8 acciones para reducir el fraude en la banca canadiense 

El fraude de identidad sintética creció un 8 % en solo un año en Canadá. Los ataques mediante deepfakes se han multiplicado por veinte en los últimos tres años. Y más de un tercio de los bancos detectan menos del 60 % de los fraudes antes de que estos provoquen una pérdida.

Si ha leído nuestro análisis sobre la brecha de detección detrás de los 704 millones de dólares canadienses en pérdidas directas registradas en 2025 en Canadá, sabe de lo que estamos hablando. El diagnóstico ya está claro. Lo que falta es el plan.

Estas son ocho acciones concretas que los responsables de fraude, riesgo y cumplimiento normativo de bancos, cooperativas de crédito (credit unions) y empresas fintech canadienses pueden comenzar a implementar para empezar a cerrar esa brecha y proteger tanto a sus clientes como a sus resultados financieros.

1. Ve más allá de las transacciones: incorpora señales de riesgo contextual 

La mayoría de los sistemas de detección de fraude se basan en datos transaccionales: importe, frecuencia, geografía. Aunque esto es necesario, sigue sin ser suficiente.

El fraude moderno, especialmente la apropiación de cuentas (ATO, account takeover) y la ingeniería social, no siempre aparece como anómalo a nivel transaccional. Lo que lo delata son las señales que rodean la transacción: ¿el dispositivo es nuevo? ¿Ha cambiado el ritmo de escritura? ¿Está el usuario navegando por la app de forma diferente a lo habitual? ¿El inicio de sesión se produjo desde una ubicación a 3.000 km de distancia a las 3 de la madrugada?

Incorporar biometría conductual (cómo escribe, desliza y se relaciona el usuario), inteligencia de dispositivos (huella digital del dispositivo, geolocalización) y velocidad de actividad proporciona a tus modelos una visión mucho más rica de lo que es “normal” y un disparo de alerta más rápido cuando algo no lo es.

El resultado: menos falsos positivos y más fraude real detectado antes de que genere pérdidas.

2. Migra a ML híbrido: los modelos supervisados solos no son suficientes 

Existe un patrón recurrente en los servicios financieros: las instituciones invierten en aprendizaje automático, lo entrenan con datos históricos de fraude y luego se preguntan por qué sigue fallando frente a nuevos tipos de ataques.

El problema está en el enfoque. Los modelos supervisados son excelentes para reconocer patrones que ya han visto. Lo que se les da mal es aquello con lo que nunca se han encontrado.

Piénsalo así: un modelo supervisado es como un agente de aduanas con una lista de sospechosos. Si tu nombre está en ella, te detienen. Si no está, pasas sin problema. Un modelo no supervisado, en cambio, es como un agente que no depende de una lista, sino que observa cómo se comporta cada viajero y lo compara con miles de trayectorias anteriores. No necesita reconocerte como sospechoso para detectar que algo no encaja.

Eso es exactamente lo que se necesita para detectar fraude de identidad sintética, ataques de inyección con inteligencia artificial generativa o nuevos kits de Fraude como Servicio (FaaS) antes de que provoquen pérdidas.

El FSB (Consejo de Estabilidad Financiera, Financial Stability Board) señala que la IA ya no es una tecnología experimental en el sector financiero, sino una herramienta ampliamente utilizada, incluida la detección de fraude. Sin embargo, la mayoría de las instituciones todavía operan con arquitecturas de una sola capa. La ventaja competitiva en los próximos años pertenecerá a quienes combinen ambos enfoques de manera eficaz.

En un panorama de amenazas que se reinventa constantemente, un modelo que solo reconoce lo que ya ha aprendido siempre llegará demasiado tarde.

3. Construye defensas multicapa para el fraude de identidad sintética en el onboarding 

El fraude de identidad sintética se ha convertido en uno de los tipos de fraude de mayor crecimiento y coste en Canadá. Según el informe Top Fraud Trends Report H2 2025 de TransUnion, el 26 % de las empresas canadienses atribuyeron sus pérdidas por fraude a identidades sintéticas, lo que representa un aumento de 8 puntos porcentuales respecto al año anterior. Solo esta tasa de crecimiento ya debería convertirlo en una prioridad a nivel de consejo de administración.

