Linas Beliūnas

El robo de $40 mil millones que no puedes ver: Cómo los deepfakes y las identidades sintéticas están rompiendo las finanzas

Publicado

Publicado

Tiempo de lectura:

Tiempo de lectura:

9 minutos

9 minutos

Linas Beliūnas
Contenido

Comparte este artículo

Última actualización: enero de 2026

Un empleado de finanzas en Hong Kong se unió a lo que parecía ser una videollamada habitual con su director financiero y varios colegas para ultimar los detalles de una adquisición confidencial. Tras una conversación aparentemente legítima, el empleado autorizó transferencias bancarias por valor de 25,6 millones de dólares. Todas las personas de esa llamada, excepto la víctima, eran deepfakes.

Este ataque a la empresa de ingeniería Arup no fue una anomalía. Fue un toque de atención. Y para 2026, incidentes como este ya no serán chocantes, sino habituales, a menos que las organizaciones replanteen a fondo cómo establecer la confianza en un mundo donde ver ya no es creer.

En resumen

  • Las pérdidas por fraude con deepfakes superaron los 200 millones de dólares a nivel mundial solo en el primer trimestre de 2025, una cifra que probablemente representa solo una fracción del impacto total debido a la falta de denuncias.

  • El fraude de identidad sintética supone ahora unas pérdidas anuales de entre 30.000 y 35.000 millones de dólares, y la mayoría de las pérdidas se ocultan bajo la etiqueta de "pérdidas crediticias" en lugar de clasificarse como fraude, lo que permite que las identidades falsificadas persistan sin ser detectadas hasta el impago.

  • Los atacantes utilizan ataques de inyección para eludir la verificación de video introduciendo deepfakes directamente en el flujo de datos, lo que anula por completo la detección de vida tradicional.

  • Se prevé que el fraude basado en inteligencia artificial alcance los 40.000 millones de dólares anuales en EE. UU. para 2027 (un crecimiento anual compuesto de ~30 %), y Experian señala el año 2026 como punto de inflexión, ya que el 72 % de los líderes empresariales sitúan el fraude mediante IA como uno de los principales retos operativos.

  • Una defensa eficaz requiere una inteligencia unificada que ponga en relación las señales de identidad, dispositivo, comportamiento y transacciones en tiempo real.

¿Qué escala tiene el fraude por deepfakes en 2026?

Las cifras publicadas no reflejan la escala real del problema. El fraude mediante deepfakes apenas se etiqueta como tal en los informes financieros; en su lugar, las pérdidas se asumen bajo categorías más amplias como el fraude de pago autorizado, el fraude de usurpación de identidad o los impagos de créditos. Lo que vemos en las estadísticas oficiales representa únicamente los incidentes verificados y atribuidos, no el impacto real.

Sin embargo, incluso con un recuento sistemáticamente bajo, la aceleración es innegable. El Foro Económico Mundial informa de más de 200 millones de dólares en pérdidas confirmadas por fraude relacionado con deepfakes solo en el primer trimestre de 2025, y define esta tendencia como un cambio de paradigma hacia ataques directos y escalables contra las operaciones comerciales.

El Centro Deloitte para Servicios Financieros proyecta que el fraude mediante IA podría alcanzar los 40.000 millones de dólares anuales en Estados Unidos para 2027, lo que equivale a una tasa de crecimiento anual compuesta de aproximadamente el 30 %. Esta proyección abarca los deepfakes, las identidades sintéticas, la ingeniería social automatizada y la usurpación de cuentas mediante IA, lo que muestra cómo los deepfakes actúan ahora como un componente más dentro de un ecosistema de fraude más amplio impulsado por IA.

Los datos de detección reflejan una velocidad similar. Signicat informa que los intentos de fraude con deepfakes han aumentado más de un 2.000 % en los últimos tres años, impulsados por los mercados de fraude como servicio (Fraud-as-a-Service) y la rápida mejora de los modelos generativos. El informe de previsión de fraude de Experian para 2026 califica este año como un claro "punto de inflexión", con un 72 % de líderes empresariales que identifican el fraude mediante IA como un reto operativo de primer orden.

