BaDeepfakes en videollamadas, SIM swapping con sentencia judicial y filtraciones masivas de datos bancarios configuran un panorama de amenazas cada vez más sofisticado para la industria financiera. Expertos advierten que la verificación biométrica y la autenticación multifactor son claves para frenar la oleada.
La nueva cara del fraude financiero
El fraude de identidad dejó de ser un problema aislado de contraseñas débiles o correos de phishing genéricos. Hoy, los ciberdelincuentes despliegan ataques multicapa que combinan inteligencia artificial generativa, manipulación biométrica y documentos falsificados para vulnerar los sistemas de verificación de bancos y fintech en todo el mundo.
Según cifras del Informe de Ciberseguridad de IBM correspondiente a 2024, cerca del 43 % de las brechas que involucran sistemas biométricos están vinculadas a ataques de presentación e inyección, lo que refleja la creciente complejidad de las tácticas empleadas por los defraudadores.
Un reciente análisis publicado por la compañía española de verificación de identidad FacePhi recopila seis casos documentados que ilustran cómo evolucionan estas amenazas en distintos contextos geográficos y tecnológicos, y que ofrecen lecciones directas para el ecosistema financiero latinoamericano.
Filtraciones masivas: el combustible del fraude sintético
Uno de los casos más emblemáticos ocurrió en 2021, cuando los datos personales de más de 533 millones de usuarios de Facebook quedaron expuestos en un foro de hackers. La información incluía nombres, correos electrónicos, números telefónicos y fechas de nacimiento de personas en más de 100 países.
Este tipo de filtraciones se ha convertido en materia prima para lo que se conoce como “fraude Frankenstein”: la creación de identidades sintéticas a partir de datos reales provenientes de múltiples fuentes. Para la banca, esto significa que los procesos de onboarding digital enfrentan solicitudes de apertura de cuentas con identidades que combinan información auténtica y fabricada, lo que dificulta enormemente su detección.
En una escala similar, un exempleado del grupo financiero canadiense Desjardins sustrajo datos personales de 9,7 millones de clientes, en una de las mayores filtraciones bancarias registradas. El responsable fue detenido en España a finales de 2025 tras ser buscado internacionalmente desde 2024. El caso pone de relieve que las amenazas internas representan un riesgo tan grave como los ataques externos.
Deepfakes corporativos: USD 25 millones transferidos en una videollamada falsa
Quizá el caso más impactante para el sector financiero ocurrió en 2024, cuando un empleado recibió instrucciones de transferir fondos durante una videollamada en la que participaban, aparentemente, altos directivos de su empresa. Todos los interlocutores eran en realidad recreaciones generadas por inteligencia artificial: réplicas audiovisuales del director financiero y otros ejecutivos. El resultado fue la transferencia de USD 25 millones a cuentas controladas por los atacantes.
Este incidente demuestra que los deepfakes ya no son una amenaza teórica, sino una herramienta operativa para ejecutar fraudes financieros de alto valor mediante ingeniería social potenciada por IA.
Suplantación de identidad para créditos en México
En un caso que resuena directamente en la región, la identidad de un abogado mexicano fue clonada para solicitar un crédito automotriz por más de un millón de pesos sin su conocimiento. La víctima descubrió el fraude cuando recibió una notificación bancaria sobre un pago pendiente de 19.000 pesos correspondiente a un préstamo que nunca había solicitado.
La investigación posterior sugiere que los defraudadores obtuvieron sus documentos personales a través de intermediarios en canales de venta, y los utilizaron para tramitar el financiamiento a su nombre. El caso subraya los riesgos de compartir documentación personal en canales no verificados y la importancia de que las entidades financieras refuercen los controles de verificación al momento de otorgar créditos.
SIM swapping en España: sentencia que sienta precedente
En diciembre de 2025, un tribunal de Madrid emitió un fallo pionero en materia de SIM swapping, condenando solidariamente a una operadora de telecomunicaciones y a un banco a indemnizar a un cliente al que le sustrajeron fondos mediante esta técnica.
Los hechos establecen que un tercero logró obtener un duplicado fraudulento de la tarjeta SIM de la víctima, lo que le permitió interceptar los códigos de autenticación enviados por SMS y autorizar transferencias bancarias. La decisión judicial resulta especialmente relevante porque establece responsabilidad compartida entre el proveedor de telecomunicaciones y la institución financiera, sentando un precedente para futuras reclamaciones.
En un contexto donde la autenticación por SMS sigue siendo ampliamente utilizada como segundo factor en la banca latinoamericana, este fallo plantea interrogantes sobre la robustez de los protocolos vigentes.
Una sola foto, múltiples estafas
Un caso australiano de 2023 ejemplifica cómo una mínima exposición de datos puede desencadenar una cadena de fraudes prolongada. Un hombre compartió una fotografía de su licencia de conducir con quien creía ser un vendedor legítimo de entradas para un evento. El supuesto vendedor era un estafador que no solo lo engañó, sino que utilizó sus datos personales y su imagen para crear perfiles falsos en redes sociales y continuar vendiendo entradas fraudulentas durante semanas.
Qué pueden hacer los bancos y fintech
Los casos descritos evidencian que el fraude de identidad opera en múltiples frentes simultáneamente. Los expertos en ciberseguridad coinciden en una serie de medidas prioritarias para que las instituciones financieras fortalezcan sus defensas.
La verificación reforzada en la apertura de cuentas es el primer eslabón: implementar autenticación multifactor que combine biometría facial o dactilar con pruebas de vida (liveness detection) permite filtrar identidades sintéticas y deepfakes desde el proceso de onboarding.
En segundo lugar, los protocolos de telecomunicaciones requieren endurecimiento: las operadoras deben exigir verificación presencial robusta para la emisión de duplicados SIM, cerrando la brecha que explota el SIM swapping.
El monitoreo transaccional en tiempo real y la educación financiera digital de los usuarios completan un enfoque integral que, según los especialistas, es la única estrategia efectiva para anticiparse a amenazas que evolucionan al ritmo de la propia tecnología.
Fuente: facephi