítimo. Así, el programa parece ser inofensivo, sin
embargo, de manera oculta contiene una sección de código oculto, que al ser
procesado se activa y provoca graves distorsiones en los sistemas informáticos.

34
Funcionamiento
El caballo de Troya es un método de manipulación en el procesamiento de datos
ingresados, y su nombre se deriva de la obra La Ilíada de Homero. Los caballos
de Troya no son capaces de replicarse por sí mismos y, por lo tanto, son
adjuntados con cualquier tipo de software por un programador o puede
contaminar a los equipos por medio del engaño.
Los troyanos son utilizados generalmente para espiar personas, para ello,
instalan un programa de acceso remoto que permite monitorear lo que está
haciendo, en cada momento el usuario, por ejemplo, la captura de pulsaciones
del teclado, las contraseñas, la recepción de capturas de pantalla (muestran lo
que el usuario ve).25
Prevención
La mejor manera de protegerse contra los troyanos es, en primer lugar, utilizar un
anti-malware actualizado, que como se comentó supra, consiste en un sistema
que brinda mayor protección que los antivirus pues detectan todo tipo de
amenaza, incluidos los caballos de Troya. Además, no abrir, descargar o ejecutar
nada de lo que se desconozca su origen.
2.3 Comercio electrónico
El comercio electrónico, también conocido como e-commerce (electronic
commerce / e-commerce en inglés), consiste en la compra y venta de productos
o de servicios a través de medios electrónicos, tales como Internet y otras redes
informáticas. Con el advenimiento del Internet y la World Wide Web el e-
commerce se refiere a la venta de bienes y servicios a través de Internet, usando
como forma de pago medios electrónicos, tales como las tarjetas de crédito o
servicios de dinero electronico (e-money) como paypal o bitcoin.
25 Fernández Lázaro. Op. Cit. Pág. 92

35
La cantidad de comercio electrónico en la República Dominicana ha crecido
considerable a medida que el Internet se hace asequible a la población en
general. Una gran variedad de comercio se realiza de esta manera, estimulando
la creación y utilización de innovaciones como la transferencia de fondos
electrónicamente, la administración de cadenas de suministro, el marketing en
Internet, el procesamiento de transacciones en línea (OLTP), el intercambio
electrónico de datos (EDI), los sistemas de administración del inventario y los
sistemas automatizados de recolección de datos.
La Empresa Privada en la República Dominicana ha iniciado el uso del comercio
electrónico para maximizar sus beneficios y para ofrecer mejores servicios a sus
clientes.
La ley que regula el comercio electrónico en la República Dominicana es la Ley
No. 126-02 del 4 de septiembre del año 2002. Esta ley define el comercio
electrónico como toda relación de índole comercial, sea o no contractual,
estructurada a partir de la utilización de uno o más documentos digitales o
mensajes de datos o de cualquier otro medio similar.26
CAPÍTULO III
PROCESOS PARA LA PREVENCIÓN Y CONTROL DE LOS FRAUDES DE LAS
3.1 Controles y procedimientos sobre prevención
26 Ley No. 126-02. (16 de Octubre de 2002). Comercio Electrónico, Documentos y Firmas Digitales.
Sto. Dgo., Rep. Dom.: Congreso Nacional.

36
Prevención de fraude significa crear un ambiente de trabajo que valore la
honestidad y altos ejecutivos que den ejemplo de verdad, honestidad y justicia en
sus actividades diarias. En lo que se refiere a la detección de fraudes, el sistema
se vale de la auditoría, que desde su creación ha sido usada principalmente para
este fin.
La importancia de prevenir fraudes con tarjeta de crédito proviene desde que un
banco decide trabajar con tarjeta de crédito, ya que el fin del banco es crecer a
través de los productos que ofrece y si estos son utilizados o sustraídos en
forma fraudulenta, se está perdiendo el objetivo con que se inició el proyecto.
En este sentido es importante señalar que los controles y procedimientos por sí
mismos no previenen el fraude, sino que simplemente facilitan su detección. La
manera más idónea de prevención es la educación del usuario en lo que son las
técnicas utilizadas por los ciberdelincuentes.27
3.1.1 Controles para la prevención de fraude
a) Segregación de funciones.
b) Rotación de puestos.
c) Desarrollo de políticas y procedimientos.
d) Aumentar el nivel de seguridad.
e) Restringir el acceso a áreas consideradas de riesgo
f) Eliminar reportes impresos.
g) Revisar los procesos.
h) Colocación de PIN solo por personas autorizadas.
Los controles descritos anteriormente son aplicables perfectamente para lo que
es la prevención de fraudes. Pero en lo que se refiere a tarjeta de crédito, se
debe considerar controles adicionales, debido a la particularidad del producto en
27 Entrevistas realizadas en las instituciones financieras

