USD 1,067 millones es lo que perdió México en fraude digital en 2025, según análisis de mercado con datos de Banxico y CONDUSEF. No es una estimación de escenario extremo: es la cifra que surge de sumar fraude reportado con fraude asistido por inteligencia artificial. Y de todo ese dinero, solo el 1.4% volvió a manos de quien lo perdió. El resto desapareció sin reembolso, sin rastro, sin responsable claro.
Esta es la historia de cómo el fraude financiero en México pasó de ser un problema de mensajes mal escritos para convertirse en una industria organizada, tecnológica y, en muchos casos, invisible para los sistemas que deberían detectarla.
De la estafa artesanal al Fraude como Servicio
Hace una década, el fraude bancario digital en México tenía un perfil reconocible: correos con errores ortográficos, llamadas telefónicas con guiones torpes, sitios web que imitaban mal a los bancos. La detección era reactiva pero relativamente efectiva: bastaba con educar al usuario y aplicar filtros básicos. Ese modelo ya no existe.
En 2025, el sistema financiero mexicano procesó más de 108,000 denuncias por fraude digital, con pérdidas que superaron los MXN 11,300 millones (aproximadamente USD 611 millones) solo en fraude digital reportado. Si se suman los casos asistidos por inteligencia artificial y deepfakes, la cifra escala a más de MXN 20,000 millones (≈ USD 1,067 millones).
Hoy existe lo que la industria llama Fraude como Servicio (FaaS): un ecosistema criminal organizado donde cualquier persona puede adquirir kits de phishing, bots de suplantación, tutoriales paso a paso e incluso soporte técnico post-venta. El defraudador ya no necesita ser un hacker. Necesita una tarjeta de crédito y acceso a un foro.
La evolución en datos: qué cambió y cuánto
El siguiente mapa muestra cómo han evolucionado las principales tipologías de fraude en México entre 2022 y 2026, en frecuencia, sofisticación y nivel de riesgo actual:
| Tipo de fraude | Frecuencia 2022 | Tendencia 2022–2026 | Riesgo México 2026 |
|---|---|---|---|
| Phishing y robo de identidad | Alta | ↑ Aceleración | 🔴 CRÍTICO |
| Ingeniería social / estafas | Alta | ↑ Aceleración | 🔴 CRÍTICO |
| Fraude con tarjetas (CNP) | Alta | ↑ Crecimiento | 🟠 ALTO |
| Toma de control de cuentas (ATO) | Media | ↑ Crecimiento rápido | 🟠 ALTO |
| Identidades sintéticas | Baja | ↑ Crecimiento rápido | 🟠 ALTO |
| Deepfakes en verificación de identidad | Casi inexistente | ↑↑ Aceleración fuerte | 🟡 EMERGENTE |
| Cuentas mula / money mule | Baja (infradetectada) | → Estable / opaca | 🟡 EMERGENTE |
Fuente: Análisis global de mercado 2025, datos CONDUSEF 2025/2026.
Lo que más llama la atención no es el crecimiento del phishing, ya que eso era predecible, sino la velocidad con la que amenazas que en 2022 eran casi teóricas se han convertido en vectores operativos y masivos.
Los tres vectores que están ganando la partida
1. Identidades sintéticas: el fraude que no siempre tiene cara
Una identidad sintética no es una identidad robada. Es una identidad fabricada: una combinación de datos reales (un CURP válido, por ejemplo) con información inventada para construir un perfil que pasa los controles básicos de KYC. El fraude no ocurre en el onboarding, sino meses después, cuando el perfil ya tiene historial crediticio y confianza institucional.
En México, este vector crece a ritmo acelerado, impulsado por la alta penetración de pagos instantáneos vía SPEI/CoDi y la brecha aún existente en alfabetización digital. El problema es que los modelos de detección tradicionales no tienen señal suficiente para identificar a alguien que, sobre el papel, nunca ha fallado.
2. Deepfakes e injection attacks: el ataque que va directo al sistema
Aquí está uno de los puntos ciegos más graves del sistema financiero mexicano y global. Existe una diferencia crítica entre dos tipos de ataques biométricos que muchas instituciones aún no distinguen operativamente:
- Un presentation attack es lo que la mayoría conoce: alguien presenta una foto o máscara frente a la cámara. Los sistemas de liveness detection tradicionales están diseñados para esto.
