La conversación sobre ciberseguridad en banca se ha quedado demasiado estrecha. Durante años se ha explicado el riesgo como una secuencia bastante cómoda: el atacante entra, instala malware, cifra datos y pide un rescate. Ese modelo sigue existiendo, pero ya no explica bien lo que está pasando en servicios financieros.
El problema de 2026 es más transversal: el atacante no siempre necesita romper el perímetro. Puede comprar una identidad, superar un onboarding remoto, robar una credencial válida, resetear un MFA, operar desde una herramienta remota permitida y monetizar después con cuentas mula o fraude transaccional. Visto así, ciberseguridad, KYC, antifraude y AML no son cuatro conversaciones distintas. Son partes del mismo ciclo de abuso.
En este contexto, conviene apoyarse en análisis recientes como el Red Report 2026 de Picus, basado en la observación de técnicas ATT&CK utilizadas en malware real durante 2025. Más allá de cualquier ranking, el valor está en el patrón que dibuja: los atacantes priorizan pasar desapercibidos, mantener la persistencia, robar credenciales y camuflarse tras herramientas legítimas.
Lo importante no es el ranking, sino lo que revela: los atacantes concentran sus esfuerzos en pasar desapercibidos, mantener la persistencia, robar credenciales y camuflarse tras herramientas legítimas. Para banca, esa tendencia encaja con otra realidad: cuando la identidad queda comprometida, muchas señales empiezan a parecer actividad normal.
El aviso reciente sobre servicios de “KYC by link” va en la misma dirección. La alerta describe ofertas que prometen completar verificaciones KYC contra proveedores conocidos mediante enlaces, proxys, manipulación del flujo y soporte por Telegram. Otro análisis sobre canales de Telegram apunta a herramientas de cámara virtual, deepfakes y datos biométricos robados para esquivar comprobaciones de liveness. Lo importante no es si una entidad concreta está expuesta a una herramienta concreta, sino el cambio de fondo: el alta de una cuenta verificada se está convirtiendo en un servicio comprable.
La defensa, por tanto, no puede limitarse a “tener KYC”, “tener EDR” o “tener reglas AML”. Lo importante aquí es si esas capas comparten señales entre sí. Una cuenta puede pasar el KYC y aun así ser una futura mula. Una sesión puede pasar MFA y aun así estar controlada por un atacante. Una transferencia puede parecer legítima si se analiza aislada, pero encajar en una red de dispersión si se cruza con dispositivo, beneficiario, velocidad, comportamiento y origen de fondos.
Las 5 técnicas de ataque más relevantes para servicios financieros
La siguiente tabla resume las cinco amenazas que más sentido tiene priorizar en banca y fintech cuando se conectan ciberseguridad, fraude financiero y AML:
| Amenaza | Riesgo práctico | Respuesta con valor |
|---|---|---|
| KYC by link y bypass de liveness | Cuentas verificadas creadas o controladas por terceros, listas para fraude, muleo o evasión sancionadora | KYC como scoring continuo, no como check único; defensa contra inyección de cámara, proxies, enlaces anómalos y cambios post-onboarding |
| Robo de credenciales y ATO | Acceso aparentemente legítimo con contraseña, cookie o token robado | Passkeys/FIDO2, detección de sesión, biometría comportamental y step-up según riesgo transaccional |
| Reset de credenciales mediante ingeniería social | El atacante no hackea el banco: convence al helpdesk para que le abra la puerta | Procedimientos de reset con verificación fuerte, controles de cuatro ojos y trazabilidad antifraude |
| Uso de acceso remoto legítimo | RMM, VPN, escritorios remotos o dispositivos gestionados como canal invisible de control | Inventario y allowlisting de herramientas remotas, postura de dispositivo y alertas por cambios de patrón operativo |
| Fraude post-compromiso y cuentas mula | Los datos robados se monetizan semanas después mediante transferencias, altas y redes de dispersión | KYT/AML basado en grafos, detección de beneficiarios, vínculos entre cuentas y señales compartidas desde onboarding |
1. KYC by link: cuando el onboarding deja de probar quién está al otro lado
El KYC remoto nació para resolver un problema real: abrir cuentas digitales sin obligar al usuario a pasar por una oficina. El fallo aparece cuando se interpreta el resultado del KYC como una verdad binaria: si pasa, es bueno; si falla, es malo. En 2026 esa lógica es débil.