37
sí. Es importante señalar que debe tenerse claro los controles desde la
aprobación del crédito hasta el control de aprobación de transacciones.
3.1.2 Procedimientos para la prevención fraudes
a) Revisar alertas del sistema de Riesgo.
b) Localizar al cliente y confirmar la transacción.
c) Capacitación a empleados.
d) Pago de salarios competitivos.
e) Trato equitativo a los empleados.
f) Proveer un ambiente seguro de trabajo.
g) Felicitar a los colaboradores cuando se cumplen las metas.
h) Contraseñas de identificación y políticas de cambio.
i) Establecimiento de niveles de autoridad.
j) Restricción de acceso a computadoras con información confidencial.
3.1.3 Procedimientos para la detección de fraudes
a) Auditorias periódicas y sorpresivas.
b) Realizar inventarios eventuales.
c) Monitorear transacciones inusuales.
d) Verificar la frecuencia de las transacciones.
e) Intentos de autorización.
f) Cantidad de rechazos de autorización.
g) Monitoreo de actitudes del empleado, sus valores y satisfacción del
trabajo.
En el uso de la tarjeta se debe contar con procedimientos adicionales de
acuerdo a la particularidad de operaciones que genera el producto en sí. En lo
que se refiere a transacciones electrónicas o sea transacciones a través del
Internet, los procedimientos para la prevención de fraude no serán únicamente
del punto de vista banco emisor, sino también del punto de vista del comercio.

38
3.1.4 Procedimientos en el comercio electrónico
Las marcas de tarjeta de crédito considerando que el Internet es una red abierta
al público y que el nivel de fraudes a través de este medio aumenta, ofrecen
mecanismos de autentificar los elementos participantes de las transacciones.
Encriptación: es el método elegido para la transmisión segura de datos. Aun
utilizando mecanismos de seguridad como lo es el encriptado de datos, la
información de los clientes que reside en los servidores del comercio representa
un riesgo por los piratas cibernéticos.
Autentificar las transacciones del Internet: Transacción electrónica segura, otro
método el cual consiste en que tanto el comercio como el tarjeta habiente poseen
un certificado digital que servirá para verificar la autenticidad de ambos.
a) El Tarjeta habiente antes de enviar la información de pago, verifica en su
monedero electrónico el certificado del comercio.
b) El comercio verifica el certificado del Tarjeta habiente.
c) La información de pago incluida en el certificado es encriptado y la firma
electrónica es adicionada a la orden. Con la seguridad de no ser alterada o
descifrada en el proceso.
Transacciones electrónicas:
El comercio electrónico está rodeado de circunstancias que crean un nuevo
conjunto de riesgos: Su público es mundial, disponibilidad constante,
transacciones en el menor tiempo a cualquier parte del mundo.
Por el riesgo inherente que representa se recomienda el siguiente procedimiento
al momento de realizar una transacción electrónica.

39
a) Usar un explorador seguro.
b) Comprar en comercios con buena reputación.
c) Saber quién está del otro lado.
d) Mantener contraseña o password en un lugar seguro.
e) Verificar políticas relacionadas al envió y devolución de la mercadería.
f) Proporcionar los datos de la tarjeta, solo si tiene la seguridad y confianza
en el comercio.
3.1.5 Proceso para una reclamación por cargos no reconocidos
Si es detectado por monitoreo:
Contactan al cliente y cancelan el plástico, refiriendo al cliente a una oficina para
tomar la reclamación por los cargos no reconocidos, en caso de que el cliente se
encuentre fuera del país estos toman el reclamo.
Si es detectado por el cliente:
1. El cliente se comunica al departamento de prevención de fraude y
monitoreo para informar los cargos no reconocidos, el departamento se
encarga de cancelar el plástico refiriendo al cliente a una oficina para
tomar la reclamación por los cargos no reconocidos, en caso de que el
cliente se encuentre fuera del país estos toman el reclamo.
2. Dependiendo de qué tipo de cargo es el reclamado se refiere al
departamento de Servicios o Intercambio.
3. Luego de que los departamentos de Servicios o Intercambio hacen su
gestión de contra cargos y recuperación entonces envían el caso a Delitos
Electrónicos para tomar la decisión por la cantidad reclamada o restante
en caso de haber recuperación parcial. Si el caso resulta favorable para el

40
cliente, el departamento recomienda el crédito o la ratificación del crédito
provisional otorgado al momento de tomar el reclamo, en caso de resultar
desfavorable para el cliente, entonces se envía a cargar la suma
reclamada o se niega el crédito en caso de que no se haya otorgado
crédito provisional al momento de tomar la reclamación.
3.2 Depto. en prevención y detección de fraude
Prevención de Fraudes (División de Operaciones de tarjetas): Este departamento
se encarga del monitoreo en línea de las transacciones que generan alertas si
cumplen con lineamientos o patrones sospechosos de fraude.
Este también se encarga de contactar al cliente en caso de que su tarjeta sea
bloqueada y también tomar reclamaciones por las transacciones no reconocidas.
Análisis de fraude (División de Operaciones de tarjetas): Este departamento se
encarga del análisis de las tendencias de fraude y de la detección de puntos
comunes de compromiso. Hacen sugerencias y recomendaciones para mitigar el
impacto del fraude.
Departamento de Servicios (División de Operaciones): Se encargan de filtrar las
reclamaciones de cargos no reconocidos a nivel cajeros automáticos en el mismo
banco, también de reclamaciones que no necesitan de una gestión de contra
cargo o de contacto con los adquirentes.
Departamento de Intercambio (División de Operaciones): Este departamento se
encarga de la primera gestión al momento de que un cliente toma una
reclamación por fraude o cargos no reconocidos. Estos se encargan de gestionar
los contra cargos con la marca, pedir copia de los vouchers o documentación de
los cargos a los adquirentes y recuperar transacciones que no cumplan con los
criterios de lugar.

