El recuento más reciente de la Oficina Federal de Investigaciones hace que las matemáticas sean brutalmente simples: consumidores y empresas estadounidenses perdieron $20.9 mil millones por fraude habilitado por internet en 2025. Pero la cifra titular oculta un cambio más inquietante en la economía criminal. La mayor parte de estas pérdidas no resultó de sofisticados despliegues de malware o brechas de datos elaboradas—las amenazas que consumen la mayoría de presupuestos de ciberseguridad y atención regulatoria. En cambio, el daño fluyó de algo mucho más corrosivo: mensajes, llamadas y perfiles digitales que fueron simplemente lo suficientemente convincentes para funcionar.
Esta migración hacia el fraude basado en autenticidad marca una inversión fundamental del paradigma de ciberseguridad que ha dominado la banca y los pagos durante los últimos dos décadas. La industria construyó sus defensas alrededor del supuesto de que los atacantes necesitarían sofisticación técnica: exploits de día cero, infraestructura de botnet, credenciales robadas analizadas a través de esquemas de lavado complejos. Enormes cantidades de capital fluyeron hacia protección de endpoints, segmentación de redes y detección de brechas. El problema siempre se enmarco como un problema tecnológico, solucionable a través de más tecnología.
La inteligencia artificial ha demolido ese supuesto. Al mercantilizar la creación de texto persuasivo, voces sintéticas y mimetismo conductual, la IA ha invertido la estructura de costos del fraude. Donde una campaña tradicional de ingeniería social alguna vez requirió operativos humanos costosos—investigadores, lingüistas, actores—un sistema de IA puede ahora generar cientos de miles de mensajes de phishing personalizados, interacciones de llamadas falsificadas y perfiles de identidad fabricados por costo marginal. Las barreras de entrada han colapsado. Una persona con habilidades básicas de ingeniería de prompts y créditos modestos de computación en la nube puede ahora lanzar una operación de fraude que habría requerido un equipo e infraestructura sustancial hace cinco años.
Las instituciones financieras han comenzado a desplegar sus propios sistemas de IA en respuesta, creando lo que equivale a una carrera armamentista adversarial entre modelos generativos entrenados para engañar y sistemas de aprendizaje automático entrenados para detectar engaños. En la superficie, esto parece racional: luchar IA contra IA, igualar la velocidad y escala del atacante. Sin embargo, este enfoque pierde una vulnerabilidad crucial en la posición de los defensores. Los atacantes no enfrentan carga regulatoria. Operan en una frontera de eficiencia pura—cualquier cosa que genere ingresos con fricción mínima se despliega inmediatamente. Los defensores, mientras tanto, trabajan bajo restricciones que los atacantes no tienen: tasas de falsos positivos que frustran a clientes legítimos, requisitos de cumplimiento que limitan el uso de ciertas técnicas de detección, y aversión al riesgo institucional que ralentiza el despliegue de tecnologías no probadas.
Considere la realidad práctica en un procesador de pagos importante o un banco digital. Los sistemas de detección de fraude deben equilibrar imperativos en competencia: atrapar a los criminales sin bloquear transacciones legítimas. Un sistema demasiado agresivo crea fricción del cliente, abandono y pérdida de ingresos. Un sistema demasiado permisivo permite que el fraude pase. Esa tensión no es nueva, pero la IA la ha hecho aguda. Un modelo de aprendizaje automático entrenado para identificar voces sintéticas en llamadas de servicio al cliente podría marcar a personas que llaman legítimas con acentos pesados o trastornos de voz. Un sistema que detecta correos electrónicos de phishing generados por IA con una precisión del 99 por ciento aún generará cientos de falsos positivos diariamente a escala, cada uno requiriendo revisión humana o remediación del cliente. El costo económico y operacional de los falsos positivos es real e inmediato; el beneficio de atrapar fraude es difuso y estadístico.
Los bancos y redes de pagos—instituciones reguladas por la ECB, redes de tarjetas como Visa y Mastercard, y jugadores fintech emergentes como Wise y Revolut—enfrentan un problema secundario: se defienden contra amenazas originadas fuera de su control directo. Un cliente engañado por un correo electrónico generado por IA que suplanta a su banco es un cliente cuya confianza en la institución se rompe, independientemente de si el banco mismo fue técnicamente comprometido. El daño reputacional es severo y duradero. Sin embargo, el banco no puede simplemente rehusar operar en un entorno digital donde tales ataques ocurren. La presión competitiva para ofrecer experiencias digitales sin problemas—incorporación rápida, pagos sin fricción, pasos de verificación mínimos—crea las mismas vulnerabilidades que el fraude impulsado por IA explota.
Los organismos reguladores han comenzado a reconocer esta asimetría. La Autoridad Bancaria Europea y agencias supervisoras similares están impulsando estándares de autenticación más fuertes y monitoreo de fraude más riguroso. Sin embargo, la regulación enfrenta su propio problema de retraso: para cuando una nueva regla se codifica e implementa, el panorama de amenazas ya ha evolucionado. Los criminales no están esperando a que los comités se reúnan.
Lo que esto significa para el ecosistema de pagos es un período de transición incómoda. El modelo antiguo—donde un pequeño número de instituciones grandes controlaba la mayoría de la infraestructura de detección de fraude y podía imponer sus estándares a los clientes a través de puro poder de mercado—se está fracturando. Las firmas fintech más pequeñas, careciendo de escala para absorber pérdidas por fraude u operar sistemas masivos de detección, enfrentan riesgo desproporcionado. Los clientes, cada vez más escépticos de canales digitales, pueden migrar a métodos de pago más lentos y manuales que se sienten más seguros aunque sean estadísticamente más riesgosos. E las instituciones continuarán invirtiendo en detección impulsada por IA, sabiendo que la inversión ofrece solo ventaja temporal antes de que los atacantes se adapten.
La pérdida de $20.9 mil millones no es principalmente un problema tecnológico que otro mil millones de dólares en gasto de tecnología resolverá. Es un problema de información: los atacantes ahora pueden generar autenticidad a escala, y los defensores no pueden distinguir eficientemente auténtico de fabricado a la velocidad y volumen requeridos. La solución—si existe—probablemente requerirá no solo mejores sistemas de detección sino una reestructuración fundamental de cómo se establecen la confianza y la identidad en las finanzas digitales. Esa reestructuración será dolorosa, costosa y disruptiva. Pero el camino actual, donde el fraude generado por IA se acelera mientras las defensas permanecen estructuralmente asimétricas, es insostenible.
Escrito por el equipo editorial — periodismo independiente impulsado por Codego Press.