Fraude Bancario en Costa Rica: Crecimiento del 668%, 38 Víctimas por Día y Qué Puede Hacer su Empresa

La Velocidad

Una víctima cada 38 minutos. Esa es la tasa actual de fraude electrónico bancario en Costa Rica — 24 horas al día, todos los días del año.

En 2020, el OIJ recibió 942 denuncias por estafa informática. Para 2024, ese número era 7,235. En 2025, superó las 10,000. La tasa de crecimiento en cuatro años: 668%.

El daño financiero solo en 2025: aproximadamente ₡6 mil millones — alrededor de $12 millones USD — en fondos robados confirmados. Y eso es solo lo que se reportó. La cifra real es casi con certeza mayor, porque muchas víctimas — especialmente empresas — nunca presentan denuncia.

El 5 de marzo de 2026, la Asamblea Legislativa de Costa Rica aprobó una ley que cambia fundamentalmente quién asume el costo. Por primera vez, los bancos estarán obligados a reembolsar a las víctimas de fraude electrónico a menos que puedan demostrar que sus propios sistemas de ciberseguridad cumplían con los estándares regulatorios. La carga de la prueba se invirtió.

Los Números en Contexto

Las estadísticas de fraude del OIJ cuentan una historia de aceleración exponencial:

• 2019: 639 denuncias por estafa informática
• 2020: 942 — un aumento moderado, parcialmente impulsado por la adopción digital en pandemia
• 2021: Aproximadamente 930, manteniéndose estable
• 2022: Aproximadamente 3,136 — la curva se dispara
• 2023: 3,262
• 2024: 7,235 — más del doble en un solo año
• 2025: Más de 10,000 denuncias por estafa informática, más 7,483 denuncias adicionales por fraude general

El sistema de justicia penal no puede mantener el ritmo. En 2024, se presentaron 7,235 denuncias por fraude. Solo 85 casos fueron a juicio. De esos, 44 terminaron en absolutoria. Tiempo promedio de denuncia a juicio: más de cuatro años.

Cómo Funciona Realmente el Fraude — Las Seis Modalidades Dominantes

El OIJ identificó seis técnicas principales de fraude operando en Costa Rica en 2025. Entender la mecánica importa más que las advertencias genéricas sobre "mantenerse seguro en línea."

1. Páginas falsas de bancos (Página falsa)

La víctima busca su banco en Google. El primer resultado — a veces incluso un resultado patrocinado — es un sitio web clonado. Luce idéntico al banco real, a veces con un certificado SSL válido. La víctima ingresa su usuario, contraseña y token de un solo uso. El delincuente usa esas credenciales en el sitio real del banco en segundos y vacía la cuenta. Estos sitios están alojados en infraestructura global de la nube, lo que hace que las eliminaciones sean difíciles y demoren.

2. Llamadas de falso funcionario municipal

Esta es la modalidad más común en general. Un delincuente llama haciéndose pasar por un funcionario municipal respecto a un pago de impuestos, permiso o servicio de utilidades. Dicen que la víctima necesita completar un proceso administrativo y solicitan credenciales bancarias directamente o envían un enlace a una página de phishing. La persona que llama conoce el nombre, número de cédula y dirección de la víctima — porque las organizaciones criminales tienen acceso a grandes bases de datos de información personal.

3. Llamadas de falso funcionario bancario

El delincuente llama haciéndose pasar por un empleado del banco, alegando que hay una transacción sospechosa o una actualización de seguridad necesaria. Solicitan datos de cuenta, tokens o contraseñas. En muchos casos, el identificador de llamadas está falsificado para mostrar el número real del banco. Esta modalidad afecta principalmente a adultos mayores.

4. Ofertas falsas de empleo de empresas conocidas

Los delincuentes publican ofertas de trabajo usando nombres de empresas conocidas. Las víctimas envían sus hojas de vida. Un supuesto representante de recursos humanos llama para decir que la víctima fue seleccionada pero necesita "actualizar su firma digital." Preguntan a qué banco está vinculada, solicitan el token de autenticación y la contraseña de correo. Esto es particularmente peligroso para empresas, porque las firmas digitales frecuentemente están vinculadas a cuentas bancarias corporativas con saldos mucho más altos que las cuentas personales.

5. Estafas de venta de vehículos y propiedades

Los delincuentes responden a publicaciones de venta de vehículos o propiedades en línea, a menudo haciéndose pasar por compradores extranjeros de habla inglesa. Dicen que envían un depósito y proporcionan un comprobante de pago adulterado. Cuando el vendedor dice que el dinero no ha llegado, el "comprador" inicia una llamada a tres con un supuesto funcionario bancario (un cómplice) que envía un enlace para "liberar los fondos." El vendedor hace clic, ingresa sus credenciales y su cuenta es vaciada.