41
Departamento de prevención de Delitos Electrónicos (División de Investigaciones:
Seguridad): Este departamento se encarga de analizar y hacer la investigación
de los casos enviados por los departamentos de Intercambio y Servicios una vez
ellos concluyan su gestión. Delitos electrónicos se encarga de realizar los
informes y buscar las evidencias que demuestran que el caso reclamado por el
cliente se trate de un caso de fraude, en caso de no tratarse de un caso de
fraude, entonces el reclamo se rechaza.
Dentro de este mismo departamento hay una sección que se encarga de dar
seguimiento dando charlas en oficinas con vistas a preparar mejor a los oficiales
y representantes al momento de verse frente a un posible caso de fraude,
también realizan labores de campo como la detección de "Skimmers" (aparatos
para copiar tarjetas) en cajeros automáticos y comercios. Se realizan estrategias
y se dan sugerencias a la alta gerencia para la mitigación y reducción de los
fraudes.
Departamento paralegal (División de Investigaciones: Seguridad): Este
departamento se encarga de someter ante la justicia a los defraudadores que son
identificados. Estos asisten a audiencias y sirven como parte demandante ante
los defraudadores una vez son atrapados por la policía.
3.3 Presentación de resultados
Según las encuestas realizadas en las instituciones financieras de República
Dominicana, los resultados arrojados fueron los siguientes:
El 40% de la población encuestada es parte del Banco Popular, el 54% utiliza
ambos servicios en cuanto al plástico se refiere, tanto débito como crédito. El
26% coincide que el método más conocido para los fraudes con tarjetas es el
Malware, donde el más efectivo hasta el momento es Skimming que posee el
30% en el rango de víctimas.

42
Por lo antes expresado ha de suponerse que la vía de fraude más utilizada por
los ciberdelincuentes es la clonación que ocupa un 74% ante el robo y la
falsificación de tarjetas. Otro punto de interés es la crecida de los delitos
informáticos por el desmesurado uso del e-Commerce. Por lo cual creen que la
forma más efectiva para contrarrestarlo son los pagos en línea.
En las mismas se constató que las zonas más afectadas son las medias y bajas,
donde la mayor parte del asentamiento de denuncias es en INDOTEL y el
conocimiento sobre las normas de tarjetas está en un nivel aceptable.28
3.3.1 Gráficas y tabulaciones
1. ENTIDAD FINANCIERA
28 Resultados de las encuestas realizadas en las instituciones financieras Rep. Dom. 2017
TABLA 1
NO. VARIABLE FRECUENCIA %
1 Banco Popular 20 40
2 Asoc. Popular 10 20
3 BanReservas 15 30
4
Asoc. La
Nacional
2 4

43
Fuente: Encuestas realizadas en las instituciones financieras de Rep. Dom., 2017
Según las encuestas realizadas en las instituciones financieras de República
Dominicana, los resultados arrojados fueron los siguientes: 40% del Banco
Popular, 20% para la Asoc. Popular, 30% para el BanReservas, un 4% en La
Nacional y 6% del ScotiaBank. Marcando la supremacía en participación del
Popular.
2. TIPO DE TARJETA
5 ScotiaBank 3 6
TOTAL 50 100
20
10
15
2
3
0
5
10
15
20
25
Banco Popular
Asoc. Popular
BanReservas
Asoc. La Nacional
ScotiaBank

44
Para la determinación del producto más utilizado se cuestionó a la población
objeto de estudio cuál de los producto poseen, de acuerdo al cuestionamiento se
obtuvieron los resultados siguientes: 13 puntos, equivalentes al 26% de la masa
total para el Crédito, luego una baja de 3 puntos donde se refleja el 20% de la
preferencia por el plástico de Débito y un alza equivalente al 54 por ciento. Donde
muestra claramente la preferencia del uso combinado de ambos productos.
3. DELITOS CON TARJETA DE CRÉDITO O DÉBITO
TABLA 2
1 Crédito 13 26
2 Débito 10 20
3 Ambas 27 54
TOTAL 50 100
13
10
27
0
5
10
15
20
25
30
Crédito Débito Ambas
Crédito
Débito
Ambas

45
Para el cuestionamiento que nos antecede la gráfica muestra que entre los
cibercrimenes conocidos por los usuarios el mayor es el Malware, representando
un 26%, seguido por el Spyware con un 22%, en el extremo inferior de la lista
está el Keylogger con tan solo 2 puntos y representando un 4% de popularidad.
4. VÍCTIMAS DE DELITO CON TARJETAS
TABLA 3
1 Phishing 5 10
2 Pharming 3 6
3 Skimming 6 12
4 Malware 13 26
5 Spyware 11 22
6 Keyloggers 2 4
7 Troyanos 10 20
TOTAL 50 100
5
3
6
13
11
2
10
0
2
4
6
8
10
12
14
Phishing
Pharming
Skimming
Malware
Spyware
Keyloggers
Troyanos

