Ciberfraude y ciberestafas: cuando proteger al usuario es proteger al sistema

Durante más de una década, las organizaciones que operan servicios digitales han invertido de forma masiva en proteger sus infraestructuras: firewalls de nueva generación, cifrado, segmentación de redes, detección de intrusiones, autenticación reforzada y arquitecturas zero trust. El resultado es que los activos corporativos son hoy más difíciles de vulnerar de forma directa. Y los atacantes lo saben.

Ese endurecimiento del perímetro ha provocado un giro táctico relevante: en lugar de comprometer directamente los sistemas de la organización, se manipula al usuario legítimo para que sea él mismo quien autorice una operación fraudulenta, comparta credenciales o realice una acción con consecuencias económicas o reputacionales. El vector de ataque ha migrado del servidor al comportamiento humano. El sector financiero, que lleva más de una década enfrentándose a este patrón bajo una presión regulatoria y reputacional sostenida, ha producido el marco técnico y regulatorio más maduro al respecto — y su recorrido ofrece lecciones que trascienden el propio sector.

Este cambio tiene implicaciones profundas para los modelos antifraude y de ciberseguridad. Las organizaciones que siguen diseñando sus defensas únicamente bajo la lógica de “proteger el sistema” corren el riesgo de dejar expuesto el punto que hoy concentra buena parte del daño económico, reputacional y regulatorio: la interacción digital del usuario sea cliente, empleado, proveedor o ciudadano.

Tradicionalmente, una parte relevante de los modelos de control se ha construido sobre una pregunta relativamente clara: ¿es realmente el usuario quien está operando? Esta lógica sigue siendo imprescindible para detectar supuestos de account takeover, uso de credenciales comprometidas o acceso desde dispositivos y ubicaciones anómalas.

Sin embargo, el fraude actual obliga a formular una segunda pregunta, mucho más compleja: ¿el usuario está actuando libremente o está siendo manipulado?

Ahí reside una de las grandes diferencias entre el fraude por acceso no autorizado y las ciberestafas basadas en ingeniería social. En un caso, el atacante suplanta al usuario. En el otro, consigue que el usuario legítimo actúe bajo una falsa premisa de urgencia, confianza o autoridad.

Este segundo escenario es especialmente relevante en los fraudes de autorización manipulada —operaciones en las que el propio usuario valida la acción hacia un destino controlado por el defraudador—.

Desde el punto de vista técnico, la operación puede estar correctamente autenticada. Desde el punto de vista de control, sin embargo, puede ser una operación inducida mediante engaño. El patrón es el mismo tanto si se trata de una transferencia bancaria (APP Fraud, Authorised Push Payment), como de una contratación fraudulenta, una cesión de datos o la autorización de un acceso sensible por parte de un empleado.

La magnitud del problema en el sector financiero ilustra su gravedad: según el informe conjunto de la Autoridad Bancaria Europea (EBA, por sus siglas en inglés) y el Banco Central Europeo (BCE), publicado en diciembre de 2025, el fraude en pagos alcanzó los 4.200 millones de euros en el Espacio Económico Europeo en 2024, un 17% más que el año anterior,  y los usuarios asumieron aproximadamente el 85% de las pérdidas en transferencias fraudulentas, principalmente por estafas que les indujeron a autorizar la operación.

La consecuencia es evidente: autenticar sigue siendo necesario, pero ya no es suficiente. Las organizaciones necesitan interpretar contexto, intención, comportamiento y señales externas de riesgo.

La respuesta al ciberfraude y las ciberestafas no pasa por una única tecnología ni por un control aislado. Empieza a consolidarse alrededor de tres capacidades que deben operar de forma integrada:

• Concienciación activa del usuario. El usuario es, al mismo tiempo, el objetivo prioritario del atacante y una pieza esencial de defensa. La formación sigue siendo necesaria, especialmente frente a phishing, smishing, vishing, falsas inversiones, suplantaciones de soporte técnico, fraudes de urgencia familiar o, en entornos corporativos, suplantaciones de directivos y proveedores. Pero la concienciación tiene un límite evidente: los ataques evolucionan más rápido que la capacidad de educar al usuario.
• Visión 360º del usuario y de la operación. Un motor antifraude moderno no puede analizar una acción de forma aislada. Debe integrar comportamiento histórico, dispositivo, geolocalización, canal, contraparte, importe o criticidad, velocidad de operación e inteligencia externa. Solo así puede diferenciar entre una operación legítima, una suplantación y una operación aparentemente legítima pero condicionada por una ciberestafa.
• Autenticación dinámica y contextual. No todas las operaciones requieren el mismo nivel de fricción. La autenticación debe adaptarse en tiempo real al riesgo: canal utilizado, criticidad de la acción, contraparte, dispositivo, cambios recientes en el entorno móvil, señales de compromiso o existencia de patrones anómalos. El marco europeo sobre autenticación reforzada ya ha introducido esta lógica de proporcionalidad y vinculación dinámica en el sector financiero —con resultados medibles: los datos del EBA-BCE confirman que las transacciones protegidas por Autenticación Reforzada de Cliente (SCA, por sus siglas en inglés) presentan tasas de fraude significativamente inferiores, hasta 17 veces menores en operaciones con tarjeta dentro del Espacio Económico Europeo frente a las realizadas con contrapartes fuera del espacio de aplicación— y su lógica subyacente, fricción proporcional al riesgo, es aplicable a cualquier proceso digital sensible.

Las técnicas utilizadas por los defraudadores no son nuevas en todos los casos, pero sí lo es su nivel de sofisticación, automatización y escalabilidad. La inteligencia artificial generativa, los mercados criminales especializados y los modelos de “fraude como servicio” han reducido las barreras de entrada, permitiendo que atacantes con menor capacidad técnica puedan ejecutar campañas más creíbles, personalizadas y difíciles de detectar.

Entre los vectores más relevantes destacan:

Durante años, la autenticación ha sido el principal escudo frente al acceso no autorizado. Pero la evolución del fraude ha demostrado que algunos mecanismos, especialmente los basados en códigos reutilizables o compartibles, pueden convertirse en una superficie de ataque.

La experiencia del sector financiero es ilustrativa: la SCA de PSD2 ha funcionado en la inmensa mayoría de operaciones donde se aplica, pero los defraudadores se han desplazado precisamente hacia los escenarios donde existen exenciones o hacia técnicas de ingeniería social que convierten al usuario en el último eslabón de la autenticación.

La evolución no consiste en sustituir un factor por otro, sino en combinar señales de forma proporcional al riesgo:

• OTP por SMS. Puede seguir teniendo sentido en determinados escenarios de bajo riesgo, pero resulta insuficiente frente a SIM Swap, smishing o manipulación directa del usuario.
• Mecanismos in-app y biometría. Mejoran la experiencia y refuerzan la seguridad, aunque no resuelven por sí solos los casos en los que el usuario legítimo aprueba una operación bajo engaño.
• Dynamic linking. Vincula la autenticación al detalle concreto de la operación —importe, contraparte, acción autorizada—, reduciendo el riesgo de reutilización o manipulación del factor.
• Autenticación out-of-band. Permite confirmar operaciones críticas a través de un canal alternativo, reduciendo la dependencia del canal inicialmente comprometido.
• FIDO2/WebAuthn. Introduce modelos de autenticación basados en criptografía asimétrica, reduciendo la dependencia de contraseñas y secretos compartidos. Estándar de referencia para entornos de alto volumen de usuarios y para accesos corporativos sensibles.
• Autenticación silenciosa. Permite verificar señales del canal móvil sin pedir al usuario que introduzca o comparta un código, reduciendo la exposición a técnicas de ingeniería social.

El objetivo, por tanto, no es añadir fricción de forma indiscriminada, sino reservarla para los momentos de mayor riesgo y combinarla con señales invisibles para el atacante.

La autenticación silenciosa como cambio de paradigma

La autenticación silenciosa está adquiriendo relevancia porque aborda una debilidad estructural: muchos ataques actuales necesitan que el usuario participe, aunque sea de forma involuntaria, en la ruptura de su propia seguridad.

Cuando el defraudador convence al usuario para compartir un OTP, aprobar una notificación push o confirmar una operación bajo una historia falsa, el mecanismo de autenticación deja de ser solo una defensa técnica y se convierte también en un punto de presión psicológica.

La autenticación silenciosa cambia esa dinámica. Al verificar determinadas señales directamente contra la red del operador móvil, sin mostrar un código ni requerir una acción explícita del usuario, reduce la capacidad del atacante para manipular al usuario. El defraudador no puede pedir un código que no existe ni inducir al usuario a compartir una señal que nunca ve.

Su valor no está en operar como solución única, sino en enriquecer la decisión de control. Combinada con señales de SIM Swap reciente, dispositivo, comportamiento, geolocalización y riesgo de la contraparte, puede aportar una capa adicional de confianza en momentos críticos del journey digital: onboarding, recuperación de credenciales, primer acceso desde un nuevo dispositivo o autorización de operaciones sensibles.

