Verticales IT Industrias Usuarios Focus Comunidad

fraude digital

De WhatsApp al home banking: cómo las estafas digitales ponen en jaque a bancos, fintechs y billeteras

Home Ciberseguridad
Dirección copiada

Con fraudes en línea que crecen y modalidades cada vez más sofisticadas, la responsabilidad ya no recae solo en el usuario que hace clic. Bancos, fintechs y billeteras enfrentan el desafío de demostrar qué controles, alertas y mecanismos de prevención se activaron antes, durante y después de cada operación sospechosa.

Publicado el 9 de jun de 2026
Franco Della Vecchia

Secretario de Redacción

Teléfono móvil con el ícono de WhatsApp en pantalla, asociado a fraudes por mensajería e ingeniería social.
Un celular muestra el ícono de WhatsApp sobre una pantalla oscura. La imagen representa el uso de mensajería instantánea como canal habitual para estafas digitales, suplantación de identidad, falsos operadores y maniobras de ingeniería social contra usuarios de bancos y billeteras.

El mensaje llega por WhatsApp. Parece provenir de un comprador, de un soporte técnico, de una entidad financiera o de una plataforma conocida. La víctima recibe un enlace, un código, una llamada urgente o una supuesta verificación de seguridad. Minutos después, descubre una transferencia que no hizo, un préstamo que no pidió o una billetera vaciada.

Durante años, esa escena se narró como un problema de educación del usuario: alguien “cayó” en phishing. La pregunta es: ¿qué controles tenía el banco o la billetera para detectar que esa operación no se parecía al comportamiento habitual del cliente?

El dato de contexto: el fraude digital se volvió masivo

En Argentina, la Unidad Fiscal Especializada en Ciberdelincuencia del Ministerio Público Fiscal (UFECI) informó que entre enero y diciembre de 2024 —el último dato puesto a disposición por el organismo— recibió 34.468 reportes por delitos informáticos, un aumento interanual de 21,1%.

Dentro de ese universo argentino, el fraude en línea fue la modalidad más reportada: 21.729 casos, equivalentes al 63%. Y, dentro de esos fraudes en línea, el 18% correspondió a fraudes a través de home banking. La misma UFECI también registró accesos ilegítimos a cuentas bancarias y billeteras, muchas veces mediante llamados engañosos, enlaces e instalación de software de acceso remoto.El informe de UFECI enfatiza que el problema  parte del funcionamiento cotidiano de los servicios financieros digitales.

El Banco Central de la República Argentina (BCRA) también advierte que las estafas virtuales son cada vez más frecuentes y que sus modalidades cambian constantemente. En sus recomendaciones públicas, el organismo pone el foco en la protección de datos personales, credenciales y buenas prácticas de los usuarios. Pero en sus normas para servicios financieros digitales también impulsa a las entidades hacia otro terreno: gestión de riesgos, autenticación, monitoreo y trazabilidad.

Las modalidades: phishing, smishing, vishing, robo de celular y toma de cuenta

El phishing clásico —un mail falso que captura usuario y contraseña— ya es apenas una parte del problema. Hoy convive con smishing por SMS, vishing por llamadas, suplantaciones por WhatsApp, robo de celulares desbloqueados, secuestro de cuentas, instalación de herramientas de acceso remoto y toma de cuentas bancarias o de billeteras.

Pantalla de laptop con mensaje de autenticación fallida durante un intento de acceso a una plataforma web.
Primer plano de una pantalla con un mensaje de “Authentication Failed”. La imagen funciona como recurso visual para temas vinculados a acceso digital, credenciales, inicio de sesión, seguridad de identidad y posibles intentos fallidos de ingreso a sistemas financieros o corporativos.

BioCatch, compañía especializada en biometría conductual e inteligencia de fraude financiero, publicó datos de 36 instituciones financieras de América Latina, que atienden a más de 300 millones de clientes. Según ese relevamiento regional, los intentos de estafa por ingeniería social aumentaron 155% en América Latina durante 2025.

Paralelamente, los fraudes con herramientas de acceso remoto se multiplicaron por cinco; los ataques de malware crecieron 225%; y los casos originados en dispositivos robados subieron 344%. BioCatch lo define como una evolución previsible: cuando los bancos endurecen la autenticación, los delincuentes migran hacia ingeniería social en tiempo real y ataques centrados en el dispositivo.

