La banca en México enfrenta un entorno de fraude cada vez más sofisticado, en el que asumir que las credenciales de los usuarios ya fueron comprometidas podría convertirse en un nuevo principio estratégico.

David López Agudelo, vicepresidente de ventas para Latinoamérica de AppGate, empresa de seguridad Zero-Trust, señaló que el sector financiero continúa siendo la vertical más atacada en la región, principalmente por su capacidad de monetización.

banca mexicana fraude appgate

David López, vicepresidente de ventas para Latinoamérica de AppGate (Foto: Cortesía)

“Es el sector donde más fácil se monetiza un robo. Siempre va a ser atractivo porque hay dinero de por medio”, explicó.

En ese sentido, López Agudelo detalló que, aunque la banca es uno de los sectores más regulados en materia de ciberseguridad, el cumplimiento normativo no necesariamente garantiza una estrategia efectiva.

También recordó que, hace 20 años, cuando comenzaron a alertar a los bancos sobre el fraude digital, el problema parecía marginal. Actualmente, el costo global del fraude digital alcanza los USD$4,2 billones anuales.

El phishing no va a desaparecer

El directivo subrayó que intentar erradicar el phishing es una estrategia incompleta frente al dinamismo del cibercrimen. “El phishing no va a desaparecer. Siempre va a haber más. No deberías preocuparte por que no haya phishing, porque eso no va a pasar”, afirmó.

Desde su perspectiva, el eje estratégico debe cambiar: en lugar de concentrarse únicamente en evitar que el usuario entregue sus credenciales, los bancos deben asumir que ese robo ya ocurrió.

Para el experto, la pregunta no es cómo evitar que alguien robe credenciales, sino cómo impedir que esas credenciales se traduzcan en fraude. Dijo que «el robo sucede antes del login» y el fraude se concreta en la transacción.

Este enfoque cambia el foco: en lugar de concentrarse solo en el usuario y sus credenciales, la prioridad pasa a la transacción. Es decir, analizar cómo se comporta el cliente, desde qué dispositivo opera, en qué contexto realiza el movimiento y detectar irregularidades en tiempo real, incluso cuando el acceso parece legítimo.

A esto se suma que la inteligencia artificial elevó la escala y sofisticación de los ataques, pues ahora es posible automatizar campañas segmentadas por región, perfil demográfico o institución financiera.

“Hemos visto semanas con cientos de intentos coordinados. No es solo el dinero que se pierde, sino el costo operativo de gestionar ese volumen de fraude”, indicó. Para él, las consecuencias van más allá del impacto directo en pérdidas, también están la saturación de alertas, revisiones manuales y procesos de mitigación que impactan la eficiencia operativa.

Responsabilidad compartida

Respecto a la parte de responsabilidades ante un incidente de ciberseguridad, López Agudelo enfatizó que el fraude financiero no es un problema que pueda resolver únicamente el banco. “Esto es un rompecabezas, participan los fabricantes, los bancos, los medios y el usuario final”, afirmó.

Desde su perspectiva, la seguridad no es un estado definitivo, sino un proceso continuo de mitigación. El objetivo no es eliminar completamente el fraude —algo que considera improbable— sino reducir su impacto y elevar el costo para el atacante.

En ese contexto, asumir que las credenciales ya fueron robadas no implica resignación, sino un cambio de paradigma: diseñar sistemas capaces de detectar y bloquear operaciones fraudulentas incluso cuando el atacante logró atravesar la primera barrera.

Más allá de la tecnología, el directivo señaló que el rezago también responde a una cuestión cultural y presupuestal. Por lo que comparó la situación con la industria de la salud: “Es como preferir comprar el tomógrafo que genera ingresos antes que invertir en la seguridad de todo el sistema hospitalario”.

En su opinión, muchas instituciones priorizan la inversión en el canal que genera negocio —la aplicación móvil, el onboarding digital, el nuevo producto financiero— antes que en la infraestructura que lo protege.

Esta lógica se traduce en una inversión reactiva bajo la premisa de que “winter is coming”. En Latinoamérica, explicó, los presupuestos de ciberseguridad suelen liberarse con mayor facilidad después de que ocurre una brecha relevante.

«En un entorno donde el fraude evoluciona más rápido que la regulación, la pregunta ya no es cómo evitar el robo de credenciales, sino cómo impedir que ese robo se convierta en fraude», concluyó.

La imagen principal fue creada por Mobile Time con IA.

 

***************************

¡Reciba gratuitamente el boletín de Mobile Time Latinoamérica y manténgase bien informado sobre tecnología móvil y negocios! Regístrese aquí.

Las ilustraciones de los artículos son producidas por Mobile Time con IA.