Los servicios de KYC by link explotan precisamente esa simplificación. Si un tercero puede completar la verificación por el usuario, manipular la cámara, enrutar el tráfico por proxys o usar materiales robados, el resultado “verificado” pierde parte de su valor. No porque el proveedor de identidad sea inútil, sino porque el atacante ya no ataca solo el documento o la selfie. Ataca la sesión completa.
Para banca y fintech, el impacto es directo en AML. Una cuenta mula no empieza en la transferencia sospechosa; empieza en un onboarding que parecía correcto pero que no fue contextualizado. Señales como IP de alto riesgo, dispositivo recién creado, email sin historial, reutilización de teléfono, link abierto desde un país incoherente, cambios rápidos de datos o primer movimiento hacia beneficiarios de riesgo deberían formar parte de la evaluación desde el minuto cero.
La defensa con valor no es añadir otro proveedor de KYC encima del anterior. Es tratar el alta como el primer evento de una cadena de riesgo. Eso implica proteger la integridad de la captura, detectar cámara virtual o hooking móvil, vincular la sesión al dispositivo real, revisar patrones de enlace compartido y alimentar al motor AML con señales del onboarding. El KYC debe iniciar una relación de confianza provisional, no cerrar la conversación.
2. Robo de credenciales: el atacante no entra, inicia sesión
Picus sitúa Credentials from Password Stores entre las técnicas relevantes del Red Report 2026, y la lectura para banca es clara: la identidad corporativa y la identidad del cliente son superficie de ataque. Los infostealers extraen contraseñas guardadas, cookies, tokens y datos de navegador. Con eso, el atacante puede saltarse buena parte de los controles diseñados para detectar intrusiones técnicas.
En un banco, este riesgo tiene dos caras. En el lado corporativo, una credencial robada puede abrir acceso a herramientas internas, paneles de soporte, repositorios, CRM o sistemas de fraude. En el lado cliente, permite ATO, cambios de beneficiario, solicitud de préstamos, vaciado de saldo o preparación de movimientos que no disparan reglas simples.
La defensa útil no es pedir más contraseñas ni culpar al usuario. Es reducir el valor de la credencial robada. Passkeys y FIDO2 ayudan porque resisten phishing y no dependen de secretos reutilizables. Pero eso no basta si la sesión posterior no se evalúa. Un login correcto desde un dispositivo nuevo, con patrón de navegación extraño y una transferencia de importe inusual debe elevar riesgo aunque el MFA haya pasado.
Aquí es donde ciberseguridad y fraude se juntan. El SOC puede ver el indicador técnico; el equipo antifraude puede ver el cambio de comportamiento económico. Separados, cada uno ve una anomalía débil. Juntos, ven una toma de cuenta.
3. Ingeniería social al helpdesk: el reset como punto ciego
Muchas organizaciones protegen muy bien el login y bastante peor el proceso para recuperar el login. Eso convierte al helpdesk en una puerta lateral. El atacante no necesita vulnerar el sistema si puede convencer a una persona de resetear contraseña, MFA o dispositivo de confianza.
Los deepfakes de voz y vídeo empeoran el problema porque reducen el coste de una suplantación creíble. Pero el aprendizaje importante no es “formar al agente para detectar deepfakes”. Eso es injusto y poco realista. La mejora real está en diseñar procesos donde una llamada convincente no sea suficiente.
