Free Demo
  • Linkedin
  • Twitter
  • Youtube

Daon named a Leader in the 2025 Gartner® Magic Quadrant™ for Identity Verification: READ MORE

Contact Us

Connect with a Daon solutions expert

Let us know how we can assist you

  • Product/Solution Information
  • Product Demonstration
  • Request for Proposal
  • Partnership Opportunities

See why many of the world’s strongest brands chose Daon to help them build lasting trust with their customers.

Pagos Instantáneos, Fraude Irreversible: Por Qué la Seguridad Bancaria Tradicional No Puede Seguir el Ritmo

by Jonathan Distler
March 13, 2026

El SPEI liquida transferencias en segundos mientras los sistemas antifraude tradicionales requieren minutos para analizar riesgos—una asimetría que los delincuentes explotan con precisión. Los bancos necesitan autenticación continua que verifique identidad en tiempo real, no biometría de dispositivo que solo confirma acceso a un teléfono previamente autorizado.

 

En 2024, el SPEI procesó más de 5,400 millones de operaciones por un valor superior a los 579,000 millones de pesos, equivalente a 6.5 veces el Producto Interno Bruto de México. Lo que Banxico concibió hace dos décadas como infraestructura de liquidación interbancaria se ha convertido en el tejido invisible de la economía digital del país: omnipresente, inmediato e irreversible.

Esa última palabra es clave. Porque mientras los bancos celebran los indicadores de adopción digital, la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros (CONDUSEF) registró en el mismo año fraudes vinculados al robo de identidad en el sistema bancario por 11,300 millones de pesos, un incremento del 77% respecto a 2023. El dato más revelador no es la magnitud de las pérdidas, sino lo que ocurrió después: las instituciones financieras reembolsaron apenas el 1.4% de los montos defraudados a los usuarios afectados.

Esta brecha entre la velocidad de los pagos y la capacidad de las instituciones para proteger a sus clientes define el desafío central de la banca mexicana en este momento. Los bancos enfrentan tres retos críticos: detener el fraude que se consuma en tiempo real, modernizar una infraestructura de autenticación diseñada para rieles de pago más lentos, y superar una dependencia peligrosa en mecanismos de seguridad que autentican dispositivos en lugar de personas.

La velocidad de los pagos ha superado a la prevención del fraude

Los sistemas tradicionales de prevención de fraude operan bajo una premisa que el SPEI ha vuelto obsoleta: analizar la transacción, evaluar los indicadores de riesgo e intervenir antes de que los fondos se transfieran. Ese modelo asume que existe un margen de tiempo entre la autorización y la liquidación. En el ecosistema de pagos instantáneos, ese margen ya no existe.

La normativa de Banxico establece que una operación SPEI no debe tardar más de 30 segundos. En la práctica, la mayoría se liquida en segundos. A diferencia de los pagos con tarjeta, que pueden disputarse mediante mecanismos de contracargo, una transferencia SPEI es definitiva en el momento en que se completa. Cuando los fondos salen de una cuenta por la vía del fraude, generalmente se dispersan a través de cuentas intermediarias o se convierten en activos difíciles de rastrear antes de que la víctima advierta lo ocurrido.

El Comprobante Electrónico de Pago (CEP) que emite Banxico es un mecanismo valioso de trazabilidad, pero confirma transacciones completadas, no las previene. La infraestructura de seguridad de la mayoría de los bancos mexicanos fue concebida en una época en que los pagos se procesaban con la lentitud suficiente para permitir la intervención. Los sistemas de revisión post-autorización y los controles de detección de anomalías se vuelven inútiles cuando la transacción finaliza antes de que el análisis pueda ejecutarse.

Cómo los defraudadores explotan la velocidad

México no es un mercado cualquiera en términos de amenazas cibernéticas. El país concentra aproximadamente el 55% de los ataques cibernéticos registrados en toda América Latina, y los actores detrás de estos ataques incluyen redes criminales organizadas que han incorporado inteligencia artificial y deepfakes a sus operaciones de fraude financiero. Según la Global Anti-Scam Alliance, el 59% de los mexicanos reportó haber sufrido al menos un intento de estafa al mes durante 2024.

La asimetría temporal entre la detección y la liquidación es, precisamente, lo que los defraudadores explotan. Los equipos de seguridad acostumbrados a analizar patrones en horas o días ahora tienen segundos para identificar y detener actividad sospechosa. Para cuando los sistemas de detección de anomalías marcan una conducta inusual, el dinero ya ha liquidado y se ha dispersado.

Los esquemas de ingeniería social se han adaptado a esta realidad con precisión quirúrgica. La urgencia es el arma principal: emergencias fabricadas, oportunidades de inversión con ventanas de tiempo artificialmente cortas, funcionarios bancarios suplantados. El CLABE, ese número de 18 dígitos que identifica cada cuenta bancaria en México, se ha convertido en un objetivo específico de extracción de datos. La velocidad del SPEI impide la pausa reflexiva que podría exponer el engaño. Para cuando el usuario comprende lo que ocurrió, la transferencia es un hecho consumado.