46
Según las estadísticas, los delitos informáticos con mayor auge en República
Dominicana es el Skimming o clonación de tarjetas, valorada en 15 puntos de 50,
el cual representa el 30% de los ciberdelitos en el país, seguido del Malware o
programas malintencionados con un 26% entre otros con una tasa menor pero en
aumento el Pharming 12% y el Fishing 14%.
5. VÍAS DE DELITO CON TARJETAS MÁS UTILIZADO
TABLA 4
1 Phishing 7 14
2 Pharming 6 12
3 Skimming 15 30
4 Malware 13 26
5 Spyware 9 18
6 Keyloggers 0 0
7 Troyanos 0 0
TOTAL 50 100
7
5
15
13
9
0 00
2
4
6
8
10
12
14
16
Phishing
Pharming
Skimming
Malware
Spyware
Keyloggers
Troyanos

47
En las encuestas realizadas para la determinación de las vías más utilizadas para
los delitos con tarjetas de crédito o débito, se obtuvieron los resultados
siguientes: con una valoración de 37 puntos los encuestados coinciden en que es
el Skimming o clonación, esto equivalente al 74% de la población objeto de
estudio, seguido del 12% concerniente al robo de tarjetas.
6. AUMENTO DE LOS DELITOS CON TARJETA DE DÉBITO Y CRÉDITO
TABLA 5
1 Clonación 37 74
2 Robo 12 24
3 Falsificación 1 2
TOTAL 50 100
37
12
10
5
10
15
20
25
30
35
40
Clonación Robo Falsificación
Clonación
Robo
Falsificación

48
Mediante el proceso de recolección de datos en el ítem No. 6 los resultados
arrojados tras el análisis son de un 66% para el comercio electrónico, asentando
su supremacía en el aumento del ciberdelito. El mismo es seguido por el uso de
teléfonos inteligentes con un 20% y luego por el uso de wifi o redes no seguras,
representado por el 14% del total, donde cualquier persona podría estar captando
nuestros datos.
7. MINIMIZACIÓN DE LOS DELITOS CON TARJETAS
TABLA 6
1 WIFI 7 14
2 Smartphone 10 20
3 e-Commerce 33 66
TOTAL 50 100
7
10
33
0
5
10
15
20
25
30
35
WIFI Smartphone e-Commerce
WIFI
Smartphone
e-Commerce

49
Mediante la cuestionante de como minimizar los delitos con tarjetas se puede
constatar que medidas como la capacitación de los usuarios son subestimadas y
otras como el pago en línea son supra valoradas. Como infiere la gráfica la
capacitación solo ocupa el 6% de consideración entre las estrategias pensadas.
La autentificación un 10% y el pago en line el 84%.
8. ZONAS EN QUE SON MÁS COMUNES LOS DELITOS
TABLA 7
1 Capacitación 3 6
2 Pagos On-Line 42 84
3 Autentificación 5 10
TOTAL 50 100
3
42
5
0
5
10
15
20
25
30
35
40
45
Capacitación
Pagos On-Line
Autentificación

50
Según la gráfica en respuesta al cuestionamiento de las zonas objetos de mayor
fraude, indica que las zonas de avance económico medio san las más afectadas,
según las estadísticas obtuvieron una puntuación de 37, para un porcentaje total
de 74%, seguida por las bajas con un 16% y las altas con un 10%.
9. ENTIDADES PARA DENUNCIAR ESTE TIPO DE DELITOS
TABLA 8
1 Bajas 8 16
2 Medias 37 74
3 Altas 5 10
TOTAL 50 100
8
37
5
0
5
10
15
20
25
30
35
40
Bajas Medias Altas
Bajas
Medias
Altas

51
Mediante el análisis de la gráfica de líneas se puede llegar a la conclusión de que
las personas acuden erróneamente más a la policía e INDOTEL que al banco
emisor de su tarjeta. Solo un 16% de los encuestados considera el banco como
captador de tales denuncias, un 40% a la policía y un 44% al Instituto
Dominicano de las Telecomunicaciones.
10. CONOCIMIENTO DE LEY SOBRE FRAUDES Y DELITOS CON TARJETAS
TABLA 9
1 Banco 8 16
2 Policía 20 40
3 INDOTEL 22 44
TOTAL 50 100
8
20
22
0
5
10
15
20
25
Banco Policía INDOTEL
Banco
Policía
INDOTEL

52
Según el análisis estadístico que antecede más de la mitad de la población objeto
de estudio tiene conocimiento sobre alguna ley que rige el fraude y/o uso de las
tarjetas de crédito. Representados con el 56% del conglomerado de personas
que conocen sobre normas que regulen estos fraudes y un 44% los que las
desconocen. Cifras muy parejas en cuanto a la prevención se refiere.
CAPÍTULO IV
TABLA 10
1 Sí 28 56
2 No 22 44
TOTAL 50 100
28
22
0
5
10
15
20
25
30
Sí No
Sí No