Lo que hace especialmente peligroso el fraude de identidad sintética es su diseño: está creado para eludir los controles estándar de KYC (conoce a tu cliente). Una identidad sintética suele combinar un número de seguro social legítimo (SIN, Social Insurance Number) con datos personales falsificados, creando una persona ficticia que supera los procesos de alta, construye un historial crediticio y luego desaparece tras agotar líneas de crédito o cometer fraude de pagos.

Detectarlo requiere más que verificación documental. Una defensa eficaz se construye en capas a lo largo de todo el recorrido del usuario:

• Capa de sesión: verificación de identidad en el punto de acceso, combinando detección de vida biométrica (biometric liveness detection) con detección de ataques de presentación (PAD, Presentation Attack Detection) y detección de ataques por inyección, para identificar intentos de suplantación y medios generados por IA antes de que entren en el sistema.

• Capa de cuenta: análisis conductual en el periodo posterior al alta, donde las identidades sintéticas suelen permanecer inactivas antes de activarse. Monitorizar patrones de cuentas mula y señales de activación anómalas en las primeras 8 a 12 semanas tras la apertura es un punto ciego habitual en muchas instituciones.

• Capa de transacciones: monitorización en tiempo real de patrones de fraude financiero, intentos de toma de control de cuentas (ATO) y controles AML/KYT que detectan cuándo una identidad sintética finalmente empieza a operar.

El alta de usuario sigue siendo la mejor oportunidad para detener el fraude de identidad sintética. Una vez que la cuenta ha sido abierta, el coste y la complejidad de detectarlo aumentan significativamente.

La capa de sesión: verificación de identidad en el punto de acceso, combinando detección de vida biométrica con detección de ataques de presentación (PAD) y detección de ataques por inyección para interceptar intentos de suplantación y medios generados por IA antes de que entren en el sistema.

La capa de cuenta: análisis conductual en el periodo posterior al alta, donde las identidades sintéticas suelen permanecer inactivas antes de activarse. Monitorizar patrones de cuentas mula y señales de activación anómalas en las primeras 8 a 12 semanas tras la apertura es uno de los principales puntos ciegos.

La capa de transacciones: monitorización en tiempo real de patrones de fraude financiero, intentos de toma de control de cuentas (ATO) y controles AML/KYT que alertan cuando una identidad sintética finalmente entra en acción.

El alta de usuario sigue siendo la mejor oportunidad para detener el fraude de identidad sintética. Pero el modelo de tres capas asegura que lo que se escape sea detectado antes de generar pérdidas.

4. Construye un mapa de calor de amenazas vivo y revísalo cada trimestre 

Las estrategias de fraude evolucionan más rápido que los ciclos anuales de revisión de riesgos. Lo que funcionaba como marco de priorización en enero puede no reflejar el panorama de amenazas en octubre. Sin embargo, muchas instituciones siguen tratando sus evaluaciones de riesgo de fraude como ejercicios anuales en lugar de documentos vivos. 

Un mapa de calor trimestral, que mapee los vectores de fraude activos según frecuencia y velocidad de crecimiento, ofrece a los equipos de riesgo, compliance y tecnología una visión compartida y actualizada de dónde deben ir la atención y el presupuesto. 

También genera responsabilidad: cuando un nuevo tipo de ataque escala, el mapa lo hace visible antes de que las pérdidas se materialicen. En el caso del fraude impulsado por IA, INTERPOL advierte que las notificaciones relacionadas con fraude aumentaron un 54% desde 2024, una señal clara de la velocidad con la que evoluciona la amenaza 

Este tipo de ejercicio funciona mejor como esfuerzo transversal, reuniendo a operaciones de fraude, compliance, seguridad IT y los socios tecnológicos externos. El objetivo no es producir un documento; es alinear al equipo en torno a qué amenazas están realmente activas, no solo teóricamente posibles. 