Esta brecha de detección expone además un vacío significativo en los marcos de responsabilidad institucional. Cuando el fraude se completa más rápido de lo que los protocolos de seguridad pueden ejecutarse, determinar la responsabilidad se vuelve un asunto contencioso. Los bancos argumentan que el cliente autorizó la transferencia. Los clientes señalan que fueron engañados mediante suplantación de identidad o coerción. Y CONDUSEF intenta establecer estándares claros en un entorno donde las ventanas de verificación tradicionales ya no existen.

Seguridad fragmentada: el problema de la identidad desconectada

La vulnerabilidad más crítica en la seguridad bancaria moderna no es tecnológica sino organizacional. Las instituciones financieras típicamente gestionan el onboarding, la autenticación transaccional y la autorización de operaciones de alto valor como iniciativas separadas, administradas por distintas áreas. Un cliente verificado de forma rigurosa al abrir su cuenta puede enfrentarse únicamente a un PIN o un SMS al intentar realizar una transferencia de 50,000 pesos semanas después.

Forrester Research identificó la raíz del problema: “Estos desafíos se ven agravados por funcionalidades de gestión de identidad históricamente fragmentadas, lo que resulta en una visibilidad limitada sobre la postura de seguridad de la identidad y las amenazas.” Cuando la verificación de identidad existe de forma independiente a la autenticación transaccional, las instituciones pierden el hilo contextual que conecta quién es el cliente con lo que está intentando hacer.

Muchos bancos han construido sistemas de autenticación rígidos donde cada canal implementa la seguridad de forma independiente. Modificar estos marcos resulta enormemente costoso y lento. El enfoque de continuidad de identidad de Daon aborda esto directamente al vincular la identidad de cada persona a través de cada canal, sesión e interacción, manteniendo una garantía de identidad unificada desde el onboarding hasta cada transacción subsiguiente. La plataforma TrustX conecta el proceso de incorporación, la autenticación y la autorización dentro de un marco orquestado, habilitando autenticación basada en riesgo que se ajusta de manera dinámica.

La brecha de capacidades: los errores conceptuales del ecosistema fintech

México cuenta con cerca de mil empresas fintech, un ecosistema que ha crecido a una tasa compuesta anual de 18.4% en los últimos cinco años. DiMo, construido sobre la infraestructura del SPEI, ha alcanzado millones de usuarios en tiempo récord, con la participación activa de los principales bancos del país. Este crecimiento acelerado ha generado una presión particular: la tentación de priorizar la experiencia del usuario sobre la seguridad de la identidad, especialmente cuando la inclusión financiera es un mandato explícito del sector.

Muchas instituciones y fintechs operan bajo un supuesto crítico que los datos contradicen: que una seguridad más robusta daña las tasas de conversión y aleja a usuarios recién incorporados al sistema financiero formal. Esta creencia lleva a implementar mecanismos de autenticación mínimos, asumiendo que el cliente abandonará la transacción si el proceso parece engorroso.

La realidad invierte esta lógica. Una seguridad bien implementada mejora la confianza y la retención. Los clientes que experimentan fraude culpan a la institución que no los protegió, no a sí mismos. En un mercado donde la inclusión financiera es frágil y la confianza institucional se construye lentamente, el fraude es el factor de exclusión más poderoso. La fricción apropiada no aleja clientes; el fraude sí lo hace.

Más allá de esta preocupación, muchas instituciones muestran brechas significativas en su conocimiento de las capacidades de autenticación disponibles. Tecnologías como la verificación de documentos vía NFC o la detección pasiva de vida siguen siendo poco familiares para los equipos de seguridad, llevándolos a recurrir por defecto a soluciones insuficientes como los códigos SMS, que los defraudadores interceptan de manera rutinaria.

La biometría perezosa y la falsa seguridad

La adopción masiva del Face ID y la biometría basada en dispositivos ha creado una trampa de comodidad a nivel del sector. Las instituciones financieras han caído en una complacencia peligrosa, tratando la conveniencia de desbloquear un smartphone como equivalente a verificar la identidad para transacciones de alto valor. Esto representa una falla fundamental de seguridad: la autenticación en el dispositivo confirma que alguien tiene acceso a un aparato previamente autenticado, no que es el titular real de la cuenta.

Para desbloquear el teléfono por la mañana, esta distinción importa poco. Para autorizar una transferencia de 80,000 pesos vía DiMo en cuestión de segundos, importa enormemente. Un teléfono robado con la biometría vulnerada, un dispositivo prestado, o un equipo comprometido crean escenarios donde el acceso al dispositivo no equivale a verificación de identidad. Sin embargo, muchas instituciones continúan arquitectando su seguridad como si estas situaciones no existieran.