53
PLAN PARA LA PREVENCIÓN Y CONTROL DEL FRAUDE EN LAS TARJETAS
DE CRÉDITO Y DÉBITO
4.1 Descripción del problema
Los fraudes pueden ser de una gran variedad y por tanto es muy difícil establecer
un procedimiento estandarizado que permita a los analistas, auditores, peritos,
hacker éticos u otros especialistas la investigación sistemática de fraudes, ya que
éstos por su naturaleza son imaginativos y por tanto sus variedades y
posibilidades son innumerables.
Como sea que el fraude no es un hecho demasiado frecuente, el analista no
puede en la mayoría de los casos desarrollar demasiada experiencia en su
investigación, aunque sí puede conocer teóricamente la mecánica de los tipos
más importantes de fraude.
El analista en una empresa puede llegar a tener un conocimiento del fraude por
muchos caminos: denuncias personales o anónimas, sospechas por parte de la
dirección, anomalías al establecer series analíticas, actuaciones sospechosas,
etc., pero también se puede descubrir un fraude en el transcurso de una
fiscalización ordinaria (evaluaciones de control rutinarias), aunque esto no sea
muy frecuente.
Las medidas tomadas por los analistas en cada fiscalización deberán prever la
posibilidad de que existan irregularidades, pero que sin que tal previsión se
convierta en el objetivo principal del trabajo a realizar, salvo en aquellos casos
específicos de investigación.
4.1.1 Objetivos del plan
Los objetivos del presente plan son similares a las otras clases, con la
particularidad de que no existe una metodología establecida ya que la auditoría
se basa en pruebas obtenidas o en la mala imagen que maneja la institución en

54
el tiempo de su actividad comercial, por tales razones podemos enumerar los
objetivos de la siguiente manera:
Determinar las debilidades en los manuales de control interno, producto del cual
se pueden generan intentos de fraudes.
Detectar las posibles falencias que podrían existir, en las disposiciones emitidas
por la Superintendencia de Bancos, en las cuales se determinen ciertas
facilidades o escudos legales que den lugar a la intención de cometer actos
fraudulentos.
Determinar las personas involucradas en el fraude y evidenciar el grado de
vínculo directo en su participación.
Crear medios y parámetros de revisión, enfocados directamente en la
localización de manejos distintos a las disposiciones establecidas.
Orientar a los usuarios en las tendencias y nuevas formas de captación de
información para iniciar el ciberdelito.
4.1.2 Estrategias del plan
Para cumplir los objetivos propuestos, se estará realizando revisiones tomando
en consideración las normas de auditoria generalmente aceptadas, a
continuación enumeramos los siguientes:
 Constatación de la documentación legal y administrativa, para determinar
y estudiar el seguimiento a los casos. (Fraudes internos y externos)
 Entrevistas con el personal vinculado a las áreas de análisis.
 Conocer el ciclo operativo, en el cual se desarrollan estas instituciones.
 Crear una cultura de educación, moral y respeto.

55
 La incorporación de nuevas tecnologías sofisticadas y fuentes de datos
innovadoras. Estas nuevas tecnologías ayudarán a identificar los patrones
asociados al fraude y evitar los pagos fraudulentos y otros.
4.1.2.1 Herramientas
Para la mitigación del riesgo y reducción de la vulnerabilidad, es decir la
atenuación de los daños potenciales, se debe entender como el conjunto de
medidas que se pueden tomar para contrarrestar o minimizar los impactos
negativos. Las cuales se relacionan directamente con su equipo informático y el
conocimiento que tenga el usuario de su correcto uso.
Las entidades financieras han de proveer a sus empleados de los equipos más
actualizados posibles, en cuanto a hardware y software se refiere, no solo uno,
sino ambos pues los resultados positivos de las herramientas dependerán en
gran parte de los mismos.
Promover el uso de protocolos SSL (Secured Socket Layer), pues la información
en Internet se maneja a través de lo que se denomina como protocolos. El
protocolo de transferencia de hipertexto HTTP y HTTPS además del protocolo
TCP/IP, que permite el transporte y el enrutamiento de la información.
Por parte del sistema de detección/prevención de intrusos tanto los antiguos IDS
(Intrusion Detection System) un programa para detectar accesos no autorizados
a una computadora o a una red y los IPS (Intrusion Prevention System) funciona
como prevención de intrusos en el sistema, de modo tal que ejerce el control de
acceso en una red informática.
Otros mecanismos serán los sistemas de análisis estadísticos (SAS) un lenguaje
de programación desarrollado para eficientizar las lecturas estadísticas y
predicciones para la mejor toma de decisiones. El mismo funcionara acorde con
el proceso de autentificación y uso rutinario de los clientes. Con los cuales serán