El modelo antifraude que empieza a imponerse deja de ser puramente transaccional y pasa a ser contextual.

Una operación de alto valor no es necesariamente sospechosa. Una contraparte nueva tampoco. Un acceso desde un dispositivo distinto puede tener explicación legítima. Pero la combinación de acción inusual, contraparte nueva, cambio reciente de SIM, presión temporal, canal móvil no habitual y señales externas de riesgo cambia por completo la lectura del riesgo.

Ahí es donde la visión 360º adquiere valor. No se trata solo de acumular datos, sino de convertirlos en una decisión coherente, explicable y proporcional. El reto está en detectar patrones de anomalía sin bloquear innecesariamente la operativa legítima del usuario.

El reto no es menor: cuanto más sofisticado es el modelo de control, mayor es también la necesidad de explicar sus decisiones, ajustar los falsos positivos y evitar que la protección se convierta en fricción innecesaria para el usuario legítimo.

El ciberfraude y las ciberestafas han alcanzado un nivel de sofisticación que obliga a repensar los modelos tradicionales de protección. La seguridad de los sistemas internos sigue siendo imprescindible, pero el riesgo se está desplazando hacia la interacción digital del usuario: sus decisiones, sus momentos de presión y su exposición a técnicas de manipulación cada vez más creíbles.

La respuesta eficaz ya no puede apoyarse en controles aislados, sino en una arquitectura de confianza adaptativa, capaz de combinar señales de comportamiento, autenticación contextual, inteligencia externa y mecanismos de verificación menos expuestos a la manipulación del usuario. El objetivo no es añadir más fricción, sino interpretar mejor el riesgo antes de que el daño se materialice.

El sector financiero, que ha recorrido este camino antes y bajo mayor presión supervisora, ofrece una referencia práctica: no porque sus controles sean trasladables tal cual, sino porque su arquitectura —proporcionalidad al riesgo, señales contextuales y capacidad para detectar no solo la suplantación, sino también la manipulación del usuario— es un modelo útil para cualquier organización que mantenga una relación digital con clientes, empleados, proveedores o ciudadanos.Las organizaciones que aborden esta transformación con rigor no solo reducirán el quebranto económico y reputacional asociado al ciberfraude. También estarán en mejores condiciones de demostrar ante clientes, reguladores y socios que la protección del usuario no es solo una declaración de principios, sino una capacidad operativa integrada en sus modelos de control.

Alcance y aplicabilidad de soluciones antifraude

El sector de servicios de pago cuenta con un marco regulatorio propio que conviene considerar de forma específica. Las entidades de crédito, entidades de pago, entidades de dinero electrónico y plataformas tecnológicas que prestan servicios relacionados con iniciación, agregación o ejecución de pagos en la UE están sujetas a obligaciones adicionales que impactan directamente en la arquitectura antifraude.

• Pagos y responsabilidad frente al fraude — PSD3 / PSR. La evolución de PSD3 y PSR apunta hacia un refuerzo de la protección del consumidor y una mayor exigencia sobre la capacidad de las entidades para prevenir, detectar y responder ante operaciones fraudulentas. El Consejo de la Unión Europea comunicó el acuerdo provisional sobre el nuevo marco de servicios de pago el 27 de noviembre de 2025, destacando como objetivos la lucha contra el fraude, la transparencia y la protección del consumidor.
• Pagos instantáneos. La velocidad de ejecución reduce las ventanas de reacción y obliga a reforzar controles previos, señales de beneficiario, inteligencia compartida y mecanismos de intervención temprana. El Reglamento (UE) 2024/886 incorpora obligaciones relacionadas con transferencias inmediatas en euros y verificación del beneficiario —Verification of Payee, VoP—.
• Señales supervisoras sobre fraude potenciado por IA. El informe conjunto EBA-ECB publicado el 15 de diciembre de 2025 señala que la autenticación reforzada sigue siendo efectiva, pero que los defraudadores están adaptando sus técnicas, con especial foco en el uso de IA generativa. Este informe se alinea con las factsheets publicadas por las tres ESAs en materia de concienciación al consumidor sobre fraude con IA. 

Para las entidades sujetas a este marco, la lectura debe ser conjunta con DORA —marco específico frente a NIS2 en el sector financiero—, con las obligaciones locales derivadas del Banco de España y con los mecanismos nacionales de alerta temprana contra el fraude financiero.