Las barreras técnicas siguen cayendo. Como detallamos en un artículo anterior, la clonación de voz ahora requiere solo entre 20 y 30 segundos de audio, mientras que los deepfakes de video convincentes pueden generarse en 45 minutos, lo que hace que el fraude de alto impacto sea más barato, rápido y mucho más escalable que los ataques de identidad tradicionales.

¿Por qué los ataques de deepfakes son tan efectivos contra los bancos?

La amenaza proviene tanto de los sistemas de transmisión como de los propios deepfakes. Los atacantes modernos eluden la verificación de identidad utilizando ataques de inyección, en los que el video sintético se introduce directamente en los flujos de datos mediante software de cámara virtual o emuladores móviles. La aplicación del banco cree que está recibiendo una imagen de cámara en directo cuando en realidad procesa una recreación digital. Estos ataques anulan por completo la detección de vida, funcionando tanto contra los controles pasivos como contra muchas de las soluciones activas (como girar la cabeza o parpadear) cuando estas pruebas carecen de una aleatoriedad real.

Al mismo tiempo, el fraude con deepfakes está escalando gracias al auge del fraude como servicio. Grupos organizados venden ahora acceso a herramientas de deepfake listas para usar e infraestructuras de fraude de identidad, lo que reduce drásticamente la barrera de entrada para los atacantes. Esto provoca un efecto de concentración: el uso de herramientas compartidas, recursos reutilizados y operadores comunes hace que estas redes sean más visibles mediante análisis gráfico y de red visual, lo que permite a los defensores descubrir relaciones y desmantelar redes enteras de fraude en lugar de detener ataques individuales de forma aislada.

Según un análisis reciente de una firma de verificación de identidad, los intentos de fraude crecieron un 21 % interanual, y uno de cada veinte intentos de verificación se clasifica ahora como fraudulento. Los atacantes combinan cada vez más los deepfakes con el phishing, la ingeniería social y la usurpación de cuentas para desbordar los controles tradicionales. Por esta razón, soluciones como la Inteligencia Cognitiva de Identidad de Oscilar van más allá de las comprobaciones estáticas, correlacionando señales de comportamiento, infraestructura y red que las identidades sintéticas (incluso las más realistas) no pueden replicar de manera consistente.

¿Por qué el fraude de identidad sintética es el "enemigo invisible"?

El Banco de la Reserva Federal de Boston señala al fraude de identidad sintética como el delito financiero de más rápido crecimiento en Estados Unidos, con pérdidas que superaron los 35.000 millones de dólares en 2023. A diferencia del robo de identidad tradicional, el fraude sintético crea identidades "Frankenstein" combinando un número de seguro social legítimo (a menudo de un menor, una persona mayor o fallecida) con nombres y fechas de nacimiento falsos.

Estas identidades ficticias se preparan durante un periodo de 12 a 24 meses. Los estafadores solicitan créditos, son rechazados (lo que crea un historial de crédito) y luego construyen gradualmente historiales crediticios impecables. Para el momento en que realizan el golpe final (agotar las líneas de crédito y desaparecer), la identidad sintética puede tener una puntuación de crédito superior a 750. Nuestro análisis sobre la IA generativa en la detección de fraudes muestra que estos ataques de impago organizado que utilizan identidades sintéticas supusieron 2.900 millones de dólares solo en préstamos de auto y tarjetas de crédito.

El conjunto de herramientas para la mitigación del fraude de identidad sintética de la Reserva Federal revela la magnitud del desajuste contable: estas pérdidas suelen clasificarse como "pérdidas crediticias" (deuda de dudo cobro) en lugar de pérdidas por fraude. Los bancos creen que tienen un problema de concesión de créditos cuando en realidad tienen un problema de fraude, y esta clasificación errónea oculta miles de millones a los equipos de riesgos.

Pero las identidades sintéticas representan solo una dimensión de la crisis de identidad. Las entidades financieras también se enfrentan a los desafíos constantes que plantean las "mulas de identidad": personas reales que utilizan documentos auténticos para abrir cuentas antes de que los estafadores tomen el control. Estas mulas pueden superar las verificaciones de documentos y los controles de selfi, sobre todo si proceden de países en desarrollo donde el coste para convencer a un individuo es bajo. 