En banca, cualquier reset de credencial con impacto en acceso a datos, soporte operativo o movimiento de fondos debe tratarse como una operación de riesgo. La verificación tiene que ser proporcional al daño potencial: comprobación fuera de banda, prueba de posesión de dispositivo, biometría con liveness cuando proceda, validación por segundo operador y bloqueo temporal de acciones sensibles tras el reset.
También conviene medir el riesgo como fraude, no solo como ticket de soporte. Un reset seguido de cambio de teléfono, alta de nuevo beneficiario, inicio desde IP anómala o retirada rápida debería activar un periodo de fricción. La seguridad del helpdesk no termina cuando se cierra el ticket; termina cuando la cuenta demuestra comportamiento normal después del cambio.
4. Acceso remoto legítimo: lo permitido también puede ser abuso
Otra señal del Red Report de Picus es la relevancia de herramientas de acceso remoto. En banca esto no debe leerse solo como “bloquea AnyDesk”. La cuestión es más incómoda: cada herramienta legítima de soporte, administración o trabajo remoto puede convertirse en canal de control si se usa fuera de contexto.
RMM corporativo, VPN, escritorios remotos, herramientas de asistencia a cliente, portátiles de terceros y accesos de proveedores comparten un problema: generan actividad que puede parecer normal porque el software está permitido. El atacante se esconde detrás de la legitimidad del canal.
La respuesta no es prohibir todo acceso remoto. Es saber qué acceso remoto debería existir, quién lo usa, desde qué dispositivo, en qué horario y para qué operación. Un inventario vivo de herramientas autorizadas, políticas de allowlisting, posture check de dispositivo, grabación o trazabilidad de sesiones privilegiadas y alertas por desviación operativa aportan más que otra regla genérica de EDR.
El punto de unión con KYC y AML aparece en procesos de onboarding de empleados, proveedores y clientes de alto riesgo. Si un tercero controla el entorno remoto desde el que se realiza una operación sensible, la identidad de la persona deja de ser suficiente. Hay que validar también la integridad del canal, del dispositivo y de la sesión.
5. Fraude post-compromiso: la brecha no acaba cuando se contiene el incidente
El error habitual tras una brecha es pensar en términos de “qué datos se filtraron” y no de “cómo se van a monetizar esos datos”. En servicios financieros, la monetización puede llegar semanas después: altas con identidad sintética, recuperación de cuentas, cambios de beneficiario, solicitud de crédito, SIM swapping, transferencias fraccionadas o movimiento de fondos por cuentas mula.
Esto conecta directamente con AML. Una identidad robada o fabricada no es solo un problema de autenticación; puede convertirse en infraestructura para blanqueo. Las cuentas mula funcionan porque cada cuenta individual puede parecer poco relevante, pero la red completa muestra dispersión, concentración de fondos, circularidad, beneficiarios compartidos o patrones de entrada y salida sin sentido económico.
La defensa útil es pasar de reglas aisladas a análisis relacional. No basta con mirar importe, país o categoría de operación. Hay que cruzar titular, dispositivo, email, teléfono, documento, beneficiarios, IBAN, comercios, velocidad de movimiento, edad de la cuenta, origen de fondos y vínculos con otras cuentas. La IA puede ayudar, pero solo si produce alertas explicables: un analista AML necesita entender por qué una operación o una red es sospechosa.
En este punto, el valor diferencial está en compartir señales entre áreas. Si fraude sabe que una cuenta se abrió mediante un flujo KYC de mayor riesgo, AML debería verlo. Si ciberseguridad detecta credenciales comprometidas de un empleado con acceso a cambios de datos de cliente, fraude debería ajustar riesgo. Si AML identifica una red de cuentas mula, KYC debería retroalimentar qué señales de alta se repiten.
Qué arquitectura necesita una entidad financiera en 2026
La arquitectura razonable no es una pila infinita de herramientas. Es una capa común de riesgo de identidad que conecte tres momentos:
- Primero, pre-KYC y KYC: Antes de aceptar una identidad, la entidad debe evaluar si la sesión es íntegra: dispositivo, cámara, IP, link, comportamiento, documento y señales externas. El objetivo no es bloquear más usuarios legítimos, sino distinguir mejor entre baja fricción y fricción necesaria.