En Daon llamamos a esto “biometría perezosa”: la suposición peligrosa de que la conveniencia del dispositivo ofrece seguridad bancaria real. Cuando las instituciones financieras externalizan la garantía de identidad a Apple, Google o Samsung, ceden el control sobre los umbrales de autenticación, los estándares de enrolamiento y la calibración de seguridad. Los fabricantes de dispositivos optimizan para la experiencia del usuario en millones de casos de uso; los bancos necesitan seguridad optimizada específicamente para transacciones financieras donde los falsos positivos tienen consecuencias severas. Trabajando con instituciones financieras en México y toda la región, observamos consistentemente esta brecha entre la confianza depositada en los dispositivos y la verificación real de la identidad del usuario.

Autenticación del lado del servidor: cerrar la brecha entre conocimiento e implementación

Las instituciones financieras entienden que la biometría del lado del servidor ofrece seguridad superior. Trasladar la comparación biométrica de los dispositivos a la infraestructura institucional permite a los bancos controlar los umbrales de autenticación, mantener una verificación agnóstica al dispositivo y calibrar la seguridad según el riesgo de cada transacción, en lugar de depender de los valores predeterminados del fabricante. A pesar de este conocimiento, la mayoría de las instituciones sigue apoyándose en enfoques basados en dispositivos.

La brecha de implementación refleja múltiples barreras: complejidad de integración con sistemas legados, desconocimiento de los requisitos de despliegue e inercia organizacional que favorece las soluciones conocidas. La regulación emitida por la CNBV en junio de 2024, que exige planes formales de prevención de fraude y controles internos reforzados, ofrece un punto de apoyo regulatorio para que las áreas de seguridad justifiquen internamente estas inversiones.

La autenticación del lado del servidor está ganando terreno a medida que las presiones de los pagos instantáneos exponen las limitaciones del enfoque basado en dispositivos. Sin embargo, muchos bancos siguen esperando la presión competitiva o el requerimiento regulatorio antes de actualizar proactivamente su infraestructura. En un entorno donde el fraude crece al 77% anual, esa espera tiene un costo mensurable.

Replantear la seguridad para la era de la velocidad

Los pagos en tiempo real han alterado de forma permanente los requisitos de seguridad bancaria en México. La ventana de liquidación instantánea del SPEI elimina el lujo de la detección diferida de fraudes, mientras que la ausencia de un marco robusto de reembolso hace que una seguridad insuficiente sea financieramente insostenible a mediano plazo.

El imperativo estratégico es claro: las instituciones que tratan la seguridad como iniciativas desconectadas, en lugar de como continuidad de identidad integrada, perderán terreno frente a competidores que comprenden que la infraestructura de autenticación se ha convertido en una ventaja competitiva. En un entorno donde el fraude se completa en segundos y la confianza del usuario se construye en años, la seguridad ya no puede relegarse a los detalles de implementación técnica.

México se encuentra en un punto de inflexión: la transición de una economía predominantemente en efectivo hacia un ecosistema financiero digital está ocurriendo a una velocidad sin precedentes. Las instituciones que definirán la siguiente generación de servicios financieros en el país serán aquellas que inviertan hoy en autenticación real de la identidad, no del dispositivo. La velocidad de las transacciones no va a desacelerarse. La infraestructura de seguridad que las protege tampoco puede hacerlo.

You may also like....
Article
How Fraudsters Use AI to Get Ahead

How Fraudsters Use AI to Get Ahead

AI-powered fraud operates at machine speed with minimal human oversight. Organizations need AI-driven defenses that match attacker velocity.

Show Me
Article
Why Fraud Risk in Super Is Rising Fast

Why Fraud Risk in Super Is Rising Fast

Australia’s $4.5 trillion superannuation industry is facing escalating fraud. Learn why continuous identity verification is critical.

Show Me
Article
How to Effectively Implement Biometric Identity Verification in Your Industry

How to Effectively Implement Biometric Identity Verification in Your Industry

Most biometric implementations fail within months. Explore the strategic approach that succeeds across financial services, healthcare, and telecom.

Show Me
Article
Why Most Organizations Can’t Actually Verify Digital Wallets

Why Most Organizations Can’t Actually Verify Digital Wallets

Most organizations can’t verify digital wallets despite eIDAS 2.0 mandates. Discover how to fix the infrastructure gap.

Show Me
Article
From Snapshots to Storylines: The Value of Continuous Identity in an AI-Driven World

From Snapshots to Storylines: The Value of Continuous Identity in an AI-Driven World

Static identity checkpoints miss AI-powered fraud. Learn how continuous identity monitoring detects evolving threats in real time.

Show Me

Get Daon Insights in your inbox.