El fraude de identidad ya no se limita a simples estafas de phishing aisladas o contraseñas débiles. Hoy en día, los ciberdelincuentes despliegan ataques cada vez más sofisticados y con múltiples capas: desde vídeos deepfake e imágenes manipuladas hasta la inyección de datos biométricos, documentos falsificados o vídeos pregrabados en sistemas digitales. Esta tendencia es especialmente preocupante para la banca y las fintech, dada la rápida digitalización de sus servicios.
Según el Informe de Ciberseguridad de IBM 2024, el 43 % de las brechas que involucran sistemas biométricos están directamente vinculadas a ataques de presentación e inyección. Esta cifra alarmante pone de relieve no solo la creciente complejidad de las tácticas de fraude, sino también la necesidad urgente de reforzar los mecanismos de autenticación.
Aquí tienes 6 casos reales de fraude de identidad que ilustran cómo evoluciona en distintos contextos:
El tesoro de un estafador: 533 millones de identidades de Facebook filtradas
En 2021 salió a la luz una de las mayores filtraciones de datos personales cuando los perfiles de más de 533 millones de usuarios de Facebook fueron publicados en un foro de hackers. El conjunto de datos incluía nombres, direcciones de correo, números de teléfono y fechas de nacimiento de usuarios de más de 100 países.
Esta enorme cantidad de información auténtica se convirtió en la materia prima perfecta para ataques de phishing y suplantación de identidad, allanando el camino a un fenómeno conocido como “fraude Frankenstein”, en el que los delincuentes crean identidades falsas utilizando datos reales cosidos desde múltiples fuentes.
Estafa de entradas alimentada por una identidad robada
En 2023, un hombre australiano compartió una foto de su carné de conducir con alguien que creía ser un vendedor legítimo de entradas. Resultó ser una estafa. No solo fue engañado, sino que sus imágenes y datos personales se usaron posteriormente para crear perfiles falsos en redes sociales que siguieron vendiendo entradas fraudulentas.
A pesar de denunciar repetidamente las cuentas falsas, estas permanecieron activas durante semanas. El incidente demuestra cómo una única filtración de datos puede alimentar una cadena de estafas con consecuencias duraderas para la víctima.
Fraud Intelligence Report 2025
Descubre cómo evoluciona el fraude digital y protege la identidad de tus clientes
Deepfakes en una videollamada: 25 millones de dólares transferidos
En 2024, un empleado participó en una videollamada con personas que creía que eran altos directivos de su empresa. Sin que él lo supiera, todos los demás participantes eran deepfakes, réplicas generadas por IA del director financiero y otros ejecutivos. Durante la llamada, le ordenaron transferir un total de 25 millones de dólares a cuentas controladas por los atacantes.
Este caso, que mezcla ingeniería social, IA y manipulación de vídeo, muestra hasta qué punto los estafadores pueden recrear escenarios corporativos de alto nivel para ejecutar grandes delitos financieros.
Suplantación de identidad para crédito automotriz en México
En un caso reciente en México, la identidad de una persona fue clonada para solicitar un préstamo bancario sin su conocimiento. El abogado Rafael Abascal contó que recibió de su banco un aviso de un pago pendiente por 19,000 pesos correspondiente a un crédito automotriz que nunca solicitó.
Al investigar descubrió que los estafadores habían obtenido sus documentos personales (sospecha que fueron facilitados a través de agentes de ventas) y usaron esa información para tramitar a su nombre un préstamo de más de $1,000,000 MXN.
Este fraude demuestra cómo compartir documentos físicos o digitales en ciertos canales puede poner en riesgo tu identidad: en este caso, los delincuentes abrieron una línea de crédito usando su identidad sin su permiso. La experiencia refuerza la importancia de monitorear las cuentas y reportar rápidamente cualquier movimiento inusual.
SIM swapping en España: sentencia pionera
En diciembre de 2025 España conoció un fallo judicial pionero sobre un caso de SIM swapping. Un usuario denunció que los atacantes lograron duplicar su tarjeta SIM (solicitar un duplicado fraudulento) sin consentimiento y, con el control de su número telefónico, vaciaron su cuenta bancaria.
El Juzgado de Madrid condenó solidariamente a la operadora de telefonía y al banco, obligándoles a resarcir al cliente con 4,047 euros sustraídos. Los hechos probados indican que un tercero consiguió un duplicado de la SIM del usuario mediante una falsa portabilidad; así interceptó los SMS con códigos bancarios y pudo autorizar operaciones para transferir los fondos.
Este caso destaca la responsabilidad compartida: no solo el banco, sino también el proveedor de telecomunicaciones fue considerado culpable por sus protocolos laxos. En un mundo donde los bancos usan cada vez más el móvil como factor de autenticación, este fallo sienta un precedente clave.
Filtración de datos del grupo Desjardins (Canadá)
En otro caso reciente de alcance masivo, se determinó que un exempleado del grupo financiero canadiense Desjardins sustrajo los datos personales de 9.7 millones de clientes. Los sospechosos vendieron esta información a otros delincuentes, quienes la usaron en esquemas de fraude.
En noviembre de 2025 las autoridades españolas detuvieron al cabecilla fugitivo, Juan Pablo Serrano, buscado desde 2024 por robo y tráfico de esa información confidencial.
Esta es una de las mayores filtraciones bancarias conocidas: expuso nombres, direcciones, historiales crediticios y otros datos sensibles. El caso Desjardins revela cómo el robo de identidad no siempre proviene de “hackers solitarios”, sino que puede originarse en amenazas internas (insider threats) con consecuencias a escala continental.
Estrategias para reforzar la seguridad
Estos ejemplos muestran que los ataques de suplantación abarcan diversas formas. Para contrarrestarlos, organizaciones y usuarios pueden adoptar varias medidas clave:
- Verificación reforzada al abrir cuentas. Implementar autenticación multifactor (MFA) que combine biometría (huellas o rostro) con otros factores. Exigir comprobantes actualizados y vivacidad facial al registrar nuevos clientes, para evitar identidades sintéticas o deepfakes.
- Protocolos estrictos en telecomunicaciones. Las operadoras deben exigir verificación de identidad robusta (p.ej. DNI físico) al emitir duplicados SIM o migrar números. Esto cierra la brecha de seguridad que explotó el caso español.
- Monitoreo y alertas continuas. Bancos y fintech deberían vigilar transacciones atípicas e informar al usuario en tiempo real. El cliente, por su parte, debe revisar periódicamente sus extractos y reportar de inmediato cargos sospechosos, como en el caso del abogado mexicano.
- Cuidado al compartir datos. Los consumidores deben evitar difundir información personal sensible (fotos de documentos, detalles bancarios) en redes o apps no oficiales. En el fraude de entradas, una sola foto bastó para desencadenar estafas repetidas.
- Educación y conciencia. Promover la alfabetización digital ayuda a detectar señuelos de ingeniería social. Ninguna institución bancaria legítima pedirá compartir contraseñas o códigos por WhatsApp o e-mail; cualquier urgencia inusual, como falsos avisos bancarios en mensajes, debe levantar sospechas.
La suplantación de identidad es una amenaza real que evoluciona con la tecnología. Las empresas deben reforzar sus sistemas de verificación (integrando herramientas de liveness detection, biometría certificada, cifrado de datos en tránsito y reposo, etc.), mientras que los usuarios mantienen hábitos de seguridad básicos. Sólo así se anticipan los ataques, protegiendo tanto los activos financieros como la confianza en los entornos digitales.