El fraude digital en América Latina ha dejado de ser un problema de ataques aislados para convertirse en una cadena perfectamente coordinada. Hoy en día, los ciberdelincuentes operan bajo un modelo de negocio estructurado que inicia con la exposición en redes sociales, transita por la captura de identidad y el control de cuentas, y culmina de forma rápida en el retiro de fondos. Esta secuencia se está acelerando de manera alarmante y agresiva en la región.
A escala global se registraron 3.8 millones de ataques de phishing en 2025, según datos del APWG. En redes sociales, las estafas y la suplantación de marca ya representan el 86% de las amenazas confirmadas y el sector financiero concentra el 35.5% de esos ataques, es decir, más que retail, gobierno o tecnología combinados.
El panorama en la región no dista mucho de estos datos, según el Fraud Beat 2026 de AppGate, en la subregión de México y Centroamérica, se han detectado crecimientos interanuales importantes: Guatemala creció 206%, Costa Rica 89%, El Salvador 28%. Pero los datos locales de México cuentan una historia igual de contundente, ya que entre finales de 2024 e inicios de 2026, los ataques de toma de control de cuentas bancarias crecieron 324%, según reportes de BioCatch y la organización Barzón de Resistencia Civil. En 2025 y lo que va de 2026, la Condusef acumuló más de 7.2 millones de denuncias por fraudes bancarios, de las cuales el 72% corresponden a posibles fraudes.
“Lo que esto le dice a un líder de riesgo en México es claro: la cadena de industrialización del fraude que describe el Fraud Beat no es un fenómeno abstracto ni lejano. Ya está operando en el mercado mexicano con cifras verificables. Si tu estrategia de prevención sigue centrada exclusivamente en el core bancario, estás protegiendo la puerta mientras el atacante entra por la ventana”, destaca David López Agudelo, Vicepresidente de ventas para Latinoamérica de AppGate.
Este incremento también se refleja en la banca electrónica local, donde las reclamaciones por fraude digital crecieron más de un 23% interanual, confirmando un cambio estructural y no un pico temporal.
El fin del perímetro y la economía de credenciales
Históricamente, las organizaciones basaban la protección de la información basada en el perímetro, sin embargo, la migración hacia el trabajo híbrido, la adopción de la nube y la digitalización en general ha hecho que el perímetro ya no exista. El fraude actual ya no inicia en el correo corporativo o en una vulnerabilidad tradicional de la red; arranca afuera, en plataformas que normalmente están fuera del control de la organización.
Apoyados por la Inteligencia Artificial (IA), los criminales automatizan y escalan tácticas como phishing altamente sofisticado, suplantación de voz y generación de identidades sintéticas. Con herramientas como los infostealers, las credenciales robadas se han convertido en un commodity que se compra, vende y explota en cuestión de horas dentro de mercados criminales.
"Los ataques evolucionaron más rápido que la mayoría de las arquitecturas de defensa. Muchas organizaciones siguen operando con controles diseñados para un mundo donde el atacante intentaba entrar por la red. Ese mundo ya no existe. La digitalización no solo amplió la superficie de ataque; cambió el modelo de negocio del atacante. Y eso obliga a repensar la defensa desde la arquitectura, no desde la herramienta", agrega el ejecutivo de AppGate.
David López Agudelo, Vicepresidente de ventas para Latinoamérica de AppGate.
El impacto financiero de la inacción y el nuevo KPI
Mantener arquitecturas heredadas (legadas) representa un riesgo de seguridad latente y un costo operativo que las empresas ya no pueden ignorar. De acuerdo con datos de Alloy citados en el estudio Fraud Beat, por cada dólar perdido en fraude, el costo total para la organización puede ascender a 5.16 dólares, considerando gastos de investigación, recuperación, abandono de clientes y daño reputacional. A esto se suma que el compromiso de correo empresarial (BEC) por transferencia bancaria repuntó un 136% en el último trimestre de 2025.
Ante este escenario de adaptación criminal en tiempo real, las reglas estáticas de bloqueo por geolocalización resultan obsoletas. La defensa debe trasladarse al análisis de comportamiento, señales pasivas del dispositivo y autenticación adaptativa. "Si la organización sigue midiendo su efectividad por alertas generadas en lugar de pérdidas prevenidas, está optimizando para la métrica equivocada. El KPI que importa no es la detección, es el cash-out prevenido. Eso cambia toda la conversación de cuántos ataques detectaste a cuánto dinero evitaste que saliera", destaca David López Agudelo.
Ciberresiliencia con Zero Trust
Para contrarrestar la sofisticación del ataques como ransomware y la denegación de servicio, los CISO pueden apostar por el Perímetro Definido por Software (SDP) bajo el principio de Zero Trust: nada es confiable hasta que se verifica (identidad, contexto y postura del dispositivo) en cada sesión. Con SDP, la infraestructura se vuelve invisible para los atacantes externos y se limita el movimiento lateral en caso de una brecha.
A pesar de la vieja creencia de que a mayor seguridad hay mayor fricción para los empleados y usuarios, las soluciones modernas han demostrado lo contrario. Al evaluar el riesgo en tiempo real mediante señales pasivas, la fricción adicional (como pasos extras de autenticación) solo aparece ante transacciones atípicas o cambios de beneficiario. El resto del tiempo, la experiencia es transparente.
Un hallazgo del Fraud Beat 2026 lo confirma, ya que el 92% de los tomadores de decisión encuestados afirma que sus esfuerzos de prevención de fraude han contribuido directamente al crecimiento del negocio. "Cuando la seguridad está bien diseñada, habilita, no frena", enfatiza López Agudelo.
Cumplimiento regulatorio y la brecha de talento
Frente a marcos regulatorios cada vez más estrictos, principalmente en México, Colombia y Brasil, la trazabilidad se ha vuelto indispensable. Cuando ocurre un incidente, los reguladores exigen saber con precisión quién accedió a qué sistema, cuándo y por qué. Con plataformas fragmentadas o legadas, responder esto podría tomar semanas o incluso meses. De acuerdo con AppGate, una estrategia de acceso seguro basada en Zero Trust permite realizarlo en minutos gracias a la generación de registros auditables.
Por último, el análisis aborda un desafío crítico en la región: la escasez de profesionales especializados en ciberseguridad. Con proyecciones de Juniper Research que indican que la inversión global en prevención de fraude pasará de 21 mil millones de dólares en 2025 a 39 mil millones en 2030 (un incremento del 85%), el enfoque no está en buscar personal inexistente, sino en dotar al talento actual de mejores herramientas.
"La tecnología no resuelve la falta de gente, pero sí define cuánto puede hacer la gente que tienes. El resultado de migrar a plataformas integradas de monitoreo y automatización no es eliminar al equipo humano, es que un equipo de cinco personas pueda cubrir lo que antes requería quince, con mejor visibilidad y tiempo de respuesta", concluye David López Agudelo.
Las organizaciones que asumen que una brecha es cuestión de tiempo y dejan atrás la intervención manual constante, son las que logran operar con verdadera agilidad y resiliencia.
Karina Rodríguez, Portal ERP México.
