El Centro de Ciberfusión de isa en Ashburn, Virginia, es tan seguro que Michael Jabbara, director global de servicios antifraude de la red de tarjetas de crédito con sede en San Francisco, tiene dificultades para atravesar su doble puerta. Acompañado por un periodista de Forbes, escanea su credencial para pasar por la primera puerta; un sensor emite un pitido, pero no se desbloquea. Finalmente, con la ayuda del equipo de seguridad del lugar, logramos atravesar ambas puertas (la segunda requiere huella dactilar y credencial) y acceder al Centro de Ciberfusión, ubicado en el corazón de un campus seguro de 17 hectáreas. Si entras en este complejo de Visa sin la autorización del personal de seguridad que vigila la puerta, podrías acabar en un estanque de drenaje, un foso protector moderno.
Dentro del Fusion Center, los analistas monitorean una gran pantalla que muestra diversos datos que reflejan la fluidez con la que se procesa la avalancha de transacciones de Visa —unos 310 mil millones por un valor de 15,9 billones de dólares en 2024— en todo el mundo, y dónde se registra un alto nivel de actividad sospechosa. «Muchos ataques sospechosos se gestionan de forma automatizada, pero hay ciertos incidentes que requieren intervención humana y se gestionan mediante un plan de acción coherente», explica Jabbara.
Con su credencial funcionando, Jabbara nos guía a través de otro conjunto de puertas seguras hacia la Sala de Situación, donde una gran pantalla muestra más gráficos y listas, además de noticias. En esta sala, los empleados observan las amenazas contra los clientes de Visa: las 14.500 instituciones financieras en más de 200 países que forman parte de la red de tarjetas de crédito más grande del mundo. Jabbara señala un gráfico que muestra un ataque de fuerza bruta en curso en el que los estafadores bombardean a los proveedores con miles de intentos para obtener un número de cuenta, una fecha de vencimiento y un código CVV de tres dígitos que funcionará en conjunto. «Nuestro objetivo es asegurarnos de detectar ataques a gran escala que podrían resultar en pérdidas catastróficas o en la pérdida de la confianza del consumidor», afirma.
Dentro de la Sala de Situación hay otra sala de conferencias más pequeña que alberga otra unidad de Visa; los trabajadores de esta supervisan la ciberseguridad de las operaciones de red de Visa. «Uno de los aspectos que realmente nos ha beneficiado es la estrecha colaboración entre ciberseguridad y fraude, porque las amenazas son comunes, los actores son comunes», afirma Jabbara. Esto es especialmente cierto, añade, a medida que las redes de fraude se han vuelto más sofisticadas y los estados-nación están más involucrados en fraudes y ciberataques.
Es tarde en Virginia, pero al caer la noche, este centro se vaciará y los centros de seguridad de Visa en Londres, Bangalore y Singapur gestionarán la mayor parte de la actividad. En total, Visa cuenta ahora con más de 1000 empleados en todo el mundo dedicados a la gestión de riesgos y seguridad, y afirma haber invertido 11 000 millones de dólares en tecnología antifraude en los últimos cinco años. Al mismo tiempo, ha estado desarrollando un negocio paralelo que vende la experiencia en la lucha contra el fraude que ha tenido que desarrollar: unos 1500 millones de dólares de los 35 900 millones de dólares de ingresos de Visa en 2024 provinieron de la venta de servicios de gestión de riesgos y seguridad.
Tanto el fraude como la lucha contra el fraude son grandes negocios, y la inteligencia artificial impulsa cada vez más el crecimiento en ambos lados. Durante el Cyber Monday de noviembre pasado, Visa reportó un aumento interanual del 85% en los intentos de fraude y un sorprendente aumento del 200% durante el primer fin de semana oficial de compras navideñas, aumentos que atribuye en gran parte a la IA.
La palabra «intentos» es clave, ya que la mayoría se frustran, señala Steve Yin, director global de fraude de TransUnion. (La importante agencia de crédito obtuvo el 7% de sus 4.400 millones de dólares en ingresos de 2024 vendiendo software de prevención del fraude). TransUnion estima que el 5,2% de todos los intentos de transacciones digitales en el primer semestre de 2024 implicaron sospechas de fraude, y la gran mayoría fueron bloqueados.
Aun así, el coste del fraude exitoso está creciendo, aunque a un ritmo mucho menor que el de los intentos. Juniper Research estima que los estafadores de comercio electrónico a nivel mundial se apoderaron de 44 000 millones de dólares en 2024 y desviarán 107 000 millones de dólares para 2029, lo que representa una tasa de crecimiento anual compuesta del 19,5 %. «Es una carrera armamentística constante», observa Nick Maynard, vicepresidente de investigación de mercado de tecnología financiera de Juniper.
Por parte de los estafadores, la IA les ayuda a lanzar ataques más complejos y sofisticados de diversas maneras. Entre otras cosas, pueden suplantar la identidad de personas mediante deepfakes; lanzar ataques masivos para encontrar vulnerabilidades en los sistemas; usar bots para navegar por sitios web y extraer información; y generar correos electrónicos más creíbles que induzcan a las personas a proporcionar información confidencial.
Los protectores dependen igualmente de la IA. Visa ahora utiliza 115 herramientas de ciberseguridad diferentes que recopilan y analizan inteligencia de más de 300 recursos, según informa Subra Kumaraswarmy, directora de Seguridad de la Información de Visa. La compañía ha desarrollado algunas de estas herramientas, incluyendo una plataforma de análisis de comportamiento y su plataforma de fusión de inteligencia de amenazas. También colabora con proveedores de herramientas de ciberseguridad como Microsoft, Thales, IBM, Zscaler, Cloudflare, Checkpoint y Palo Alto Networks.
