El Central Bank of the UAE ha fijado el 31 de marzo de 2026 como fecha límite definitiva para eliminar los OTP por SMS y correo electrónico en todas las instituciones financieras autorizadas. La mayoría de las conversaciones se centran en la sanción administrativa de 250.000 AED por incumplimiento. Esa multa es real — pero es la cifra más pequeña en tu registro de riesgos.
Hay una frase en la Notificación CBUAE 2025/3057 que no recibe suficiente atención:
Los bancos son totalmente responsables de reembolsar cualquier fraude de 3D Secure que ocurra mientras se siga utilizando la autenticación mediante SMS OTP.
Esa responsabilidad no comenzó el 31 de marzo de 2026. Comenzó en julio de 2025.
Lo que significa que cada transacción fraudulenta que ha pasado por un flujo de SMS OTP desde entonces — cada SIM-swap, cada explotación SS7, cada llamada de ingeniería social que terminó con un cliente leyendo en voz alta un código de seis dígitos — ha sido una pérdida financiera que tu banco ha tenido que asumir. No el cliente. No el esquema de tarjetas. Tú.
La multa administrativa de 250.000 AED es un evento puntual. La exposición a reembolsos por fraude es un contador en marcha. Y no se detiene hasta que lo hace tu sistema de autenticación.
Por qué el SMS OTP siempre fue una solución prestada
Seamos claros: el SMS OTP nunca fue diseñado para autenticación financiera. Fue diseñado por conveniencia en una época en la que la alternativa era un token físico guardado en un cajón. La infraestructura sobre la que funciona — SS7, el protocolo global de señalización de telecomunicaciones — fue construida en 1975 y nunca se actualizó para una era de ciberdelincuencia organizada.
Los vectores de ataque están bien documentados y se explotan activamente en el mercado de los EAU:
- Fraude por SIM-swap: los delincuentes convencen a los operadores de telecomunicaciones para transferir el número de tu cliente a una SIM que ellos controlan. Desde ese momento, todos los SMS OTP llegan a ellos.
- Intercepción SS7: ataques a nivel de estado nación y grupos criminales sofisticados pueden interceptar mensajes SMS en tránsito sin acceso físico al dispositivo.
- Ingeniería social: un estafador llama a tu cliente, se hace pasar por tu banco y le pide que “confirme” el OTP que acaba de recibir. Funciona porque las personas han sido entrenadas para esperar OTPs.
Ninguno de estos ataques requiere que el criminal rompa ningún cifrado. Eluden completamente la seguridad. Y cada vez que uno tiene éxito, tu institución paga dos veces: la transacción fraudulenta y el daño reputacional de un cliente que confió en ti.
Los números detrás del problema
La Global Anti-Scam Alliance documentó más de 40.000 víctimas de fraude en los EAU solo en 2023, con pérdidas medias de 2.194 dólares por víctima — aproximadamente 87 millones de dólares en total. Estas cifras son anteriores a la actual ola de deepfakes generados por IA y ataques de identidad sintética, que han industrializado el fraude a una escala que los controles manuales no pueden igualar.
El CBUAE actuó porque los datos eran inequívocos: la capa de autenticación era el punto más débil de toda la cadena de seguridad bancaria. Y ese punto más débil era el SMS.
Para las instituciones que han retrasado el cumplimiento, la aritmética es sencilla. Si tu banco procesa 50.000 transacciones con tarjeta online al día y solo el 0,1% son fraudulentas a través del canal OTP, estás asumiendo el coste de 50 transacciones fraudulentas diarias. Con importes medios típicos de la banca en los EAU, esto no es un problema de presupuesto de compliance. Es un problema de cuenta de resultados.
Qué exige realmente el CBUAE (y por qué es una oportunidad)
La Notificación 2025/3057 exige que todas las instituciones financieras autorizadas sustituyan los OTP por SMS y correo electrónico por:
- Autenticación biométrica (reconocimiento facial, huella) integrada en apps de banca móvil
- Passkeys FIDO2 y autenticación criptográfica vinculada al dispositivo
- Aprobaciones push dentro de la app con fuerte vinculación criptográfica
- Autenticación basada en riesgo y comportamiento para monitorización continua de sesión
- Integración con UAE Pass y Emirates ID cuando aplique
Lee esa lista otra vez. No es solo una mejora de seguridad — es la arquitectura de una experiencia bancaria digital moderna. Los bancos que se han movido más rápido no solo cumplen. Han eliminado costes por SMS, reducido consultas por fraude en call center y mejorado las tasas de aprobación de transacciones porque los clientes legítimos ya no fallan la autenticación por SMS retrasados o no recibidos.
Cumplimiento y ventaja competitiva, por una vez, apuntan en la misma dirección.