A diferencia de los perfiles sintéticos, las mulas dejan un historial limpio hasta el momento de la usurpación, lo que las hace casi invisibles para los controles tradicionales de registro.

¿Cómo industrializan los delincuentes los ataques de deepfakes y de identidad sintética?

El ataque a Arup no fue obra de un hacker solitario; fue el resultado de una cadena de suministro industrializada. La web oscura opera como un mercado maduro de "fraude como servicio". Los servicios de generación de deepfakes cuestan apenas 15 dólares por video. Los intermediarios de acceso inicial venden credenciales de redes comprometidas, mientras que otros proveedores ofrecen redes de bots de suscripción que hacen que los ataques parezcan originarse en direcciones residenciales legítimas.

La IA generativa ha acelerado enormemente la amenaza. La Reserva Federal advierte que la IA generativa actúa como "un acelerador", automatizando la creación de identidades, aprendiendo de los fallos y optimizando qué perfiles tienen éxito en entidades específicas. Como explicamos detalladamente en nuestro análisis de agentes de IA en la gestión de riesgos y fraude, estos agentes pueden navegar por las interfaces bancarias, resolver CAPTCHAs y ejecutar miles de microtransferencias a través de redes de mulas en cuestión de segundos.

La cruda realidad es que no se puede salir de un sistema de fraude industrializado e impulsado por IA simplemente contratando más personal. Los equipos de revisión manual se verían desbordados por el volumen de casos.

¿Por qué siguen fallando las defensas bancarias?

Las entidades financieras organizan sus defensas en compartimentos estancos: los equipos de KYC se encargan del registro, los de fraude vigilan las transacciones, los de prevención de blanqueo controlan el lavado de dinero y los de crédito gestionan el riesgo de impago. Los atacantes aprovechan estas fisuras. Una identidad sintética supera el proceso de KYC (los documentos parecen legítimos). El equipo de crédito aprueba un préstamo (la puntuación es excelente). El equipo de fraude detecta un dispositivo sospechoso, pero como el usuario está "verificado" y tiene "crédito aprobado", la alerta se desestima.

Este enfoque aislado genera una paradoja. Los equipos de riesgo y fraude, que ven la actividad fraudulenta como el 100 % de su mundo (aunque represente solo el 1-2 % del comportamiento real de los usuarios), suelen diseñar procesos de producto llenos de obstáculos que frustran a los clientes legítimos. Mientras tanto, los ataques verdaderamente peligrosos se filtran porque la información no fluye entre las diferentes capas de defensa.

El reto tiene dos dimensiones: organizativa y temporal. Las entidades deben diferenciar entre la velocidad de detección y la velocidad de acción. Detectar algo sospechoso puede ser instantáneo, pero la gravedad del fraude y el valor estratégico de la observación (como crear sistemas señuelo para mapear redes de fraude) determinan si la respuesta debe ser inmediata o retrasarse deliberadamente. Una compra de 50 dólares puede procesarse al instante. ¿Una transacción de un reloj de lujo de 50.000 dólares? Tanto el comprador como el vendedor esperan un proceso de comprobación riguroso.

Gartner prevé que, en 2026, el 30 % de las empresas ya no confiarán en soluciones aisladas de verificación de identidad. El modelo tradicional de KYC de comprobación única está completamente obsoleto. Por eso el enfoque de IA basada en agentes de Oscilar se centra en la inteligencia de riesgo continua en lugar de basarse en controles fijos de seguridad.

Mientras tanto, solo el 22 % de las entidades financieras han implementado herramientas de prevención de fraude basadas en IA, según la plataforma de identidad Signicat; una brecha peligrosa cuando los atacantes operan a la velocidad de las API mientras los defensores trabajan con procesos por lotes. Casi el 60 % de las empresas informaron de un aumento en sus pérdidas por fraude de 2024 a 2025.

¿Cómo es una defensa eficaz en 2026?

Para 2026, una defensa eficaz dependerá menos de reglas aisladas y más de una inteligencia unificada. Esto implica integrar las señales de identidad, dispositivo, comportamiento y transacciones en un único marco de decisión en tiempo real, de modo que el riesgo pueda evaluarse de forma integral y no fragmentada.

La defensa contra los deepfakes y el fraude moderno requiere solidez en cuatro capas interconectadas:

Capa 1: Prevención del registro masivo

En la capa más externa, los equipos de riesgo colaboran con los de seguridad informática para detectar el relleno de credenciales (credential stuffing), la creación de cuentas mediante bots y la venta de credenciales tras filtraciones masivas de datos. Esto frena los ataques antes de que lleguen a los flujos legítimos de verificación.

Capa 2: Validación de registro y solicitud

Más allá de validar los datos de identidad (PII), los controles eficaces en esta capa incluyen la verificación de empleo e ingresos para productos crediticios. En préstamos personales, de vehículos e hipotecas, estas comprobaciones crean un filtro proporcional al riesgo: lo que llamamos fricción prudente, adaptada a la importancia del evento y a la precisión de los modelos de detección.

Capa 3: Supervisión del comportamiento posregistro

Una vez abierta la cuenta, el objetivo pasa a ser la detección de comportamientos sospechosos en el momento de realizar transacciones. Las estafas de crédito rápido se hacen visibles en los patrones del primer uso. El fraude en transporte compartido se muestra en anomalías de ubicación, distancia o comportamiento al volante. El fraude en plataformas de compraventa aparece como un crecimiento explosivo de ventas o tácticas de demora para hacer creer al comprador que el artículo está en camino.

Capa 4: Defensa contra la usurpación de cuentas

La ingeniería social sigue siendo la principal vía para usurpar cuentas. El análisis continuo del comportamiento de las sesiones, los cambios de dispositivo y los patrones de comunicación puede alertar si un estafador ha desplazado al titular legítimo de la cuenta.

Plataformas como Oscilar están pensadas para respaldar esta estrategia por capas al facilitar decisiones en tiempo real sobre fraude, crédito y cumplimiento normativo a través de señales compartidas y análisis de baja latencia, lo que permite a los equipos actuar con rapidez sin desarticular sus defensas.

Prevención de deepfakes en todas las etapas del ataque

Aunque los deepfakes pueden resultar convincentes si se analizan individualmente, dejan un rastro de pistas a lo largo del ciclo de vida del dispositivo, la sesión y la aplicación.

La prevención de los deepfakes en el punto de acceso comienza analizando el dispositivo y la interacción utilizados para enviar la biometría. La identificación de dispositivos, la detección de emuladores y cámaras virtuales, junto con las señales de comportamiento y cognitivas (como microtemblores al sostener el móvil o patrones de vacilación ante situaciones de presión), pueden revelar interacciones sintéticas u obligadas antes incluso de registrar los datos biométricos.

Prevenir los deepfakes durante el registro de datos implica emplear sistemas de detección de vida y análisis biométrico basados en IA para determinar si quien se presenta es una persona real. Esto supera las verificaciones estáticas o deterministas, analizando patrones biométricos y la dinámica de presentación frente a detectar pequeñas incoherencias que delaten manipulación o síntesis artificial.

La prevención de los deepfakes al enviar la solicitud exige considerar el proceso como un todo y no como un único control biométrico. Una vez que los datos entran en el sistema, Oscilar asocia señales procedentes de las características de identidad, documentos, dispositivos, redes y patrones de conducta, sacando a la luz contradicciones como un reconocimiento facial de alta fiabilidad asociado a un dispositivo inusual, metadatos incoherentes en los documentos o un contexto de transacción sospechoso.

Combatir las identidades sintéticas con fuentes de datos oficiales

Para las identidades sintéticas, el control fundamental de mayor eficacia sigue siendo el servicio eCBSV de la Administración de la Seguridad Social de EE. UU., que corrobora si un número de seguro social coincide con los datos de identidad aportados. Oscilar admite eCBSV mediante proveedores de identidad de confianza como Socure, y enriquece los resultados con un análisis más amplio de la huella digital (antigüedad del correo, historial de la compañía telefónica, reutilización de dispositivos y conexiones de red) para permitir que las entidades financieras diferencien entre perfiles fabricados y solicitantes legítimos sin historial, sacando a la luz patrones de fraude repetibles a gran escala.

