Un cliente recibe un SMS que dice: “Tu tarjeta fue bloqueada. Confirma tus datos aquí”. Hace clic, ingresa su información y pierde 10,000 pesos. El banco descubre el movimiento inusual, bloquea la cuenta, hace el reembolso y envía un correo genérico sobre seguridad. El usuario respira tranquilo. Dos semanas después, otro mensaje llega a su WhatsApp. Esta vez, el anzuelo menciona un paquete retenido en aduanas. Y vuelve a caer.
He visto esta secuencia repetirse en miles de casos. El canal por el que se ejecuta el fraude cambia constantemente (SMS, correos electrónicos, llamadas), pero la ventana que lo hace posible permanece intacta. Las empresas atienden el incidente con eficiencia: bloquean, investigan, reembolsan; sin embargo, pocas lo convierten en un ajuste concreto en su operación.
La industria de pagos digitales en México pierde miles de millones de pesos cada año por fraude, mientras la inversión en prevención crece de forma acelerada. Más tecnología, más controles. Y aún así, los reportes siguen en aumento. La contradicción es clara: se invierte más en herramientas, pero se avanza poco en la capacidad de aprender de los datos que estas mismas generan.
Llevemos esta lógica a un escenario hipotético. Una fintech percibe 400 intentos de fraude por suplantación de identidad en enero. Todos los casos involucran financiamiento con credenciales robadas. El sistema bloquea las transacciones correctamente. Hasta ahí, todo funciona.
Pero nadie observa que 300 de esos intentos ocurrieron entre las 23:00 y las 2:00 horas; el 80% usó el mismo rango de códigos postales; y todos los solicitantes declararon ingresos entre 18,000 y 22,000 pesos mensuales. Las señales estaban ahí, pero la compañía solo marcó los reportes como “resueltos” y archivó los documentos.
Dos semanas después, los mismos patrones reaparecen, ahora con 600 casos. La única variación está en el rango de ingresos declarados, que aumentó a 30,000 pesos; el resto se mantiene sin cambios. Si alguien hubiera analizado los números de enero y ajustado los filtros de validación, estos intentos se habrían detenido de forma automática, antes de consumir horas de revisión manual.
Esta es la diferencia entre simplemente combatir fraude y aprender de él. Combatir es reaccionar, bloquear y resolver. Aprender es extraer el patrón y adecuar el proceso. La primera estrategia genera costos recurrentes; la segunda convierte cada incidente en una mejora operativa permanente.
Los delincuentes operan con metodologías avanzadas. Prueban un mensaje de phishing a gran escala, miden cuántos usuarios hacen clic. Repiten el ciclo hasta encontrar la combinación que maximiza resultados. Trabajan con métricas y escalan lo que funciona. Mientras tanto, las empresas continúan enviando los mismos correos genéricos de prevención desde hace años.
La mayoría de las organizaciones trata este fenómeno como un desafío tecnológico. Invierten en biométricos, autenticación digital y motores de machine learning. Todo eso es necesario; no obstante, la tecnología solo detecta. El aprendizaje ocurre al analizar por qué el modelo falló, qué indicador pasó desapercibido y qué adaptación en el proceso habría prevenido el problema.
Por otra parte, los usuarios también repiten sus errores. Después de un incidente, cambian contraseñas, pero mantienen activas las mismas aplicaciones con acceso a su banca móvil; eliminan el mensaje sospechoso, aunque continúan abriendo enlaces sin revisar el remitente. La situación expone una falla en su comportamiento, pero no mejoran los hábitos que hicieron posible el engaño.
La clave está en diseñar sistemas que revelen patrones antes de que escalen y reconozcan señales tempranas. Cada evento genera información que puede traducirse en mejoras concretas:
Para compañías:
- Revisa transacciones bloqueadas del último mes agrupadas por horario, canal y ubicación geográfica.
- Mide cuánto tiempo tarda un cliente promedio en reportar una actividad sospechosa.
- Compara los horarios de mayor incidencia con la jornada de tu equipo de validación.
- Documenta los tres métodos más recurrentes del mes y ajusta protocolos en consecuencia.
- En caso de usar validaciones automatizadas, asegúrate de brindarle al algoritmo instrucciones claras.
Para usuarios:
- Activa notificaciones inmediatas para cualquier movimiento en tus cuentas bancarias.
- Revisa cada semana qué aplicaciones tienen permisos activos sobre tu información.
- Elimina métodos de pago almacenados en lugares donde no consumes con frecuencia.
- Consulta tus movimientos cada 72 horas, aunque no hayas realizado compras.
Cada incidente deja un rastro útil. La pregunta clave es si esos datos se convierten en decisiones que potencian la operación o si se archivan hasta que el problema reaparece. Entre aprender del error o repetirlo con variaciones mínimas, la diferencia la marca quién gestiona el riesgo y quién lo oculta mes tras mes.
_____
Nota del editor: Javier Huerta es Country Manager de Flow en México. Las opiniones publicadas en esta columna corresponden exclusivamente al autor.
Consulta más información sobre este y otros temas en el canal Opinión