5. Reemplaza el MFA basado en SMS 

Este punto es incómodo, porque una gran cantidad de bancos a nivel global sigue dependiendo de la autenticación multifactor (MFA) por SMS como control principal. Y sin embargo, el SMS OTP es una vulnerabilidad conocida desde hace años. 

El ataque se llama SIM swapping y es más sencillo de lo que a la mayoría de los equipos de fraude y seguridad les gusta reconocer. Un atacante contacta con un operador de telefonía, usa ingeniería social o acceso interno para transferir el número de un cliente a una SIM bajo su control, y de repente recibe todos los mensajes de texto enviados a ese número. Incluido el OTP que tu banco acaba de enviar para «verificar» un login o una transferencia de importe elevado. La cuenta ya es suya. 

El NIST marcó el SMS como método de autenticación obsoleto en 2016. La CISA ha recomendado formalmente abandonarlo. Y un ejemplo claro es el Banco Central de los Emiratos Árabes Unidos que fijó el 31 de marzo de 2026 como fecha límite para eliminar los OTP por SMS en todas las instituciones financieras autorizadas. Y el argumento más importante no fue la multa sino la responsabilidad: cualquier fraude ocurrido en un flujo de SMS OTP recae directamente sobre el banco, no sobre el cliente. 

En Canadá, el coste creciente del fraude, incluidos los ataques ATO que habilita el SIM swapping, convierte esto en una decisión de riesgo, no solo de preferencia técnica.  

¿Qué reemplaza al SMS? Hay opciones con diferentes niveles de fricción para el usuario: 

• FIDO2 y passkeys: autenticación ligada al dispositivo físico, resistente a phishing por diseño. Sin códigos, sin intercepción posible. 

• Tokens hardware: para perfiles de alto riesgo o accesos privilegiados. 

• Autenticación push en app: más usable que el SMS, sin pasar por la red telefónica. 

Ninguna de estas opciones requiere elegir entre seguridad y experiencia de usuario. La clave es combinarlas con autenticación adaptativa basada en riesgo: el nivel de verificación requerido escala según el riesgo de la sesión.  

Una consulta de saldo desde el dispositivo habitual no necesita el mismo nivel que una transferencia internacional desde un dispositivo nuevo a las 2 de la mañana. El sistema decide mientras el cliente apenas lo nota. 

6. La identidad es un continuo

La mayoría de los controles de fraude se concentran en la fase de alta de usuario —como si la identidad fuera un único momento que validar, en lugar de un continuo que debe ser monitorizado—. La identidad no termina cuando se abre la cuenta. Evoluciona: el comportamiento cambia, los dispositivos cambian, los patrones cambian. Y el fraude de identidad sintética está diseñado precisamente para explotar ese punto ciego.

Una identidad sintética que supera con éxito el proceso de alta suele entrar en una fase de “cultivo”. La cuenta permanece en gran medida inactiva, con una actividad transaccional mínima y, en ocasiones, incluso con pequeños pagos puntuales y a tiempo diseñados para construir un historial crediticio. Esta fase puede durar semanas o incluso meses. Después, de repente, la cuenta se activa mediante un gran adelanto de efectivo, una serie de compras rápidas o una transferencia de saldo… y desaparece.

Implementar monitorización posterior al alta específicamente diseñada para detectar patrones de activación tardía durante las primeras 8 a 12 semanas tras la apertura de la cuenta es uno de los controles más rentables disponibles.

Las señales ya están en los datos; simplemente requieren modelos entrenados para buscarlas.

7. La inteligencia de fraude también es un continuo

Monitorizar la identidad como un continuo solo funciona si la inteligencia es igualmente continua. Y ninguna institución tiene por sí sola la imagen completa.