- Segundo, cuenta y sesión: Después del alta, la cuenta debe seguir demostrando coherencia. Cambios de dispositivo, reset de MFA, navegación anómala, uso de proxies, patrones de teclado o ratón y acciones administrativas deben modificar el riesgo en tiempo real.
- Tercero, transacción y AML: La decisión final no debería depender solo de reglas transaccionales. Debe incorporar el historial de identidad y sesión: cómo nació la cuenta, cómo se ha comportado, qué vínculos tiene y si forma parte de una red.
Esta arquitectura tiene una ventaja clara: convierte controles aislados en señales acumulativas. Un KYC dudoso no bloquea siempre, pero deja una marca de riesgo. Un login raro no prueba fraude, pero suma contexto. Una transferencia inusual no se analiza sola, sino como parte de una cadena.
Conclusión: la ventaja está en tomar mejores decisiones
Mapear técnicas ATT&CK puede ser útil, pero solo si se traduce a decisiones operativas. En banca, el valor no está en decir “esta amenaza corresponde a T1555 o T1219”. El valor está en responder qué control reduce pérdida, qué señal falta, qué equipo debe verla y qué decisión cambia cuando aparece.
El cambio de 2026 es que la identidad ya no puede tratarse como un evento puntual. Es un activo vivo que puede ser comprado, robado, delegado, manipulado o monetizado. Por eso KYC, ciberseguridad, fraude y AML tienen que trabajar sobre el mismo mapa de riesgo.
Antes de comprar otra herramienta, la pregunta práctica es más sencilla: cuando una cuenta verificada empieza a comportarse como una mula, ¿la organización puede verlo a tiempo? Y si una credencial válida está siendo usada por alguien que no debería, ¿hay señales compartidas suficientes para detener el daño antes de la transacción final?
Si la respuesta depende de revisar tres paneles, pedir datos a otro equipo y reconstruir el caso a mano, el problema no es falta de tecnología. Es falta de arquitectura.
La mediana del rescate en banca alcanzó los 3 millones de dólares en 2025 según Sophos. El coste medio total de una brecha en el sector financiero superó los 6,1 millones de dólares según IBM. Esos datos no incluyen el coste reputacional ni el regulatorio, que en muchos casos multiplican la cifra final.
MITRE ATT&CK es el framework global de referencia para clasificar tácticas y técnicas adversarias, adoptado por ENISA, el NIST y analistas como Gartner. Permite a las entidades financieras mapear su cobertura de detección frente a las técnicas reales que usan los atacantes activos hoy, en lugar de trabajar con modelos de amenaza hipotéticos.
La biometría facial con liveness pasivo detecta deepfakes y suplantaciones en onboarding y autenticación. El behavioral biometrics analiza patrones en sesión, velocidad de escritura, uso del ratón, navegación, para detectar que quien usa una credencial válida no es su titular legítimo. Es la única capa que detecta Account Takeover (ATO) cuando el atacante ya tiene las credenciales correctas.
El Perpetual KYC (pKYC) es la gestión continua de la identidad del cliente, en contraposición a la verificación puntual en el onboarding. En un entorno donde las credenciales se roban y se usan semanas después, el pKYC permite detectar cambios de comportamiento o de riesgo en tiempo real, antes de que se produzca el fraude. Gartner lo identifica como una capacidad diferenciadora de las plataformas de identidad digital avanzadas.
PSD3 refuerza los requisitos de autenticación fuerte del cliente (SCA); eIDAS 2.0 establece el marco de identidad digital europea con wallets verificables; DORA exige resiliencia operativa digital con evidencias auditables; y AML6 endurece los requisitos de supervisión de transacciones y detección de blanqueo.