56
creados perfiles de consumos para ayudar a la prevención y detección de los
fraudes en tiempo real.
4.2 Implementación en el país
Para la correcta implementación del programa de prevención de fraude y delitos
con tarjetas de crédito o débito en República dominicana hay que tomar en
consideración todos los puntos e indicadores arrojados por las encuestas
realizadas. En primera instancia hay que evaluar además el grado de escolaridad
en el país y la deserción escolar, compararlas con la densidad poblacional y el
número de profesionales, con el cual tendremos un aproximado del potencial
crecimiento de los defraudadores nacionales.
Realizar un estudio demográfico que arroje las nuevas tendencias de los
habitantes de República Dominicana: preferencia de compra, sitios más
concurridos, marcas, estilos, delimitar las aficiones de los clientes de estas
financieras para potenciar la herramienta de los analistas a través de los perfiles
de los clientes.
El siguiente paso es conocer los tipos de delitos informáticos, características,
modus operandi, tendencias de uso, estadísticas sobre su efectividad. Datos que
al ser cotejados con los perfiles de los clientes darán luz a la prevención y control
del fraude con tarjetas. Como se vio anteriormente en las encuestas realizadas el
caso más grabe actualmente en República Dominicana es la clonación, aunque
el Pharming y Phishing van en aumento. Al igual que como ya lo está
implementando el Banco Popular Dominicano (BPD) hay que aislar la fuente. El
BPD está implementando el aislamiento y vigilancia presencial de todos sus
cajeros en sus sucursales, de esta manera mitigando el proceso de clonación.
En general las instituciones financieras dominicanas han implementado las
tarjetas con chip, para acabar con el Skimming; la misma no ha sido tan eficaz
puesto hay equipos que leen estos dispositivos de manera local y a distancia, los

57
denominados Shimmers, no solo son encontrados en los cajeros, sino que
alojados en los puntos de venta de tu restaurante favorito o establecimiento más
cercano. Por lo cual han de implementar los métodos de autentificación en
tiempo real: análisis de las costumbres de consumo de los clientes, importe,
mercancía, comprobación mediante mensaje de texto o llamada y otros como un
numero único por cliente asociado a su perfil crediticio que cancelaria la
transacción y detención del perpetrador o en lo que al derecho se refiere “mula”.
No obstante la tecnología, técnicas y medidas antes mencionadas no surtirán el
efecto deseado al menos que se eduquen las tarjetas habientes de la manera
correcta. Par el proceso de enseñanza se tomara en cuenta cada uno de los
métodos utilizados por los defraudadores hasta el momento, donde de manera
teórica se analizaran cada uno, características, ventajas y desventajas desde el
punto de vista del defraudador. Donde el asentamiento del conocimiento se
llevara a cabo mediante el estudio de los casos más abundantes en el país.29
29 Elaborado por los sustentantes

58
4.2.1 Recursos necesarios
El presente plan de control y prevención de fraude tiene estipulado un gasto no
menor de once millones setecientos dieciséis mil veintidós (RD$11,716,022.00),
monto que será distribuido para cumplir con todas las necesidades del proyecto:
la compra de un nuevo servidor para los datos de los perfiles y agilizar los
trabajos de análisis en cada terminal que se interconectara con el mismo. La
actualización de las estaciones de trabajos con su respectivo software,
actualizados a la versión soportada.
El proceso de configuración de los equipos y plataformas con los algoritmos y
protocolos más seguros; TCP/IP, HTTPS, IPS entre otras configuraciones
necesarias para garantizar el uso seguro del ciberespacio. Este proceso solo
será la antesala de la herramienta que nos brindara un monitoreo en tiempo real,
a modo de el sistema heurístico de los antivirus; técnicas que se emplean para
reconocer códigos maliciosos (virus, gusanos, troyanos, etc.) que no se
encuentren en su base de datos. En este caso el SAS que trabajara en conjunto
a unos perfiles previamente creados.
Los perfiles de autentificación trabajaran en base a encuestas estadísticas
realizadas previamente por la Oficina Nacional de Estadística (ONE); Por el
carácter de que la misma es una organización de prestigio, la reducción de
costos y la utilidad que presentan las estadísticas realizadas con un solo
propósito. Si se realizaran las diferentes encuestas necesarias con el fin de filtrar
los defraudadores, las mismas presentarían un sesgo causado por el interés
intrínseco de atrapar a estos estafadores.
Mediante la anteriormente explicada recolección de datos tipo documental y la
creación del Código de autentificación de tarjeta único (CATU). Una frase tipo
alfanumérica que permita la validación automática de la tarjeta de débito o crédito
en tiempo real. El proceso seria establecido de la manera siguiente: el verifone o
Punto de Venta (POS) en conexión con la red ATH (como es normal), el tarjeta