- Un injection attack es diferente: el atacante inyecta un deepfake directamente en el pipeline de verificación biométrica, a nivel de API o SDK, sin pasar por la cámara. El sistema de liveness detection no detecta nada, porque no hay nada físico que detectar.
El fraude en apertura de cuentas digitales creció un +300% asociado a deepfakes y GenAI según análisis de mercado 2025. La mayoría de los proveedores de verificación biométrica a nivel global no están certificados para detectar injection attacks, la certificación de referencia es iBeta Level 1+2 para injection attack detection (iAD), junto con ISO 30107-3 y evaluaciones NIST FPAD.
Este es probablemente el gap de seguridad más grande y menos visible de la industria hoy.
3. Cuentas mula: el eslabón más subestimado
Las cuentas mula son cuentas bancarias utilizadas para mover y blanquear dinero ilícito, que operan bajo tres modalidades en México: voluntarias (personas que ceden su cuenta a cambio de una comisión, frecuentemente jóvenes sin empleo), engañadas (titulares que no saben que participan en un esquema criminal) y sintéticas (creadas con identidades robadas o fabricadas). Son infradetectadas porque imitan comportamiento legítimo con transacciones pequeñas y frecuentes, y requieren análisis de redes relacionales para identificarlas, no solo monitoreo transaccional individual.
La paradoja del gasto: más inversión, más pérdidas
Si hay un dato que resume el momento actual del sector financiero mexicano, es este: el 53% de los bancos incrementó su presupuesto antifraude más de un 5% en los últimos tres años. Y sin embargo, el 70% reporta que sus pérdidas por fraude siguen aumentando.
¿Cómo es posible?
La respuesta está en hacia dónde va ese gasto. Mayoritariamente a escalar sistemas de reglas estáticas y soluciones heredadas que los defraudadores ya saben sortear. Las amenazas evolucionan más rápido que las defensas, y el gasto adicional no cambia la arquitectura de detección, solo la engrasa.
A esto se suma una señal de alerta regulatoria que no puede ignorarse: solo en los primeros tres meses de 2026, CONDUSEF registró 25 reportes de suplantación de identidad corporativa activa (7 en enero, 8 en febrero, 10 en marzo) afectando a SOFOMs, gestoras de fondos y aseguradoras. La tendencia es claramente al alza.
En el horizonte: agentes de IA autorizados para pagar en tu nombre
El horizonte inmediato añade una capa más de complejidad. Los agentic payments, sistemas autónomos que inician, autorizan y ejecutan pagos sin intervención humana directa, están siendo construidos ahora mismo por las principales redes de pago globales. Cuando una identidad sintética supera el onboarding y un agente autónomo puede transaccionar miles de veces de forma automatizada, el modelo de fraude escala de forma exponencial.
Gartner clasifica esta tendencia en su Hype Cycle for Fraud and Financial Crime Prevention 2025 con un horizonte de adopción mainstream de 5 a 10 años, pero con beneficio calificado como alto. La infraestructura de identidad que se construya hoy determinará si el sistema financiero mexicano está preparado cuando eso ocurra.
El fraude no es un problema de presupuesto
México es hoy el segundo mercado más atacado cibernéticamente en América Latina, con un crecimiento del fraude de identidad digital del +77% en 2024 frente a una media regional del +38%. Las pérdidas por phishing superaron los MXN 19,000 millones ese mismo año.
El fraude ha evolucionado hacia amenazas más sofisticadas, más automatizadas y más difíciles de detectar con arquitecturas tradicionales. La respuesta no puede ser solo gastar más, sino gastar diferente: migrar hacia modelos de detección multicapa, biometría avanzada que cubra tanto ataques de presentación como de inyección, y análisis de comportamiento en tiempo real.
Las instituciones que comprendan esta distinción primero tendrán una ventaja competitiva estructural. Las que no, seguirán viendo cómo sus pérdidas crecen a la par de su presupuesto.