Para una entidad financiera, el problema ya no es solo “el cliente entregó una clave”. Muchas veces, el atacante inicia sesión con una sesión válida, desde un dispositivo comprometido o con la colaboración involuntaria de la víctima. En apariencia, la operación puede estar autorizada. En el fondo, puede ser fraude.

Menos fricción versus más seguridad

El debate sobre cómo frenar una estafa sin destruir la experiencia de usuario ya aparece con fuerza en mercados donde los pagos inmediatos están más extendidos.

Simon Taylor, analista británico especializado en fintech y autor de la newsletter Fintech Brainfood, analizó el caso de Monzo, banco digital del Reino Unido, que incorporó una función dentro de su app para que el cliente pueda verificar si realmente está hablando con personal del banco o si está siendo manipulado por un estafador.

La herramienta apunta a una modalidad conocida: alguien llama al usuario, se hace pasar por la entidad y le pide mover fondos a una supuesta “cuenta segura”. Para Taylor, este tipo de estafas se volvió un problema de toda la organización financiera, especialmente en Reino Unido por la penetración de Faster Payments, el sistema local de pagos en tiempo real.

El punto más interesante del análisis no es la función en sí, sino el estándar que propone. Taylor sostiene que “cada banco debería tener esta función” y advierte que, si solo una entidad ofrece ese tipo de señal, el problema sigue siendo sistémico. En otras palabras: la defensa contra la suplantación no puede depender únicamente de campañas educativas, mails preventivos o carteles genéricos antes de transferir. Debe estar integrada en el momento exacto en que ocurre la manipulación, dentro del canal donde el cliente toma la decisión.

Taylor también marca un límite relevante: una señal dentro de la app puede ser útil, pero no alcanza si el usuario no sabe que existe o si está escondida a varios clics justo cuando está bajo presión. Por eso plantea que las entidades tienen que mirar el comportamiento antes de la transacción, no solo advertir al final del recorrido.

El giro legal: de “culpa del usuario” a responsabilidad compartida o agravada

La discusión jurídica acompaña esa transformación. En Argentina, María Paula Carril, autora del artículo “Responsabilidad de las entidades bancarias ante estafas electrónicas”, publicado en la Revista Jurídica de la Universidad de San Andrés, plantea la necesidad de profundizar el análisis de la responsabilidad bancaria ante la explosión de estafas electrónicas que afectaron, en su mayoría, a los consumidores de servicios bancarios.

La misma tensión se observa fuera de la Argentina. Baker Tilly España, firma internacional de auditoría, consultoría y asesoramiento legal, analizó la sentencia 571/2025 del Tribunal Supremo español sobre phishing bancario. El punto central del análisis es que el banco no queda automáticamente eximido porque el usuario haya sido engañado: debe probar fraude, dolo o negligencia grave del cliente para evitar responsabilidad.

Lo que pide el regulador: autenticación, monitoreo y trazabilidad

En Argentina, las normas del BCRA sobre riesgos de tecnología y seguridad de la información asociados a servicios financieros digitales obligan a los sujetos alcanzados a identificar, analizar y mitigar riesgos vinculados con canales digitales, apertura de cuentas no presencial, autenticación de clientes, autorización de instrucciones y resiliencia operacional.

También exigen definir una estrategia de monitoreo que permita detectar actividades inusuales o transacciones sospechosas. El texto del BCRA no plantea el fraude como un tema meramente educativo, sino como un riesgo que debe gestionarse con controles, evidencia y gobierno.

Laptop mostrando un supuesto correo bancario que solicita verificar transacciones sospechosas, posible ejemplo de phishing financiero.
Una computadora portátil muestra un correo electrónico que simula una alerta de seguridad bancaria y pide confirmar transacciones. La imagen ilustra una modalidad frecuente de phishing financiero, donde los atacantes buscan que el usuario valide operaciones o entregue información sensible.

Ese punto es clave para bancos, fintechs y billeteras. Si una cuenta agrega un nuevo destinatario, cambia datos de contacto, opera desde un dispositivo desconocido, solicita un préstamo y transfiere fondos en pocos minutos, la pregunta posterior no será solo si el usuario hizo clic en un link. También será si la entidad tenía monitoreo, alertas, fricción inteligente y capacidad de intervención.