59
habiente pasa su plástico al empleado este tomara los datos de la tarjeta digita el
código CATU impreso en la numeración de la tarjeta pero no dentro de la
información de la banda magnética o el chip, por este se verifica la autenticidad
de la misma comparando el código digitado en el POS y el alojado en los
servidores. De coincidir la transacción será aprobada y se le mandara un
mensaje de texto al usuario notificándole el monto y lugar de consumo, en lo
contrario se bloqueara la tarjeta, se detendrá el cliente y se enviara un mensaje al
titular de la cuenta notificando el bloqueo.
En última instancia los recursos serán diseminados en cursos talleres que
contaran con una parte introductoria presencial, un seguimiento virtual y una
despedida presencial. Destinado a trabajadores y clientes interesados de las
entidades financieras. Estos cursos serán provistos de materiales y herramientas
de punta para la mejor experiencia posible.
En la introducción será para establecer las reglas de juego, cuales son los
deberes de cada parte y que hacer en cada posible situación del curso, tendrá
una 4 secciones al unísono en los cuatros auditorios mencionados en el plan de
clases, se extenderá por 2 meses de 4 secciones por semana, divididas en
virtuales/presenciales las primeras tendrán una duración de 1hr. Cada una y las
otras de 4hrs. Aproximadamente. Para un total de 32 encuentros, 2 presenciales
y 30 virtuales.
La plataforma será diseñada a través de Moodle, un ambiente de código abierto
que ofrece las herramientas necesarias para crear un aula 100% virtual
disminuyendo la perdida de información y brindando el acceso a ella 24/7.

60
30

61
4.2.2 Representantes y tiempo de ejecución
31

62
El grupo de profesionales encargados de llevar a cabo el presente plan estará
constituido por el departamento de RR.HH., miembros de la alta gerencia, la
división de operaciones con tarjetas, el departamento de tecnología y una
comisión de Staff: integrado por docentes calificados en la modalidad de
enseñanza semi-presencial, el área de seguridad y riesgo de las instituciones
financieras, delegados del SAS y empresas consultoras de seguridad como
ESET y Karpersky, compañías de renombre mundial, creadoras de potentes
herramientas de antivirus, otros componentes de gran valor son los psicólogos
que colaboraran en el análisis de las encuestas.
4.3 Evaluación y control del plan
El plan de control y prevención del fraude con tarjetas de crédito o débito en las
instituciones financieras de República Dominicana, no dará buenos resultados si
no es evaluada correctamente. Puesto que es un plan tipo práctico sus métodos
de evaluación no serán los convencionales; para la correcta implementación se
estará realizando una prueba piloto donde se tomara como base el ítem 8 de
nuestro instrumento de recolección de datos.
Según el ítem 8 existen 3 zonas distintas donde puede ocurrir fraude, donde la
más concurrida es la de una sociedad de economía media. Se seleccionaran 3
puntos al igual de número de zonas y en los establecimientos con las
características que denota la investigación Baja=Poco flujo, Media=Mucho flujo y
Alta=Flujo nulo; donde se colocara un POS actualizado a las medidas de
mitigación presentadas en el presente proyecto.
Estas pruebas estarán sujetas a la duración de un mes para la zona baja se
estará ubicando el POS en un minímarket MININ en el sector de Villa Consuelo,
para la zona media será seleccionado el Súper Mercado Jumbo, de la Plaza
Comercial Mega Centro en Los Mina y para la zona alta la tienda de muebles
IKEA, ubicada en El Piano.

63
Puntos estratégicos con distintos clientes y flujo económico, que aseguran
correcta evaluación del proyecto en manos. Los puntos a evaluar en la prueba
piloto son el comportamiento del cliente con los 30-60 seg. Extras que se llevara
la autentificación, la posibilidad de anular la firma como ya se está haciendo con
otros métodos implementados por la compañía AZUL, el número de errores de
lecturas o incompatibilidad de tarjetas.
CONCLUSIONES

64
Durante la realización de este proyecto de estudio sobre el plan para la prevención y
control de los fraudes con tarjetas de débito o crédito en las instituciones financieras
de República Dominicana, se ha podido constatar que las principales causas de la
crisis en el país y la caída de muchos bancos en todo el mundo es originado por
fraudes internos y externos, en vista de tantas desventajas que tienen los controles
internos de las empresas y haciendo caso omiso a las leyes y reglamentos que
tienen las instituciones sean públicas o privadas, son acarreadas grandes pérdidas
financieras.
Con la finalidad de dar mejor visión de lo que sucede en nuestro país y presentar las
causas de los acaecimientos producto del fraude electrónico en República
Dominicana, se procedió a la realización de un estudio donde se determinaron y
asentaron las debilidades más notables del sector financiero, sus usuarios. La
capacidad de estos para no ser presas del cibercrimen; la plataforma utilizada por las
diversas entidades financieras que solo están aptas para la investigación de los
sucesos no para su prevención, la cual necesita de las actualización necesarias para
dichos fines. Y por supuesto que la capacitación necesaria para hacer uso de una
plataforma actualizada y las herramientas que esta demanda.
La seguridad informática consiste en asegurar que los recursos del sistema de
información de una organización se utilizan de la manera que se decidió y que el
acceso a la información allí contenida así como su modificación solo sea posible a
las personas que se encuentren acreditadas y dentro de los límites de su
autorización.
Hasta la aparición y difusión del uso de los sistemas informáticos, toda la información
de interés de una organización se guardaba en papel y se almacenaba en grandes
cantidades de abultados archivadores. Datos de los clientes o proveedores de la
organización, o de los empleados quedaban registrados en papel, con todos los
problemas que luego acarreaba su almacenaje, transporte, acceso y procesado.

