Fraude fraccionado y estafas híbridas redefinen el riesgo digital empresarial

El cibercrimen dejó de ser un fenómeno lejano para convertirse en un riesgo operativo cotidiano para gobiernos, bancos, comercios electrónicos y personas usuarias. A las viejas tácticas de fraude se suman ahora ataques automatizados, pagos en tiempo real y campañas cada vez más creíbles, potenciadas por inteligencia artificial. En este escenario, prepararse para 2026 ya no es opcional: es una condición para sostener la confianza y la continuidad de los negocios.

(M&T)- En el espacio de entrevistas de Mercados & Tendencias, René Rodríguez, gerente regional de riesgo transaccional de Banco Davivienda El Salvador, explicó cómo la combinación de inteligencia artificial, ingeniería social y ataques a la cadena de suministro está redefiniendo el mapa de amenazas en la región. Su visión se centra en un punto clave: la seguridad ya no se limita a la infraestructura del banco o de la empresa, sino que abarca a clientes, proveedores y terceros que forman parte del ecosistema digital.

Amenazas que marcarán la ciberseguridad en 2026

Rodríguez advierte que 2026 será una continuidad acelerada de lo que ya se observa en los últimos dos años: fraudes alimentados por IA y técnicas de manipulación psicológica. La llamada “ingeniería social aumentada” combina la capacidad de engaño humano con deepfakes, clonación de voz e imágenes generadas artificialmente, lo que hace que los mensajes fraudulentos sean más creíbles y difíciles de detectar tanto para usuarios como para los propios sistemas.

A este escenario se suma un vector crítico: los ataques a la cadena de suministro, especialmente a proveedores más pequeños que prestan servicios a grandes organizaciones. Según Rodríguez, entre el 80 % y el 90 % de los incidentes recientes en la región han involucrado a un tercero, lo que demuestra que, aunque las empresas inviertan en robustecer su infraestructura, los eslabones débiles suelen estar fuera de su perímetro tradicional.

En ese contexto, el experto identifica tres tendencias de riesgo que seguirán ganando fuerza:

• Ingeniería social aumentada con IA: uso de mensajes, llamadas, voces clonadas y sitios falsos cada vez más convincentes.

• Ataques a terceros y proveedores: uso de empresas pequeñas o subcontratistas como puerta de entrada hacia organizaciones más grandes.

• Robo de identidad y control de cuentas (account takeover): apropiación silenciosa de credenciales para operar cuentas, tarjetas o apps como si fuera el usuario legítimo.

Tecnologías, sectores más expuestos y respuesta empresarial

Frente a estas amenazas, Rodríguez plantea que los viejos elementos de seguridad (firewalls, antivirus, EDR o XDR) siguen siendo necesarios, pero se han vuelto “higiénicos”, es decir, insuficientes por sí solos. Para elevar la resiliencia, las organizaciones deberán reforzar dos frentes: la gestión de identidades y accesos y la defensa automatizada. Esto implica múltiple factor de autenticación, biometría, controles diferenciados para empleados remotos, clientes y proveedores, así como plataformas de monitoreo que integren inteligencia artificial y capacidades de orquestación y respuesta automática (SOAR) para procesar miles de eventos en tiempo real sin depender únicamente del ojo humano.

El especialista también pone sobre la mesa un desafío de mediano plazo: la criptografía post-cuántica. A medida que la computación cuántica se consolida, los algoritmos de cifrado actuales pueden volverse vulnerables. Aunque todavía no se trata de una urgencia inmediata, Rodríguez considera que las organizaciones deben empezar a revisar sus certificados digitales y llaves criptográficas, incorporando requisitos que los hagan más resistentes a ataques futuros.

En cuanto a los sectores más expuestos en Centroamérica, identifica tres grupos principales: gobierno y sector público, que ya han enfrentado incidentes de ransomware y filtraciones de datos; el sistema financiero en sentido amplio (banca, cooperativas, fondos de pensiones, gestoras de inversión); y el retail que opera vía comercio electrónico, donde el crecimiento acelerado de compras en línea ha multiplicado la superficie de ataque. En todos los casos, el reto no es frenar la digitalización, sino entender el riesgo para gestionarlo de forma proactiva.

El comportamiento de los ciberdelincuentes también está cambiando. En lugar de grandes golpes visibles, predomina ahora el “fraude fraccionado”, con cargos pequeños que buscan pasar “bajo radar” entre miles de transacciones. A esto se suman las “estafas híbridas”, que combinan mensajes de texto, enlaces maliciosos y llamadas telefónicas con guiones cuidadosamente diseñados para ganar la confianza de la víctima. La industria criminal, subraya Rodríguez, funciona como un negocio altamente rentable, que aprende y se adapta a cada respuesta defensiva.

Desde la perspectiva institucional, explica que entidades como Davivienda han optado por un enfoque de “múltiples capas de protección”. Esto incluye controles desde el análisis del dispositivo y la geolocalización, hasta el uso de OTP, aplicaciones de autenticación y modelos de análisis predictivo que identifican patrones de comportamiento habituales y activan alertas cuando se detectan operaciones atípicas. La meta es equilibrar usabilidad y seguridad, ofreciendo procesos ágiles para el usuario, pero respaldados por una vigilancia constante en segundo plano.

Un bloque fundamental de la conversación fue la educación del cliente y de las familias, entendida como el último eslabón (y muchas veces el más vulnerable) de la cadena de seguridad. Rodríguez insistió en que no se trata de generar paranoia, sino de conocer el riesgo y asumir hábitos digitales básicos que reduzcan las oportunidades de fraude. Entre las recomendaciones que el experto destaca se incluyen:

• Mantener siempre el control físico de la tarjeta y priorizar pagos sin contacto en terminales confiables.

• Comprar solo en comercios electrónicos de prestigio, evitando sitios desconocidos o sospechosamente baratos.

• Actualizar con frecuencia el sistema operativo y las aplicaciones de los dispositivos utilizados para banca en línea o pagos digitales.

• Acceder a la banca web únicamente desde enlaces escritos a mano y guardados en favoritos, en lugar de seguir vínculos recibidos por correo, SMS o redes sociales.

• No compartir contraseñas ni PIN, ni anotarlos en lugares visibles como la funda del teléfono o la billetera.

• Tener siempre a la mano el número de emergencia del banco para bloquear tarjetas o cuentas de inmediato ante cualquier duda.

El entrevistado subrayó además la importancia de incluir a niñas, niños y adolescentes en la conversación sobre ciberseguridad, dado que pasan buena parte de su tiempo en teléfonos y tabletas. Enseñarles a reconocer mensajes sospechosos, limitar los contactos en redes y evitar “clics impulsivos” es, a su juicio, una extensión natural de la educación financiera y digital en los hogares.

De cara a 2026, el mensaje de Rodríguez es claro: la protección digital se consolidará como un componente esencial de la estrategia empresarial y de la vida cotidiana. La combinación de anticipación, innovación tecnológica y cultura de prevención será determinante para enfrentar un entorno donde la inmediatez de los servicios convive con amenazas cada vez más sofisticadas. En ese camino, la cooperación entre instituciones, reguladores, empresas y usuarios será clave para que la región avance hacia un ecosistema digital más seguro.

Puede ver la entrevista completa a continuación: