Latinia
Un banco recibe la solicitud de apertura de una cuenta. El documento de identidad supera la validación. La biometría coincide. No hay señales de alerta. Semanas después, la cuenta acumula crédito y lo retira en su totalidad. El titular del DNI nunca supo que su identidad había sido utilizada. La entidad descubre que el cliente nunca existió.
No es un escenario hipotético. Es la descripción operativa del fraude con IA que ya opera en la región. Y según Juniper Research, citado por Infobae, las pérdidas globales por fraude bancario escalarán de USD 23.000 millones en 2025 a USD 58.300 millones en 2030, impulsadas por un crecimiento del 153% en las modalidades más sofisticadas.
En este artículo analizamos los tres vectores de fraude con IA que más están impactando a la banca latinoamericana —deepfakes, identidades sintéticas y smishing— y, sobre todo, qué decisiones concretas puede tomar una entidad financiera para defenderse de cada uno de ellos.
Los deepfakes han convertido la biometría en un vector de ataque. Según Unico, los fraudes sofisticados basados en contenido sintético crecieron más de un 1.000% entre 2024 y 2025. Un perfil biométrico falso puede superar los controles de reconocimiento facial. Una voz clonada puede engañar a los sistemas de autenticación. Un vídeo generado por IA puede autorizar transferencias haciéndose pasar por un directivo.
La defensa no pasa por descartar la biometría, sino por no depender de ella como única capa. Las soluciones más robustas hoy combinan análisis de comportamiento en sesión —cómo interactúa el usuario con el dispositivo, la velocidad de escritura, los patrones de navegación— con prueba de vida activa que exige acciones no reproducibles por un modelo estático. Un deepfake puede imitar un rostro; no puede imitar en tiempo real la respuesta a un desafío dinámico impredecible.
La defensa no pasa por descartar la biometría, sino por no depender de ella como única capa. Los bancos que ya han digitalizado su proceso de verificación de identidad pueden incorporar dos capas adicionales sobre lo que tienen: análisis de comportamiento en sesión —que detecta en tiempo real cómo interactúa el usuario con el dispositivo: velocidad de escritura, presión táctil, patrones de navegación— y prueba de vida activa que exige responder a desafíos dinámicos que cambian en cada sesión. Ambas capacidades las ofrecen plataformas especializadas en verificación de identidad digital que se integran vía SDK en la app bancaria o vía API en el flujo de alta. Un deepfake puede imitar un rostro; no puede improvisar una respuesta impredecible en tiempo real.
La alerta en tiempo real al cliente es la última línea cuando el ataque ha superado los controles previos. Si el titular legítimo recibe una notificación inmediata ante cualquier apertura, cambio de datos o acceso desde un dispositivo nuevo, tiene la oportunidad de interrumpir el fraude antes de que se materialice. Aquí es donde el Motor de Decisión en Tiempo Real de Latinia actúa para que esa última línea no falle: : detecta el evento, lo contextualiza y dispara la alerta al cliente en décimas de segundo, sin esperar a procesos batch ni a que el fraude ya esté consumado.
Las identidades sintéticas son la modalidad más difícil de combatir precisamente porque no generan una víctima que reporte. En México, su uso creció un 1.200% en el primer trimestre de 2025, según Sumsub. Combinan datos reales con información falsa generada por IA para construir identidades internamente consistentes que pasan los controles estándar de validación.
Esta identidad «Frankenstein» abre cuentas. Acumula historial crediticio. Y en el momento adecuado, lo liquida. No hay una víctima concreta que reporte el fraude. Cuando la pérdida se materializa, la ventana de recuperación ya se cerró.
Defenderlas exige salir del enfoque de validación puntual para adoptar uno de vigilancia transaccional continua: ¿el comportamiento de este cliente es consistente con su perfil a lo largo del tiempo?
En la práctica, esto significa monitorizar el comportamiento de cada cuenta desde el momento del alta: ¿acumula crédito a una velocidad inusual? ¿Ausencia de transaccionalidad cotidiana —compras, pagos, transferencias habituales—? ¿Inconsistencia entre el perfil declarado y el uso real del producto?
Las identidades sintéticas tienden a comportarse de forma acelerada y atípica en la fase de extracción, y esos patrones son detectables si el banco tiene implementado un motor de scoring de comportamiento que analice eventos transaccionales en tiempo real —no en batch— desde el primer día de vida de la cuenta. Sin esa capa, el fraude solo se descubre cuando el daño ya está hecho.
El smishing potenciado por IA ha eliminado los marcadores que lo hacían identificable. Los mensajes ya no tienen errores gramaticales ni dominios sospechosos. Un modelo de lenguaje puede replicar con exactitud el tono y el formato de las comunicaciones reales de cualquier entidad. Según el informe Fraud Beat 2026 de AppGate, el 86% de las amenazas de fraude confirmadas en canales digitales en LATAM corresponden a estafas y suplantación de identidad, con el smishing como principal vector de entrada en el entorno móvil.
La defensa opera en dos frentes.
El primero es el canal: un SMS legítimo coexiste con los SMS fraudulentos que lo imitan, sin que el cliente tenga forma nativa de distinguirlos. Derivar las comunicaciones críticas hacia canales con verificación de remitente —RCS, push nativo en app— elimina esa ambigüedad estructural. El cliente ve la identidad del banco verificada criptográficamente. El mensaje falso no puede imitar eso.
El segundo es la velocidad: el smishing funciona porque el cliente no sabe lo que está ocurriendo en su cuenta. Un banco que notifica en tiempo real ante cualquier movimiento —antes de que el mensaje fraudulento tenga tiempo de actuar— convierte al cliente en el primer detector del fraude, no en su víctima.
La infraestructura que hace posible la defensa: gobernanza, seguridad y resiliencia
Los tres frentes defensivos convergen en una misma exigencia operativa: una capa de inteligencia, gobernanza y seguridad que actúe sobre el ciclo de vida completo de cada notificación crítica —no solo sobre su envío.
En Latinia llevamos más de 25 años desarrollando tecnología para la gestión de comunicaciones críticas en bancos de Europa y América Latina. La combinación de nuestro Motor de Alertas Críticas y nuestro Motor de Decisión en Tiempo Real crea una capa de gobernanza que decide qué comunicar, por qué canal y bajo qué condiciones, garantizando además la trazabilidad, seguridad y auditabilidad de cada notificación, independientemente de los proveedores de entrega.
Esa distinción importa especialmente en escenarios de fraude, donde la continuidad y la trazabilidad no son opcionales.
En banca, un mensaje no entregado puede traducirse en un fraude no detectado. Por eso la resiliencia operativa de la capa de notificaciones tiene que estar resuelta antes de que el ataque llegue, no después.
Latinia lo gestiona a través de tres mecanismos complementarios.
Estas tres capas juntas aseguran que la alerta llegue. Porque en la defensa frente al fraude con IA, una notificación que no llega en el momento correcto no detiene nada.
La evolución regulatoria también está elevando la importancia de la trazabilidad y la auditabilidad de las comunicaciones críticas. Cada vez más entidades financieras buscan disponer de evidencias completas sobre qué alertas se enviaron, cuándo, por qué canal y con qué resultado, tanto por motivos de control operativo como de cumplimiento y supervisión.
Venezuela +228%, Guatemala +206%, México +311% en tomas de control de cuentas. El fraude por ingeniería social creció un 155% en LATAM durante 2025-2026. Cada dólar perdido por fraude implica un coste real de USD 5,16 para la institución.
El fraude con IA en LATAM no espera. ¿Tu infraestructura de comunicaciones tampoco?
Contacto