Cómo Facephi hace esta transición en semanas, no meses
Facephi es una plataforma construida exactamente para este momento. No como un ajuste reactivo — sino como una arquitectura diseñada desde el primer día en torno a la gestión continua del riesgo a lo largo de todo el ciclo de vida del cliente.
A nivel de sesión (KYC/pKYC): Nuestro motor multibiométrico sustituye el SMS OTP en el punto de autenticación con detección de vida pasiva que se completa en menos de 0,5 segundos. Sin fricción. Sin códigos que copiar. El cliente mira su dispositivo; la plataforma verifica su identidad frente a un modelo evaluado por NIST que se actualiza continuamente para defenderse de deepfakes y ataques de presentación. La integración con Emirates ID y UAE Pass está soportada de forma nativa.
A nivel de cuenta (KYAC): La autenticación no se detiene en el login. Nuestro motor de biometría comportamental monitoriza señales del dispositivo, patrones de interacción y anomalías contextuales durante toda la sesión. Si una sesión que comenzó como legítima muestra señales de toma de control — navegación inusual, cambios de dispositivo, anomalías de velocidad — la plataforma lo detecta en tiempo real, antes de que se autorice una transacción fraudulenta.
A nivel de transacción (KYT/AML): Nuestro motor propietario de machine learning correlaciona señales desde el onboarding hasta el comportamiento post-login. Cuando se envía una transacción, la plataforma ya ha clasificado el riesgo de esa cuenta, esa sesión y esa transacción de forma conjunta — no aislada. Los informes de actividad sospechosa se automatizan, con IA explicable que proporciona a tu equipo de compliance una justificación auditable para cada decisión.
Esta es la arquitectura hacia la que apunta la Notificación del CBUAE. No un módulo biométrico añadido. Una plataforma integrada donde la decisión de autenticación en login, la monitorización comportamental en sesión y la clasificación de fraude en la transacción están conectadas — porque el fraude no opera en silos, y tus defensas tampoco deberían hacerlo.
IA explicable: el detalle que importará en tu próxima auditoría regulatoria
Una especificación del marco del CBUAE que los bancos suelen subestimar: el requisito de trazabilidad y captura de evidencias en cada punto de decisión.
Un sistema de autenticación que utiliza un modelo de ML de caja negra puede decirte que bloqueó una transacción. No puede decirle a un regulador por qué. Bajo el marco de gestión de riesgo de fraude del CBUAE — y la evolución general de la regulación financiera en los EAU — esa brecha es una responsabilidad.
La capa de IA explicable de Facephi significa que cada decisión de autenticación, cada puntuación de riesgo, cada alerta del motor comportamental viene con una justificación legible por máquina y por humanos. Tu MLRO puede generarla en un clic. Tu regulador puede auditarla sin un equipo especializado en data science. Tu responsable de fraude puede usarla para entrenar mejores modelos el próximo trimestre.
Esto no es una funcionalidad. Es infraestructura para un mundo en el que el regulador acabará preguntando: muéstrame cómo tu sistema tomó esa decisión.
El camino hacia el cumplimiento es más corto de lo que piensas
Hemos acompañado a más de 300 instituciones financieras en 30 países en programas de modernización de autenticación. La conclusión constante: el tiempo de implementación es más corto de lo que las instituciones esperan, y los beneficios operativos aparecen más rápido de lo previsto.
Nuestra capa de orquestación modular no/low-code permite a tu equipo técnico configurar flujos de autenticación por segmento, canal y nivel de riesgo sin grandes proyectos de integración. El go-live en semanas no es una promesa de marketing — es la arquitectura.
Para las instituciones en los EAU que hoy se enfrentan a la fecha límite del 31 de marzo: todavía es posible cumplir antes de que comience la aplicación. La pregunta no es si tienes tiempo. La pregunta es si actúas ahora o sigues absorbiendo pérdidas por fraude en cada transacción que pasa por un SMS OTP mientras tu equipo finaliza un ciclo de compra.
Cada día de retraso tiene un coste. Simplemente no aparece como “multa” en tu balance.
¿Listo para avanzar?
Si eres una institución financiera autorizada en los EAU y necesitas entender tu camino más rápido hacia el cumplimiento de la Notificación CBUAE 2025/3057, nuestro equipo está disponible para una conversación enfocada de 20 minutos — sin slides, sin presentación comercial, solo una evaluación clara de tu stack actual y lo necesario para cumplir.
Facephi es una plataforma de identidad digital y prevención de fraude nativa en IA que da servicio a más de 300 instituciones financieras en 30 países. Reconocida en el Hype Cycle de Gartner para identidad digital y en Innovation Insight para autenticación biométrica. Disponible en AWS Marketplace. Certificada ISO 27001. Detección de vida evaluada por NIST.