5 tendencias de fraude en pagos digitales para 2025 según Visa

El panorama de la seguridad financiera global está atravesando su transformación más radical en la última década. A medida que nos adentramos en la temporada de fiestas de fin de año, un momento crítico para el comercio electrónico mundial, Visa ha encendido las alarmas con la publicación de su Informe Bianual de Amenazas – otoño 2025.

Este documento no es un simple reporte estadístico; es una radiografía de cómo el crimen organizado ha dejado de ser un asunto de hackers solitarios para convertirse en una industria tecnológica paralela. El equipo de Riesgo y Control del Ecosistema de Pagos (PERC) de Visa ha identificado cinco fuerzas transformadoras que están redefiniendo las reglas del juego. A continuación, desglosamos en profundidad cada una de estas tendencias y lo que significan para consumidores, comercios y entidades financieras.

La industrialización del fraude: el crimen como servicio

La primera y quizás más inquietante revelación del informe es el cambio de paradigma operativo. Paul Fabara, líder global de Riesgos y Servicios al Cliente de Visa, lo describe con precisión quirúrgica: «Los criminales ya no actúan como individuos oportunistas; ahora operan como startups tecnológicas».

Esto significa que los grupos delictivos han adoptado metodologías ágiles y escalables. Ya no construyen un ataque desde cero para cada víctima. En su lugar, han desarrollado una infraestructura reutilizable que incluye:

• Botnets masivas: Redes de dispositivos infectados listas para lanzar ataques de denegación de servicio o credential stuffing.
• Identidades sintéticas: Perfiles falsos construidos con fragmentos de datos reales y ficticios, difíciles de detectar por los sistemas KYC (Know Your Customer) tradicionales.
• Guiones de estafa con IA: Scripts automatizados que adaptan el discurso de ingeniería social en tiempo real.

Esta «industrialización» permite desplegar ataques simultáneos contra múltiples objetivos con la eficiencia de una empresa de software legítima, reduciendo costos y maximizando el retorno de inversión criminal.

El manual de monetización de doble velocidad

La segunda fuerza identificada es la sofisticación en la estrategia de monetización. Los atacantes han aprendido que la paciencia es rentable. Operan bajo un modelo de «doble velocidad»:

1. Fase Lenta: Acumulan credenciales robadas y accesos de manera silenciosa y deliberada. Permanecen latentes en los sistemas para evadir la detección de anomalías, moviéndose lateralmente dentro de las redes corporativas.
2. Fase Rápida: Una vez que tienen una masa crítica de accesos o detectan una oportunidad (como el alto volumen transaccional de Navidad), ejecutan el ataque de extracción de fondos o datos de manera masiva e instantánea.

Esta metodología desafía los sistemas de defensa tradicionales, que suelen estar calibrados para detectar picos repentinos de actividad y no comportamientos «lentos y bajos» (low and slow).

La crisis de autenticidad y el auge de los deepfakes

Vivimos en una era donde «ver para creer» ya no es suficiente. La proliferación de la inteligencia artificial generativa ha creado una crisis de autenticidad sin precedentes. Las técnicas de suplantación de identidad han evolucionado desde correos de phishing con errores ortográficos a:

• Deepfakes de audio y video: Utilizados para engañar a ejecutivos financieros y autorizar transferencias millonarias.
• Documentación sintética: Creación de documentos de identidad falsos indistinguibles de los reales para abrir cuentas bancarias fraudulentas.

Este entorno obliga al ecosistema de pagos a repensar cómo verifica que una transacción o comunicación es legítima. La confianza digital, que es la moneda base del comercio electrónico, está bajo asedio, requiriendo nuevas capas de verificación biométrica y conductual.

El problema de la erosión de controles heredados

Los mecanismos de defensa que funcionaron en 2020 son obsoletos en 2025. El informe de Visa destaca cómo los controles de seguridad tradicionales están siendo sistemáticamente eludidos.

Los delincuentes realizan pruebas A/B constantes contra los firewalls, sistemas de detección de intrusos y pasarelas de pago. Identifican brechas en el software heredado (legacy) que muchas instituciones financieras aún utilizan. Esta «erosión» no es un fallo repentino, sino un desgaste progresivo causado por la falta de actualización y adaptación de las estrategias defensivas ante nuevas tácticas de ataque.

La brecha de vulnerabilidad de terceros

En un ecosistema interconectado, una cadena es tan fuerte como su eslabón más débil. La quinta fuerza transformadora es el riesgo en cascada proveniente de proveedores externos.

El equipo PERC de Visa reportó un dato alarmante: un aumento del 41% en incidentes de ransomware que afectaron a entidades del ecosistema de pagos entre enero y junio de 2025. A menudo, el objetivo inicial no es el banco principal, sino un proveedor de servicios de TI, una pasarela de pago secundaria o un procesador de nómina.

Además, se registró un incremento del 173% en la distribución de cuentas comprometidas en sistemas de gestión de cuentas (CAMS). Esto subraya que la seguridad perimetral de una empresa ya no es suficiente; se requiere una auditoría constante de la seguridad de todos los socios y proveedores conectados a la red.

El papel de la inteligencia artificial y el comercio agéntico

Carlos Zavala, gerente general de Visa para la Región Andina, señala una paradoja importante: «Nuestra región está preparada para adoptar nuevos avances, como el comercio habilitado por IA… sin embargo, este tipo de innovaciones también traen consigo nuevos riesgos».

El informe profundiza en el concepto de «comercio agéntico», donde agentes de IA realizan compras y transacciones en nombre de los usuarios. Si bien esto promete una comodidad inigualable, también abre vectores de ataque donde los criminales podrían secuestrar o engañar a estos agentes autónomos para desviar fondos o realizar compras no autorizadas.

La respuesta de la industria: colaboración y tecnología

Frente a este panorama, la respuesta no puede ser individual. Visa ha invertido más de 13 mil millones de dólares en los últimos cinco años en tecnología e infraestructura de seguridad. Pero la tecnología por sí sola no basta.

La estrategia de defensa para 2026 debe basarse en tres pilares:

1. Intercambio de inteligencia: Compartir datos sobre amenazas en tiempo real entre competidores y socios para bloquear ataques a nivel de red global.
2. Análisis avanzados: Utilizar la misma IA que usan los atacantes para predecir y neutralizar fraudes antes de que ocurran.
3. Defensa colaborativa: Entender que la seguridad de un comercio pequeño afecta la integridad de todo el sistema financiero.

Para los consumidores y empresarios en Colombia y Latinoamérica, el mensaje es claro: la vigilancia debe ser constante. Adoptar tecnologías de autenticación robusta (como la biometría y las llaves de seguridad físicas) y mantener una postura de «cero confianza» (Zero Trust) ante comunicaciones no solicitadas es vital para navegar seguros en esta nueva era del fraude industrializado.

Imagen de Freepik