Un estafador en América Latina no necesita exploits. No necesita conocer el framework MITRE ATT&CK ni pasar horas en foros de la dark web. Solo necesita un número de teléfono, una historia creíble y unos cinco minutos de tu atención. Con eso basta para vaciarte la cuenta mientras tú, absolutamente convencido de que estás hablando con tu banco, autorizas cada centavo de la transferencia.

El Informe de Tendencias de Fraude Bancario Digital en Latinoamérica 2026 de BioCatch, elaborado con datos de 36 instituciones financieras que atienden a más de 300 millones de clientes en la región, confirma que esta mecánica brutal y sencilla creció un 155% en 2025. Y los bancos siguen sin poder cerrarla del todo.

La región que los criminales descubrieron como mercado

BioCatch no publica proyecciones ni escenarios hipotéticos, publica lo que registró en tiempo real. Y lo que registró en 2025 en América Latina es, en términos llanos, una explosión en todas las categorías de fraude.

Los intentos de estafa por ingeniería social crecieron un 155% interanual. Los ataques de toma de control de cuentas (ATO) se multiplicaron 2.7 veces. El malware aumentó un 225%. Los dispositivos robados como vector de acceso, un 344%. Y el dato que más debería incomodar a los equipos de seguridad de cualquier banco latinoamericano: los intentos de fraude mediante herramientas de acceso remoto (RAT) crecieron un 409%, cinco veces más que el año anterior.

Esos números no son ruido estadístico. Son el patrón de una industria criminal que entendió algo antes que muchos equipos de prevención, la digitalización de la banca en LATAM avanzó más rápido que la educación financiera de sus usuarios. Y esa brecha vale dinero.

El crecimiento no es uniforme. México lidera el aumento en toma de control de cuentas con un 311% de incremento, acompañado de un alza del 234% en fraude por acceso remoto. Colombia registró un 188% más de intentos ATO, impulsados por una combinación de SIM swapping, phishing y robo de dispositivos que apunta a eludir controles de autenticación en cadena. Brasil, con un panorama general más estable, vio explotar las estafas de suplantación de identidad un 140% y el robo de dispositivos un 340% hacia el cuarto trimestre. Ningún país grande de la región se salvó.

Vishing Bancario: cuando la Ingeniería Social Supera la Autenticación

Las estafas de voz son el vector más incómodo del informe porque no explotan una vulnerabilidad técnica. Explotan la confianza. El defraudador se presenta como empleado del banco, menciona una actividad sospechosa en tu cuenta, cita datos personales que parecen confirmar que es quien dice ser y construye una urgencia fabricada que te hace tomar decisiones que en otras condiciones nunca tomarías.

Lo que hace especialmente difícil de contrarrestar este esquema es que la transacción parece completamente legítima desde la perspectiva del banco. La aprueba el titular real de la cuenta, desde su dispositivo habitual, siguiendo el flujo estándar de la aplicación. No hay anomalía técnica detectable. Solo una persona convencida de que está haciendo lo correcto mientras entrega su dinero.

BioCatch documentó algo que refuerza la magnitud del problema: incluso los bancos que envían alertas en tiempo real advirtiendo del posible riesgo de una transacción encuentran que sus clientes eligen creerle al estafador antes que al aviso de su propio banco. El criminal construyó más confianza en cinco minutos de llamada que la institución financiera en años de relación.

Eso no es un fallo tecnológico. Es un fallo de arquitectura de confianza, y arreglarlo con una pantalla de advertencia es como poner una señal de tráfico frente a un huracán.

RAT en Banca Móvil y Por Qué los Estafadores Abandonaron el Escritorio

Aquí está el hallazgo más revelador del informe, y el que tiene implicaciones directas para los equipos de fraude. Los criminales están abandonando el escritorio como plataforma de ataque remoto y migrando al canal móvil. No porque el móvil sea más fácil de comprometer, sino porque es más eficiente para ejecutar el fraude una vez dentro.

Los datos son concretos. Una sesión de RAT en computadora de escritorio dura en promedio 660 segundos, con una mediana de 342. La diferencia entre esas dos cifras delata sesiones excepcionalmente largas, a veces con pausas de hasta 10 minutos mientras el estafador coordina con la víctima o supera barreras de autenticación. Cuanto más dura la sesión, mayor el riesgo de que la víctima dude, de que un control de detección se active, de que algo salga mal.

Una sesión de RAT en móvil dura en promedio 316 segundos, con una mediana de 199. Más corta, más estructurada, más repetible. Las aplicaciones de banca móvil están diseñadas para tareas específicas con flujos simplificados; eso que es una ventaja para el usuario legítimo se convierte en ventaja para el atacante que ya controla el dispositivo. Sesiones más cortas significan menos exposición, más intentos por hora y mayor escalabilidad operativa para el criminal.

