Las pérdidas por fraude en pagos online se proyectan a 91.000 millones de dólares para 2028. En 2024, 269 millones de registros de datos de tarjetas fueron publicados en la darknet y la web abierta. No son cifras abstractas: detrás de cada registro hay un titular de tarjeta que puede descubrir cargos que no ha autorizado en su extracto. Las casas de apuestas online, como cualquier comercio que procesa pagos con tarjeta, están en el radar de los delincuentes. Y la mejor defensa empieza por entender qué amenazas son reales y cuáles son el ruido que distrae de los riesgos verdaderos.
Llevo ocho años analizando incidentes de seguridad en pasarelas de pago del sector iGaming. Lo que he aprendido es que la mayoría de los fraudes con tarjeta en apuestas no se producen por fallos tecnológicos sofisticados, sino por errores humanos predecibles y prevenibles.
Amenazas reales: phishing, suplantación y filtración de datos
Susana Rubio, VP de Productos y Soluciones de Mastercard en Iberia, ha puesto una cifra contundente al problema: el coste del cibercrimen equipara al PIB de la tercera economía del mundo, con más de 12 billones de dólares. En el mundo de las apuestas online, las amenazas se materializan de formas concretas que el apostador debe conocer.
El phishing es la amenaza más extendida. Recibes un email o un SMS que imita la comunicación de tu casa de apuestas habitual: «Verifica tu método de pago para evitar la suspensión de tu cuenta». El enlace te lleva a una página idéntica a la del operador legítimo donde introduces los datos de tu Mastercard. A partir de ese momento, los delincuentes tienen tu número de tarjeta, fecha de caducidad y CVV. La protección más eficaz es la más simple: nunca accedas a tu casa de apuestas desde un enlace en un correo o SMS. Siempre escribe la dirección directamente en el navegador.
La suplantación de operadores -casas de apuestas falsas que imitan a operadores con licencia DGOJ- es otra amenaza tangible. Estos sitios suelen ofrecer bonos imposiblemente generosos para atraer depósitos con tarjeta. Una vez que depositas, el dinero desaparece y los datos de tu tarjeta quedan comprometidos. La verificación de que un operador tiene licencia DGOJ antes de depositar es la barrera definitiva contra esta trampa.
La filtración de datos de tarjetas desde bases de datos comprometidas es la tercera amenaza principal. Los 269 millones de registros filtrados en 2024 incluyen datos procedentes de todo tipo de comercios online. Cuando esos datos llegan a la darknet, los compradores intentan usarlos para depositar en casas de apuestas como mecanismo de blanqueo. La tokenización de Mastercard mitiga este riesgo: si un operador almacena tokens en vez de números reales, una filtración de su base de datos no expone los datos de tu tarjeta.
7 medidas para proteger tu Mastercard al apostar
Después de años documentando incidentes, he destilado las medidas de protección en siete acciones concretas que cualquier apostador puede implementar sin conocimientos técnicos avanzados.
Primera: activa las notificaciones instantáneas de tu tarjeta en la app de tu banco. Cada vez que tu Mastercard procese una transacción, recibirás una alerta en tiempo real. Si aparece un cargo que no has realizado, puedes reaccionar en minutos en vez de descubrirlo días después en el extracto.
Segunda: apuesta solo en operadores con licencia DGOJ. Verifica la licencia en el registro público de la DGOJ antes de depositar por primera vez. Tercera: no guardes los datos de tu tarjeta en el navegador. Usa el almacenamiento tokenizado del operador -que cifra los datos- o, mejor aún, deposita a través de Apple Pay o Google Pay para que el operador nunca reciba tu número de tarjeta real.
Cuarta: usa una tarjeta de débito dedicada para apuestas, con un saldo limitado al importe que planeas apostar. Así, incluso en el peor escenario de fraude, la exposición se limita al saldo de esa tarjeta. Quinta: cambia el CVV periódicamente si tu banco ofrece CVV dinámicos -algunos bancos españoles ya lo permiten desde la app-.
Sexta: no compartas los datos de tu tarjeta por chat, email o teléfono con supuestos agentes de soporte del operador. Los operadores legítimos nunca solicitan el número completo de tu tarjeta ni el CVV por estas vías. Séptima: revisa tus extractos bancarios al menos una vez por semana para detectar cargos no reconocidos de forma temprana.
Qué hacer si detectas un cargo fraudulento
Si descubres un cargo en tu Mastercard que no reconoces y que procede de una casa de apuestas o de cualquier otro comercio, el protocolo es claro y el tiempo es importante.
Primer paso: bloquea tu tarjeta inmediatamente desde la app de tu banco. La mayoría de bancos españoles permiten bloquear la tarjeta con un toque, sin necesidad de llamar. Segundo paso: contacta con tu banco y abre una reclamación formal por cargo no autorizado. Mastercard tiene un programa de protección al titular -el chargeback- que permite revertir transacciones fraudulentas. El banco iniciará una investigación y, en la mayoría de casos, te reembolsará provisionalmente mientras se resuelve.
Tercer paso: cambia las contraseñas de todas las cuentas de casas de apuestas donde tengas registrada esa tarjeta. Si los datos de tu tarjeta han sido comprometidos, existe el riesgo de que también hayan accedido a tus cuentas de juego. Cuarto paso: denuncia el fraude ante las autoridades si el importe es significativo. En España, puedes presentar denuncia ante la Policía Nacional o la Guardia Civil, y la DGOJ puede actuar si el fraude involucra a un operador regulado.
El plazo para reclamar un cargo no autorizado varía según el banco, pero la recomendación es actuar en las primeras 24-48 horas. Cuanto antes inicies el proceso, mayor será la probabilidad de recuperar tu dinero y de evitar cargos adicionales con los mismos datos comprometidos.