Entre 2023 y 2024 Latinoamérica experimentó un incremento del 40-60 % en ataques de phishing respecto al año anterior. El Smishing (SMS phishing) creció un 137 % en la región. La mayor amenaza sigue siendo el factor humano: estafas con IA, deepfakes y urgencias falsas superan a contraseñas tradicionales, sustituidas por biometría y passkeys más seguros
Un atraco bancario ya no requiere una máscara o un arma. Hoy, todo lo que se necesita es un poco de psicología, una voz generada por IA de manera convincente y un momento de falta de atención. Mientras las instituciones financieras continúan fortaleciendo sus defensas, los estafadores siguen cambiando sus tácticas.
Latinoamérica experimentó en 2024 un aumento generalizado de ataques de phishing, con un crecimiento regional estimado del 40-60 % respecto al año anterior, consolidándose como una de las zonas más afectadas a nivel global. México lidera la incidencia con aproximadamente 42 % de los casos (16.7 millones de intentos en 2023), seguido por Colombia (18 %, 7.2 millones), Argentina (15 %, 6.1 millones) —este último con el mayor crecimiento anual (71 %)—, Perú (9 %, 3.6 millones) y Chile (8 %, 3.2 millones). Los sectores más atacados fueron la banca (35 %) y el comercio electrónico (28 %), mientras que el smishing (phishing por SMS) registró un incremento del 137 %, reflejando una transición hacia vectores móviles. Esta tendencia evidencia la urgencia de fortalecer marcos de ciberseguridad y educación digital en la región, donde la rápida digitalización ha superado, en muchos casos, las capacidades de protección.
¿Cómo es la protección moderna de los ahorros personales y de qué se debería tener más cuidado en el mundo digital para evitar que vacíen la cuenta?
La era de las contraseñas está terminando: los passkeys toman el relevo
Durante años siempre se dio lo mismo: «Utiliza contraseñas fuertes y cámbialas regularmente». La realidad es que, en 2026, las contraseñas tradicionales se han convertido más en una carga que en una protección. Los bancos modernos, los brókeres y los intercambios de criptomonedas están pasando rápidamente a los passkeys.
Esta tecnología se basa en biometría (como huella dactilar o reconocimiento facial) o en una llave de hardware almacenada directamente en el dispositivo. La ventaja es clara: un passkey no puede ser robado mediante phishing, porque no existe una cadena de caracteres que pueda escribirse en un formulario falso.
La amenaza de los deepfakes y la ingeniería social
Las tecnologías utilizadas por las instituciones —no solo bancos, sino también brókeres e intercambios de criptomonedas— son ahora casi a prueba de balas. Como resultado, los atacantes se enfocan en el eslabón más débil: el usuario. Las tendencias más comunes incluyen:
- Phishing impulsado por IA (estafas de voz): un estafador llama y, usando inteligencia artificial, suena exactamente como un banquero o incluso como un familiar en apuros.
- Falsas «oportunidades» de inversión: anuncios fraudulentos con rostros de celebridades creados mediante vídeos deepfake atraen a los usuarios con promesas de rendimientos extraordinarios de brókeres inexistentes.
- Falsa urgencia: el escenario «Su cuenta ha sido comprometida, transfiera inmediatamente sus fondos a una cuenta segura» sigue siendo el truco más exitoso. El usuario debe recordar siempre: un banco nunca pedirá que sea el propio usuario el que mueva el dinero.
¿Cómo están protegiendo a los usuarios las instituciones modernas?
El mundo financiero actual ya no depende únicamente de que el usuario conozca la contraseña. La protección sucede en segundo plano.
«La tendencia clave es el análisis del comportamiento. Los sistemas financieros monitorean cómo interactúas con el teléfono o mouse. Si el comportamiento del usuario de repente se vuelve caótico o alguien inicia sesión con una huella digital completamente diferente, la transacción se bloquea», explica Ali Daylami, jefe de Análisis de Datos en la bolsa de criptomonedas internacional BITmarkets, en referencia a las prácticas de seguridad avanzadas.
La regulación también juega un papel importante. En la UE, por ejemplo, los intercambios de criptomonedas y las pequeñas empresas fintech deben cumplir con los mismos estándares de seguridad que los grandes bancos. Esto incluye auditorías estrictas y un seguro obligatorio contra ciberataques.
Los exchanges de criptomonedas reputados almacenan hoy al menos el 95 % de los activos de los clientes en los llamados cold wallets —dispositivos desconectados de internet—, lo que hace prácticamente imposible el robo a gran escala por parte de hackers.
La regla de oro de la seguridad: mantener la calma y ser paciente
La seguridad en 2026 ya no trata de tecnología —con eso ya se dispone—. Se trata de mantener la cabeza fría cuando aparece un mensaje urgente o cuando un número desconocido empieza a llamar. Si alguien —incluso alguien que suena como un gobernador del banco central— pide un código de verificación, acceso remoto mediante software como AnyDesk o una transferencia inmediata de fondos, el usuario debe colgar el teléfono inmediatamente.
Desde la perspectiva de las instituciones financieras, 2026 también trata de controles en capas y procesos de protección. En casos potencialmente sospechosos, esto a menudo resulta en retiradas demoradas. El desafío para las instituciones es entonces explicar a los clientes que esperar unos minutos u horas es mucho más seguro que liberar fondos inmediatamente bajo circunstancias cuestionables.
Cómo asegurar la cuenta en cinco minutos
- Activar la confirmación biométrica para cada transacción saliente en la aplicación.
- Establecer límites bajos para las transacciones en línea y aumentarlos solo cuando sea necesario.
- Al tratar con criptomonedas, utilizar proveedores de servicios cripto fiables y con licencia, y para ahorros a largo plazo considerar usar una hardware wallet.