Esta no es una sofisticación repentina. Es la adaptación natural que BioCatch describe con precisión, cuando los controles de autenticación mejoran y el ATO directo se vuelve más difícil, los atacantes avanzan hacia la ingeniería social en tiempo real con control remoto del dispositivo. El fraude evoluciona en respuesta a las defensas, no en el vacío.

Redes de Smurfing en LATAM y el Punto Ciego en la Prevención del Fraude Bancario

La industria financiera latinoamericana invirtió años y millones en proteger al usuario que inicia una transacción. Biometría conductual, device intelligence, autenticación multifactor, análisis de sesión. Todo orientado al emisor. Pero hay otra mitad de cada transferencia que mayoritariamente nadie está mirando con la misma profundidad: la cuenta que recibe el dinero.

Sebastián Cafaro, Head de Prevención de Fraude en Santander Argentina, lo plantea sin eufemismos en el propio informe: "cuando se autoriza una transferencia, muchas instituciones solo están evaluando la mitad del riesgo. La cuenta de destino se analiza con señales limitadas o listas negativas fragmentadas". Y ahí es exactamente donde viven las redes de cuentas mula, que en la región crecieron un 42% según los mismos datos de BioCatch.

Esas cuentas no son accidentales. Se estructuran como redes de "smurfing", cuentas controladas por terceros cuyo único objetivo es dispersar los fondos robados hacia múltiples destinos antes de que cualquier alerta se active. La transferencia sale de una cuenta legítima, pasa por media docena de cuentas intermedias y desaparece.

El banco de origen ve una transacción autorizada por su cliente. El banco receptor ve un movimiento más entre miles. Nadie ve el fraude completo porque nadie tiene visibilidad de ambos lados al mismo tiempo.

La excepción que confirma la regla es Argentina. En mayo de 2025, tres bancos lanzaron BioCatch Trust Argentina, la primera red del hemisferio occidental para compartir inteligencia sobre fraude en tiempo real, entre bancos y basada en comportamiento. El resultado: mientras el resto de la región reportó un 42% más de cuentas mula, Argentina registró una caída del 27% en esa actividad durante la segunda mitad del año. La colaboración funcionó donde el aislamiento había fallado.

Cuando tus dedos revelan más que tu contraseña

Hay algo casi contraintuitivo en la forma en que se detecta un RAT móvil con biometría conductual. No se busca el malware en el dispositivo. No se analiza el payload. Se mira cómo se mueven los dedos.

Una sesión fraudulenta con acceso remoto tiene una firma característica: desplazamiento lineal y deliberado, sin gestos exploratorios, sin correcciones, sin la hesitación natural de alguien que lee, compara y decide. El atacante sabe exactamente a dónde ir. Los toques se concentran en zonas específicas de la interfaz. La navegación es procedimental, mecánica, eficiente de una manera que ningún usuario legítimo es eficiente cuando mueve su propio dinero.

Una sesión genuina es diferente. Hay desplazamiento de ida y vuelta. Hay pausas. Hay ese movimiento irregular de alguien que revisa el monto dos veces, que lee el destinatario, que tiene ese segundo de duda antes de confirmar. La hesitación humana, ese micro-comportamiento que parece una debilidad, resulta ser la señal más confiable de que hay un humano real al otro lado de la pantalla y no un operador remoto ejecutando un guion.

Aplicada junto con otras capas como el análisis de amenazas por comportamiento, esta detección biométrica representa un ángulo que los criminales todavía no pueden falsificar de forma confiable a escala.

La pregunta que nadie en la industria quiere responder en voz alta

El informe tiene una conclusión que el sector financiero latinoamericano necesita asumir con incomodidad: los criminales ya comparten información entre sí en tiempo real. Intercambian técnicas en foros, venden accesos en aplicaciones, actualizan sus playbooks más rápido que cualquier comité de riesgo puede aprobar una política nueva.

Mientras tanto, los bancos compiten entre ellos. No comparten inteligencia de cuentas receptoras porque son competidores. No reportan incidentes abiertamente porque eso implica admitir vulnerabilidades. No construyen redes de detección colectiva porque el marco regulatorio no obliga y los incentivos comerciales apuntan en dirección contraria. Argentina demostró que eso puede cambiar. Tres bancos decidieron que su rival real no era el banco de enfrente, sino el criminal al teléfono.

El fraude bancario digital en LATAM no va a resolverse con más capas de autenticación aplicadas al mismo modelo aislado de siempre. Los 409% de crecimiento en RAT, el 155% en ingeniería social, el 344% en robo de dispositivos... esos números no son un problema de tecnología. Son un problema de arquitectura de respuesta colectiva. Y la arquitectura que está ganando, al menos en un rincón del hemisferio, se llama colaboración.

¿Cuántos trimestres más de crecimiento exponencial en fraude necesita la industria para decidir que sus verdaderos rivales no trabajan en el edificio de enfrente?