6. Explotación de SINPE Móvil

Dos vectores. Primero: los delincuentes compran tarjetas SIM prepago en masa y prueban qué números telefónicos aún están vinculados a cuentas activas de SINPE Móvil. Cuando alguien cambia su número de teléfono sin desvincular SINPE Móvil, el número antiguo eventualmente se recicla — y quien tenga esa SIM puede transferir dinero fuera de la cuenta vinculada. Segundo: robo de teléfonos. Los delincuentes roban teléfonos y ejecutan transferencias SINPE inmediatamente antes de que la víctima pueda bloquear sus cuentas. El Banco Central ha implementado un límite diario de ₡100,000 en transacciones SINPE basadas en SMS para reducir la exposición, pero las transacciones basadas en la app mantienen límites más altos.

SIM Swapping — La Amenaza Creciente

El SIM swapping merece atención aparte porque elude la mayoría de las medidas de seguridad tradicionales.

El delincuente obtiene la información personal de la víctima — nombre, cédula, número de teléfono, empleador — de bases de datos ampliamente disponibles en el mundo criminal costarricense. Contactan al proveedor de telecomunicaciones de la víctima (Kolbi/ICE, Claro o Liberty), se hacen pasar por la víctima, alegan un teléfono perdido y obtienen una nueva tarjeta SIM con el número de la víctima.

Ahora cada código de verificación por SMS — OTPs de SINPE Móvil, códigos de acceso bancario, restablecimiento de contraseñas — llega al delincuente. Acceden a las cuentas bancarias de la víctima, restablecen contraseñas de correo electrónico y otros servicios, y vacían los fondos — todo antes de que la víctima se dé cuenta de que su teléfono dejó de funcionar.

La Brecha de BCR por Maze — Esto No Es Nuevo

La epidemia actual de fraude no empezó en 2022. En agosto de 2019, el grupo de ransomware Maze obtuvo acceso al BCR — Banco de Costa Rica, uno de los bancos estatales más grandes del país. Decidieron no cifrar los sistemas porque el daño potencial era demasiado significativo.

En febrero de 2020, Maze regresó para verificar si la seguridad había mejorado. No lo había hecho. Exfiltraron datos y afirmaron poseer 11 millones de credenciales de tarjetas de crédito — 4 millones únicos, con 140,000 supuestamente pertenecientes a ciudadanos estadounidenses. Publicaron números de tarjetas de muestra con fechas de vencimiento y códigos CVV como prueba.

En mayo de 2020, Maze publicó un archivo CSV de 2 GB que contenía datos reales de tarjetas Mastercard y Visa en su sitio de filtraciones. El Cyble Research Team verificó que los datos contenían información real de tarjetas. El BCR negó públicamente cualquier brecha.

La Respuesta Regulatoria

SUGEF 10-07 (v5, vigente desde el 1 de junio de 2025) establece requisitos integrales de seguridad para todas las entidades financieras supervisadas — bancos, cooperativas y todas las entidades bajo SUGEF, SUGEVAL, SUPEN y SUGESE. La regulación exige:

• Verificación biométrica de identidad para canales digitales
• Análisis de comportamiento digital y detección de fraude en tiempo real
• Autenticación multifactor con límites de intentos de inicio de sesión
• Detección de malware y manipulación para aplicaciones de banca móvil
• Registros completos de auditoría de eventos de autenticación

CONASSIF 5-24 (vigente desde el 5 de agosto de 2024) agrega un marco de gobernanza de TI y gestión de riesgos que requiere que las instituciones financieras demuestren supervisión activa de la ciberseguridad a nivel de junta directiva.

Ambas regulaciones son ahora críticas por lo que sucedió el 5 de marzo de 2026.

La Ley de Fraude Bancario — Un Cambio Fundamental

El 5 de marzo de 2026, la Asamblea Legislativa aprobó el Expediente 23.908 en segundo debate — la ley de fraude bancario que había sido debatida durante meses. La ley está pendiente de firma presidencial, pero su aprobación fue contundente.

El cambio de responsabilidad

Las entidades financieras — tanto públicas como privadas — ahora tienen responsabilidad objetiva solidaria por el robo electrónico de fondos de clientes. La carga de la prueba se invierte: en lugar de que los clientes tengan que demostrar que el banco falló, los bancos deben demostrar que fueron diligentes. Si un banco no puede demostrar cumplimiento con los estándares de ciberseguridad de SUGEF, debe reembolsar al cliente.

El proceso de reclamación

Un cliente tiene 30 días calendario para presentar un reclamo por fraude. El banco luego tiene 30 días (con una posible extensión de 10 días hábiles) para investigar. Si el reclamo es aceptado, el banco debe reembolsar el monto robado más intereses dentro de 10 días. Si el banco rechaza el reclamo, debe proporcionar un análisis forense que justifique el rechazo y enviar copias tanto al OIJ como a SUGEF. SUGEF luego tiene 10 días hábiles para validar o rechazar la decisión del banco. Si SUGEF no ratifica el rechazo, el banco debe reembolsar.