Los modelos avanzados de aprendizaje automático han evolucionado más allá de las predicciones puntuales. Las nuevas capacidades de procesamiento permiten a las plataformas unificar toda la información del usuario a lo largo de todo su recorrido, ofreciendo una visión integral que se muestra mucho más resolutiva que las decisiones en momentos aislados. Este modelo de inteligencia continua es la gran diferencia de las plataformas de riesgo modernas frente a los antiguos sistemas de control por etapas.

¿Qué pasos deben dar los líderes financieros de inmediato?

El plan de acción operativa para 2026 exige cinco medidas inmediatas:

1. Eliminar las barreras internas

Si tu equipo de prevención de fraude no tiene visibilidad sobre lo que ha detectado tu equipo de KYC, estarás indefenso ante ataques combinados. Conecta los departamentos de registro, transacciones, crédito y prevención de blanqueo.

2. Auditar la categoría de "pérdidas crediticias"

Analiza qué parte de la deuda incobrable es en realidad fraude sintético encubierto. Clasificar estas pérdidas de forma correcta justificará el presupuesto y la urgencia para construir sistemas de defensa adecuados.

3. Proteger la transmisión de imagen

Implementa sistemas de detección de ataques de inyección de datos y trata cada transmisión de video como sospechosa hasta que sea verificada mediante criptografía. Los datos biométricos pueden ser impecables, pero si el canal de envío está comprometido, la verificación carece de valor.

4. Incorporar agentes de defensa basados en IA

Aplica capacidades de investigación autónoma que escalen a la par que los ataques automatizados. Estos agentes pueden determinar si una actividad es legítima o no, solicitar datos adicionales e identificar casos parecidos en las listas de espera de revisión, permitiendo a los analistas humanos trabajar de forma mucho más ágil.

5. Pasar de una seguridad basada en filtros de entrada a un control constante

La confianza debe renovarse en cada sesión y en cada transacción. En el sector está emergiendo el concepto KYX (Conozca su Práctica / Know Your Experience), que sustituye las comprobaciones únicas de KYC por una supervisión continua durante la vida útil del cliente.

La exigencia legislativa y regulatoria está aumentando. Las normas de NACHA para 2026 exigen una detección de fraude "comercialmente razonable" en cargos web. Por su parte, la Ley de IA de la UE, que entrará en vigor de forma plena en agosto de 2026, estipula un etiquetado claro de deepfakes y controles de transparencia. Los compradores de tecnología deben valorar si sus proveedores cumplen los nuevos estándares técnicos avanzados, como el CEN/TS 18099, específico para ataques de inyección de datos biométricos. 

Tal como muestran iniciativas como el Protocolo de Agente de Confianza de Visa, el futuro de la confianza se basa en la validación criptográfica de cada participante y cada línea de datos a lo largo de la ruta de pago.

Construir una nueva base para la confianza

El golpe de 25,6 millones de dólares a la compañía Arup demostró un cambio de paradigma tajante: cuando no puedes confiar en tus ojos y oídos, debes confiar en tus datos. La unión entre identidades sintéticas, inyección de deepfakes y procesos autónomos mediante agentes ha dejado obsoletas las arquitecturas de seguridad tradicionales.

La tecnología capaz de fabricar realidades es una realidad hoy. La única defensa viable es un sistema dotado para ver los patrones ocultos detrás de esa simulación: ágil, unificado y funcionando a velocidad de procesamiento informático. Plataformas como Oscilar están dando forma a esta estructura de confianza renovada, integrando la toma de decisiones sobre riesgos por IA con inteligencia de identidad para detectar el fraude en tiempo real.

Pero el futuro también nos obliga a replantear la relación esencial entre identidad, propósito y consecuencias. En un escenario donde los agentes de IA realizan transacciones en lugar de los usuarios, muchos clientes legítimos preferirán preservar su privacidad y comodidad antes que revelar su identidad. La tarea de los gestores de riesgos no consiste en exigir una identificación absoluta siempre, sino en adecuar la respuesta según el impacto de la acción y la fiabilidad de la detección.

Esto va mucho más allá de evitar pérdidas. Lo que está en juego es el pilar central del entorno digital: la propia confianza.


Linas Beliūnas

Exestratega de contenido

Sigue leyendo