Qué deberían mirar bancos y billeteras

NiCE Actimize, unidad de NiCE especializada en prevención de fraude y crimen financiero, analizó pagos minoristas en Estados Unidos para su 2025 Fraud Insights Report. Según ese reporte sectorial estadounidense, las estafas representaron el 57% de las transacciones fraudulentas intentadas.

Sift, plataforma estadounidense de prevención de fraude digital, informó en su Q3 2025 Digital Trust Index que los ataques de account takeover contra el sector fintech y finanzas crecieron 122% interanual en su red global de datos. En una encuesta online a adultos de Estados Unidos incluida en el mismo informe, la compañía también relevó que la pérdida de confianza posterior a una toma de cuenta puede impactar en la continuidad de uso de una plataforma.

Feedzai, compañía global de prevención de crimen financiero basada en inteligencia artificial, publicó en 2025 que más de 50% del fraude relevado en su reporte global involucraba el uso de IA, incluyendo deepfakes, identidades sintéticas y phishing potenciado por modelos generativos. El informe de Feedzai agrega una capa nueva al problema: el phishing ya no necesariamente luce torpe, mal escrito o fácil de detectar. Puede estar personalizado, automatizado y apoyado en voces, documentos o mensajes más convincentes.

En paralelo, la investigación académica empieza a mostrar hacia dónde se mueve la detección. Un paper de investigadores vinculados a Capital One, banco estadounidense, propone ATLAS, un modelo para detectar account takeover conectando cuentas, dispositivos e IPs en grafos temporales. En un producto digital de alto riesgo de Capital One, el modelo reportó una mejora de 6,38% en AUC y una reducción de más de 50% en fricción para clientes.

El nuevo estándar de confianza

El fraude digital no se resuelve culpando al usuario ni multiplicando advertencias genéricas en la pantalla. Tampoco se resuelve solo con más autenticación. El nuevo estándar requiere prevención, monitoreo transaccional, análisis de comportamiento, respuesta rápida, trazabilidad, colaboración sectorial y capacidad probatoria.

El phishing crece y muta. La pregunta relevante es otra: cuando el fraude ocurre, qué puede demostrar la entidad sobre lo que vio, lo que alertó, lo que bloqueó y lo que hizo después.

Prohibida su reproducción total o parcial.

¿Qué te ha parecido este artículo?

¡Su opinión es importante para nosotros!

Franco Della Vecchia
Secretario de Redacción
Licenciado en Periodismo y Comunicación en la Universidad del Salvador. Escribí para el Cronista Comercial, La Nación y desde hace más de 8 años colaboro con Forbes Argentina. Negocios y tecnología, mis especialidades.
Sígame en

Leer también:

Temas

Canales

Artículos relacionados

  • Agentforce 360 impulsa el trabajo con IA en Salesforce, con agentes más precisos, voz nativa y aplicaciones que mejoran ventas, servicio y TI.

  • herramientas

    Cómo funciona Agentforce 360, la propuesta de Salesforce para agentes de IA listos para el trabajo

    19 Dic 2025

    Compartir
  • Red Hat y Amazon amplían su colaboración en AWS para facilitar la ejecución de inferencia de IA generativa en entornos productivos, combinando software empresarial de código abierto con chips propios como Trainium e Inferentia.

  • análisis

    Red Hat y Amazon refuerzan su colaboración en AWS con chips propios para inferencia de IA

    16 Feb 2026

    Compartir
  • Operarios preparan paquetes en un depósito, un panel digital muestra rutas y métricas, y un repartidor entrega un pedido; escena sobre software logistico aplicado a la última milla.

  • ESPECIALES

    Del depósito a la última milla: por qué el software logístico ya define la experiencia de compra

    26 May 2026

    Compartir
  • LN – 2026-03-28T161126.180

  • CIO Profile

    Carlos Vecchio, el cerebro detrás de la transformación digital de Banco Macro

    30 Mar 2026

    Compartir
  • Cardano

  • Blockchain

    Cardano acelera en la Argentina: expansión, empleo tech y una apuesta fuerte al talento local

    22 Abr 2026

    Compartir
  • Equipo directivo analiza un tablero de IT Portfolio Management con métricas de inversión, priorización de proyectos tecnológicos y alineación estratégica en una sala de reuniones corporativa.

  • ANÁLISIS

    IT Portfolio Management: el antídoto contra la dispersión de proyectos tecnológicos

    06 Feb 2026

    Compartir