Dado que las empresas utilizan simultáneamente tantas herramientas antifraude diferentes y que siempre surgen nuevas variantes que combatir, el sector antifraude también es un terreno fértil para las startups fintech. Cabe destacar que cinco empresas de la lista Forbes 2025 Fintech 50 (Alloy, DataVisor, Persona, SentiLink y Zip) ayudan a las empresas a prevenir el fraude financiero, cada una con su propia especialidad. DataVisor, por ejemplo, utiliza lo que se conoce como aprendizaje automático «no supervisado» para encontrar correlaciones en eventos aparentemente no relacionados que podrían representar redes o métodos de fraude no descubiertos previamente. Sentilink , que se destacó inicialmente en la lucha contra el fraude de identidad sintética (en el que los estafadores combinan números de la Seguridad Social reales y nombres falsos), desarrolló recientemente una herramienta para detectar el abuso de identidad falsa, una nueva variante en la que los estafadores explotan identidades reales de personas que ingresaron a EE. UU. con visas temporales y posteriormente se han marchado. (Las identidades sintéticas y otras identidades falsas se utilizan, entre otras cosas, para adquirir tarjetas de crédito, solicitar préstamos para automóviles y personales, y abrir cuentas bancarias utilizadas en esquemas fraudulentos).
Visa no es la única gran red de tarjetas de crédito que considera el fraude no solo una amenaza, sino una oportunidad de negocio. En diciembre, Mastercard, la segunda red más grande, finalizó la adquisición de Recorded Future por 2.650 millones de dólares , una empresa de ciberseguridad con un fuerte enfoque en la inteligencia artificial, con 1.900 clientes en 50 países y 300 millones de dólares en ingresos anuales. El año pasado, antes de que se anunciara dicho acuerdo, Mastercard lanzó un servicio con Recorded Future que busca alertar a los bancos con mayor rapidez cuando es probable que una tarjeta de crédito haya sido comprometida. La alianza, según la empresa, ha duplicado el número de tarjetas potencialmente comprometidas identificadas. (Mastercard no revela qué porcentaje de sus 28.000 millones de dólares en ingresos para 2024 provino de la venta de servicios de seguridad).
Dentro de su propia red, Mastercard lleva más de una década utilizando IA para prevenir el fraude, señala Ranjita Iyer, vicepresidenta ejecutiva de soluciones cibernéticas y de inteligencia. Al igual que Visa, monitoriza las transacciones en toda su red, utilizando IA para detectar actividades sospechosas. Recientemente, añade, ha empezado a utilizar IA generativa para predecir cómo debería ser el negocio de un comerciante en un momento determinado. Esto le permite alertar a los comerciantes si los patrones reales difieren de lo previsto, una posible señal de alerta de fraude.
El año pasado, Mastercard también comenzó a vender a los bancos un sistema Decision Intelligence Pro mejorado que utiliza IA para analizar y generar una puntuación de riesgo para cada transacción individual en tiempo real (en menos de 50 milisegundos), basándose en la compra, el comercio, el titular de la tarjeta y otros factores. La idea es que no solo detectará más fraudes, sino que también generará menos falsos positivos, por lo que se bloquearán menos transacciones legítimas.
A pesar de todos los sistemas basados en IA que combaten el fraude, el comportamiento humano sigue desempeñando un papel clave a la hora de facilitar y detener las estafas. «Si se protegen los datos, si se protege la infraestructura, ¿cuál es el punto más débil? Es el consumidor», afirma Jabbara de Visa. «No hay ninguna solución que podamos enviar a los consumidores para que sean más conscientes de la seguridad. Por eso hemos visto esta proliferación masiva de ataques de ingeniería social, estafas de phishing, etc.» En una encuesta de TransUnion a adultos en 18 países, el 49 % afirmó haber sido blanco de ataques por correo electrónico, en línea, por teléfono o por mensaje de texto durante el segundo trimestre de 2024.
Un esquema de phishing en auge: mensajes falsos de cancelación, es decir, mensajes de texto o correos electrónicos que informan a los usuarios de que algo que han comprado o reservado se cancelará a menos que inicien sesión mediante un enlace incluido. Por supuesto, si lo hacen, les roban sus credenciales de inicio de sesión.
A principios de este mes, cuando Visa anunció una nueva » práctica de disrupción de estafas » (un equipo que incluye a exprofesionales de las fuerzas del orden, así como desarrolladores de IA y expertos en visualización de datos), Jabbara ofreció un ejemplo intrigante del tipo de estafa que el equipo está atacando. Los estafadores enviaban un enlace de phishing desde un sitio web de citas que parecía ser una página de verificación de identidad. Pero quienes hicieron clic fueron inscritos involuntariamente en un plan de facturación mensual al que nunca tuvieron intención de suscribirse. El equipo utilizó los datos obtenidos al descifrar esa estafa para buscar otras que operaran de forma igualmente engañosa y descubrió a 12.000 «comerciantes» involucrados en la estrategia.
La rápida propagación de esta variante evidencia otro desarrollo preocupante: el fraude como servicio. Así como empresas como Visa y Mastercard venden su experiencia antifraude a otras, los estafadores también venden sus nuevos esquemas a otros estafadores. «Son personas muy inteligentes y creativas», observa Yin.
“Es una batalla continua”, afirma Yin, quien confía en la capacidad del sector de la prevención del fraude para idear estrategias que mantengan a raya a los delincuentes. Un área en la que TransUnion está trabajando con sus clientes es la introducción de más fricción en las transacciones instantáneas actuales: pasos adicionales que no molestarán tanto a un cliente legítimo como para ahuyentarlo, pero que pueden disuadir a los estafadores. Los consumidores, afirma con optimismo, “aceptarán la fricción si creen y comprenden que realmente les ayuda a reducir la probabilidad de ser víctimas de fraude”.