65
Los estrepitosos cambios por los que pasa la tecnología acarrean nuevos peligros en
su implementación, en este caso nuevas métodos para realizar los fraudes. El
“phishing” que consiste en obtener todos los datos del usuario, claves, cuentas
bancarias, números de tarjetas de crédito entre otros, para usarlos posteriormente en
cualquier fraude electrónico.
Otros de los medios utilizados por los ciberdelincuentes es el Skimming o clonado de
tarjeta, ya sea para el uso presencial en establecimientos comerciales, retiro por
cajero o compras por internet. Utiliza un esquema de fraude que se realiza a través
de Datafonos o de ATMS; el delincuente copia o escanea la información financiera y
personal de la tarjeta de crédito o débito de la víctima y luego la regraba en una
tarjeta falsa, creando así una réplica que tiene los mismos alcances y limitaciones
que su tarjeta personal.
Según la magnitud del tema tratado y a los niveles en que se ve envuelto, el fraude
electrónico está cada vez más inmerso entre las principales causas que afectan a los
Estados de todo el mundo. Las encuestas realizadas en las instituciones financieras
de República Dominicana, arrojaron los siguientes resultados:
El 40% de la población encuestada es parte del Banco Popular, el 54% utiliza ambos
servicios en cuanto al plástico se refiere, tanto débito como crédito. El 26% coincide
que el método más conocido para los fraudes con tarjetas es el Malware, donde el
más efectivo hasta el momento es Skimming que posee el 30% en el rango de
víctimas.
Por lo antes expresado ha de suponerse que la vía de fraude más utilizada por los
ciberdelincuentes es la clonación que ocupa un 74% ante el robo y la falsificación de
tarjetas. Otro punto de interés es la crecida de los delitos informáticos por el
desmesurado uso del e-Commerce. Por lo cual creen que la forma más efectiva para
contrarrestarlo son los pagos en línea.

66
En las mismas se constató que las zonas más afectadas son las medias y bajas,
donde la mayor parte del asentamiento de denuncias es en INDOTEL y el
conocimiento sobre las normas de tarjetas está en un nivel aceptable.
Los fraudes pueden ser de una gran variedad y por tanto es muy difícil establecer un
procedimiento estandarizado que permita a los analistas, auditores, peritos, hacker
éticos u otros especialistas la investigación sistemática de los mismos. El analista en
una empresa puede llegar a tener un conocimiento del fraude por muchos caminos:
denuncias personales o anónimas, sospechas por parte de la dirección, anomalías al
establecer series analíticas, actuaciones sospechosas, etc.
En parte el objetivo del presente plan es determinar las debilidades en los manuales
de control interno, producto del cual se pueden generan intentos de fraudes. Así
como las posibles falencias que podrían existir, en las disposiciones emitidas por la
Superintendencia de Bancos, en las cuales se determinen ciertas facilidades o
escudos legales que den lugar a la intención de cometer actos fraudulentos.
Es decir la atenuación de los daños potenciales, se deben entender como el conjunto
de medidas que se pueden tomar para contrarrestar o minimizar los impactos
negativos. Las cuales se relacionan directamente con su equipo informático y el
conocimiento que tenga el usuario de su correcto uso.
La implementación del programa de prevención de fraude y delitos con tarjetas de
crédito o débito en República dominicana, solo puede llevarse acabo tomando en
cuenta los datos recogidos mediante las encuestas. Pues los mismos proporcionaran
los indicadores necesarios para evaluar y controlar el presente plan.
RECOMENDACIONES

67
Con la interesa de fomentar el desarrollo en República Dominicana y contribuir con el
bienestar económico del país, luego de las conclusiones alcanzadas, para el buen
desenvolvimiento de la presente iniciativa hay que efectuar las siguientes
recomendaciones.
 La directiva de las diferentes instituciones bancarias han de estudiar los
antecedentes del fraude electrónico a niveles nacionales e internacionales
con el objetivo de brindar una respuesta oportuna, a fin de controlar el
ciberdelito en República Dominicana.
 Es un papel de suma importancia, la educación oportuna sobre seguridad
informática. Tanto las instituciones del estado como los bancos que se
desempeñan en el territorio dominicano deben proveer los medios de
capacitación a la ciudadanía, pues cada ciudadano ignorante al tema es
un acceso, lo que en informática se conoce como una puerta trasera; a los
activos de estas financieras.
 La Superintendencia de bancos debe prestar atención a las estrategias
presentadas en el presente material. Pues soluciones sencillas como la
actualización de sistemas y modificación de los POS, supondrían una
recuperación estimada de un 25% de las pérdidas anuales en sus inicios y
un 50% de probabilidades para la captura de los defraudadores, puesto
que el CATU podrá ser utilizado de igual manera en las compras por
internet.

Plan prevención fraude tarjetas crédito

Plan prevención fraude tarjetas crédito

Recomendados

Recomendados

Más contenido relacionado

Similar a Plan prevención fraude tarjetas crédito

Similar a Plan prevención fraude tarjetas crédito (20)

Último

Último (7)

Plan prevención fraude tarjetas crédito