En los servicios financieros, existe la tendencia a tratar la inteligencia de fraude como información propietaria. Esto es comprensible: en la banca, compartir inteligencia de fraude no siempre es sencillo debido a la competencia entre instituciones, los requisitos regulatorios y el riesgo reputacional. Sin embargo, las redes de fraude no respetan las fronteras institucionales. Una identidad sintética que falla en la fase de alta en un banco intentará lo mismo en otro.

Las evidencias muestran de forma consistente que las instituciones que participan en comunidades de inteligencia de amenazas —compartiendo datos sobre intentos de fraude, patrones de ataque y actores maliciosos conocidos— detectan el fraude más rápido y a menor coste que aquellas que operan de forma aislada. En Canadá, esto incluye la colaboración con FINTRAC, ACAMS Canada y la creciente red de consorcios bancarios centrados en delitos financieros.

Las listas negras compartidas, las alertas coordinadas sobre nuevos kits de Fraude como Servicio (FaaS) que entran en el mercado canadiense y las alertas tempranas sobre vectores de ataque emergentes son activos que ninguna institución puede construir por sí sola.

La Estrategia Nacional Antifraude de Canadá (2026) y las consultas en curso en torno al Proyecto de Ley C-15 (Ley Bancaria) están creando más infraestructura para este tipo de coordinación. Las instituciones que ya estén involucradas estarán mejor posicionadas a medida que este marco madure.

8. Integra KYC, AML y detección de fraude: elimina los silos 

Pregunta a la mayoría de los equipos de fraude cómo se comunican sus sistemas con las plataformas de AML y KYC, y la respuesta suele implicar muchas extracciones manuales de datos, procesos batch programados y cadenas de correos electrónicos. Estos silos operativos generan ineficiencias: generan puntos ciegos. 

Un cliente que levanta una alerta en el onboarding de KYC puede no activar ninguna señal en el sistema de monitoreo AML. Un patrón de transacciones que parece anómalo en detección de fraude puede no estar vinculado a una coincidencia en listas de vigilancia que está esperando en la cola de compliance. Cuando estos sistemas no se comunican en tiempo real, la institución está mirando al mismo cliente a través de tres lentes separadas e incompatibles. 

Las plataformas integradas, con APIs modulares que conectan KYC, AML screening y soluciones antifraude, convierten esa visión fragmentada en una imagen de riesgo única y coherente. Para instituciones sin grandes equipos de desarrollo, las arquitecturas cloud-native y API-first hacen esto alcanzable sin un proyecto de integración de varios años.  

El retorno: detección más rápida, menos brechas y una postura de compliance que puede escalar de verdad. 

Cerrar la brecha empieza por una decisión 

Ninguna de estas ocho acciones exige una renovación tecnológica completa. Algunas como el mapa de calor de amenazas, la participación en inteligencia compartida y los protocolos de monitoreo post-onboarding, pueden iniciarse con los recursos actuales y refinarse con el tiempo. Otras, como abandonar el MFA por SMS o integrar plataformas en silos, requieren inversión y secuenciación, pero son alcanzables en 12 a 18 meses con los socios adecuados. 

Lo que todas requieren es una decisión: que el estado actual no es aceptable. 

Con 704 millones de dólares en pérdidas documentadas en 2025 y más de 112.000 casos reportados, según el Canadian Anti-Fraud Centre (CAFC), el coste de la inacción ya es medible. La brecha de detección es real, el entorno de amenazas se acelera, y las herramientas para cerrarla existen. 

En Facephi trabajamos con instituciones financieras en Canadá y a nivel global para construir la infraestructura de identidad y antifraude que convierte estas acciones en realidad operativa: desde la detección de deepfakes y la biometría conductual en el onboarding, hasta el monitoreo continuo y la integración AML a lo largo de todo el ciclo de vida del cliente.  

Como miembros de DIACC y alineados con el Pan-Canadian Trust Framework y las obligaciones de PIPEDA y FINTRAC, acompañamos a las instituciones canadienses con tecnología certificada y conocimiento directo del entorno regulatorio local.