Las excepciones

Los bancos no son responsables en casos de autofraude o conducta intencional del cliente; transferencias entre las propias cuentas del cliente; transferencias a familiares inmediatos (cónyuge, pareja o parientes hasta el segundo grado); o cuando el banco puede demostrar pleno cumplimiento con las regulaciones de ciberseguridad de SUGEF aplicables.

Sanciones penales por reclamos falsos

Presentar un reclamo de fraude fraudulento conlleva de 2 meses a 3 años de prisión para montos de hasta 10 veces el salario base, y hasta 10 años para montos mayores.

El análisis legal de ECIJA enmarca el impacto con claridad: esta ley convierte la ciberseguridad en el mecanismo principal de defensa legal para el sistema financiero. Tener políticas en papel ya no es suficiente. Las instituciones deben demostrar cumplimiento con estándares robustos y verificables.

Qué Significa Esto para las Empresas

La Ley de Fraude Bancario crea obligaciones y oportunidades para toda empresa que opere una cuenta bancaria en Costa Rica.

Si su empresa es víctima de fraude electrónico, ahora tiene un proceso de reclamación estructurado con plazos definidos. Documente todo inmediatamente — capturas de pantalla, marcas de tiempo, registros de transacciones, marcas de tiempo de notificaciones. Presente su reclamo dentro de los 30 días calendario. Si es rechazado, exija el análisis forense y la revisión de SUGEF.

Si es una institución financiera o entidad regulada, el cumplimiento con SUGEF 10-07 es ahora su escudo legal. Las instituciones que puedan demostrar pleno cumplimiento con los requisitos de verificación biométrica, detección de fraude en tiempo real y autenticación multifactor estarán protegidas de responsabilidad. Las que no, asumirán el costo.

Para toda empresa, las recomendaciones prácticas no son consejos genéricos de contraseñas. Son específicas a cómo opera el fraude realmente en Costa Rica:

Guarde la URL de su banco en favoritos

Nunca busque su banco en Google. La modalidad de fraude número uno en Costa Rica son páginas falsas de bancos que aparecen en los resultados de búsqueda. Escriba la URL directamente o use un marcador guardado. Capacite a cada empleado que acceda a la banca empresarial para que haga lo mismo.

Migre de SINPE Móvil basado en SMS para transacciones empresariales

Use solo aplicaciones bancarias autenticadas o plataformas web. Establezca los límites de SMS al mínimo. Cuando los empleados cambien de número de teléfono, verifique inmediatamente que todos los vínculos de SINPE Móvil estén actualizados — los números antiguos se reciclan a nuevos titulares de SIM.

Pase de tarjetas de coordenadas físicas a claves dinámicas

La Clave Virtual de BCR, el token digital de Banco Nacional, el soft token de BAC — estos son más difíciles de interceptar que las tarjetas de coordenadas estáticas.

Implemente un protocolo de verificación para llamadas entrantes

Ningún banco va a llamarlo para pedirle su contraseña, token u OTP. Capacite a sus empleados — especialmente a quienes tienen acceso a las cuentas bancarias corporativas — para que cuelguen y llamen directamente al número oficial del banco.

Conozca el proceso de reclamación

Bajo la nueva ley, tiene 30 días para presentar su reclamo. No espere. Documente el incidente en el momento en que lo descubra y presente ante el banco y el OIJ.

Denuncie el fraude

Presente denuncia ante el OIJ en cualquiera de sus 35 delegaciones, a través de la ORD 24/7 en San José, o en oij_denuncias@poder-judicial.go.cr. También reporte al CSIRT-CR en csirt@micitt.go.cr. Cada caso no reportado hace las estadísticas agregadas menos útiles y dificulta justificar recursos para la fiscalización.

El Panorama General

La crisis de fraude bancario de Costa Rica no es un problema de tecnología. Es un problema de ecosistema. Crimen organizado operando desde dentro de las cárceles. Datos personales fácilmente disponibles para los delincuentes. Un sistema de justicia que procesa 85 juicios al año contra 7,235 denuncias. Un marco regulatorio que apenas ahora está poniéndose al día. Y una población que adoptó la banca digital más rápido de lo que la alfabetización en seguridad digital pudo seguir — SINPE Móvil ahora procesa 359 millones de transferencias por semestre, creciendo un 20% anual.

La nueva Ley de Fraude Bancario es un paso significativo. Alinea los incentivos correctamente — las instituciones mejor posicionadas para prevenir el fraude ahora asumen el costo cuando fallan. Pero la legislación no detiene los correos de phishing. No detiene a los delincuentes que compran tarjetas SIM en masa. No capacita a sus empleados para reconocer un número de teléfono falsificado.

Esa parte es su responsabilidad.