Prevención del fraude en los pagos: qué funciona y qué es pura farsa.
Dos aplicaciones de pago, la misma amenaza, resultados opuestos. Por un lado, Cash App, cuya empresa matriz fue condenada a pagar 175 millones de dólares a principios de 2025 por su gestión de las reclamaciones de fraude de los clientes. Por otro, PayPal , que movió más de un billón de dólares ese año y aun así mantuvo su tasa de pérdidas cerca del 0,08 % del volumen. Ambas se enfrentan a los mismos estafadores, las mismas tarjetas robadas, los mismos guiones de ingeniería social. Entonces, ¿por qué una terminó en un comunicado de prensa del regulador y la otra en una nota a pie de página de una conferencia telefónica sobre resultados?
La diferencia no radica en el presupuesto, sino en los controles en los que apuesta cada empresa. La mayor parte de lo que se considera prevención del fraude en los pagos es pura fachada: da una imagen tranquilizadora, ocupa un lugar destacado en la pantalla, pero prácticamente no detiene nada. Unos pocos controles son los que realmente funcionan. PayPal y Cash App constituyen un ejemplo perfecto para distinguirlos, ya que en su caso un organismo regulador se encargó de la evaluación. Este es un manual práctico que muestra qué medidas son efectivas y cuáles fracasan discretamente.
¿Qué coste tiene ahora el fraude en los pagos para la economía?
Las cifras principales son tan elevadas que resultan impactantes. Según la Red de Vigilancia del Consumidor de la FTC , los estadounidenses reportaron pérdidas de 12.500 millones de dólares por fraude en 2024, un aumento del 25% en un solo año. El fraude con tarjetas a nivel mundial alcanzó los 33.410 millones de dólares, y Estados Unidos representó aproximadamente el 42% de esas pérdidas, con cerca de una cuarta parte del volumen global de transacciones con tarjeta.
El dato más relevante se esconde tras las cifras totales: dónde se filtra realmente el dinero. Los dos métodos de pago con mayores pérdidas reportadas fueron las transferencias bancarias (2090 millones de dólares) y las criptomonedas (1420 millones de dólares), no las tarjetas. Esto no es casualidad. Estos sistemas se diseñaron para transferir dinero rápidamente, sin mecanismos para recuperarlo. Las redes de tarjetas cuentan con décadas de experiencia en la gestión de disputas. Las transferencias entre cuentas, en cambio, suelen carecer de ellos. El fraude sigue el camino de menor reversibilidad.
| Métrica (última versión) | Cifra | Fuente |
|---|---|---|
| Pérdidas reportadas por fraude en EE. UU., 2024 | 12.500 millones de dólares (+25% interanual) | FTC Consumer Sentel |
| Método de mayor pérdida: transferencias bancarias | 2.090 millones de dólares | FTC, 2024 |
| Pérdidas en criptomonedas | 1.420 millones de dólares | FTC, 2024 |
| Pérdidas globales por fraude con tarjetas, 2024 | 33.410 millones de dólares | Informe Nilson |
| Cuota de Estados Unidos en el fraude mundial con tarjetas | ~42% (sobre ~26% del volumen) | Informe Nilson |
Los tipos más comunes de fraude en pagos, clasificados según quién paga.
Todas las guías sobre fraude ofrecen la misma lista de una docena de tipos de ataques. Es más útil clasificarlos según quién sufre realmente las pérdidas, ya que eso determina si deberías preocuparte. Los tipos comunes de fraude en pagos no reparten las pérdidas por igual.
Las estafas de suplantación de identidad por correo electrónico y de pagos autorizados se sitúan a la cabeza, ya que engañan a la víctima para que envíe dinero por su cuenta, y esta generalmente no puede recuperarlo. UK Finance registró 257,5 millones de libras esterlinas en fraudes de pagos autorizados solo en el primer semestre de 2025, un 12 % más que el año anterior. El robo de cuentas ocupa el siguiente lugar: un estafador accede a una cuenta real y la vacía, lo que significa que el titular legítimo tiene que demostrar que no fue él. El fraude con tarjetas está muy extendido, pero, para los consumidores, suele ser absorbido por el emisor a través de las devoluciones de cargo. Luego está el fraude amistoso, donde un cliente real disputa una compra real; esto genera entre el 75 % y el 79 % de las devoluciones de cargo en el comercio electrónico, y el comerciante paga. Las estafas con deepfakes y clonación de voz son la nueva tendencia, pequeñas en términos monetarios hoy en día, pero en rápido crecimiento. El patrón es simple: cuanto menos reversible sea el método de pago, más recae el fraude sobre la persona menos capaz de absorberlo.
Cash App: un estudio de caso en el ámbito de la prevención del fraude.
Si quieres ver cómo funciona la prevención del fraude a gran escala, fíjate en Cash App. Cuando llegaron los reguladores, tenía alrededor de 56 millones de cuentas activas y una aplicación elegante y fácil de usar. Lo que no tenía era la maquinaria, nada glamurosa, que había detrás de la pantalla: investigaciones reales, una línea telefónica operativa y la más mínima conciencia de que una transferencia no autorizada era responsabilidad de la empresa solucionarlo.
Lo que realmente encontraron los reguladores
En enero de 2025, la Oficina de Protección Financiera del Consumidor (CFPB) ordenó a Block, la empresa matriz de Cash App, pagar 175 millones de dólares: 120 millones para reembolsar a los usuarios perjudicados y una multa de 55 millones . Vale la pena leer la sentencia con detenimiento. La CFPB afirmó que la empresa empleó "prácticas de investigación intencionadamente deficientes" para cerrar denuncias de fraude a su favor. Los clientes que llamaban a la línea de atención al cliente para denunciar fraudes se topaban con un mensaje pregrabado; durante años, no había agentes disponibles para hablar. Ese mismo mes, una coalición de 48 reguladores estatales impuso una multa adicional de 80 millones de dólares por incumplimientos en materia de prevención del blanqueo de capitales. El total de la multa ascendió a aproximadamente 255 millones de dólares. Nada de esto se debió a hackers ingeniosos, sino a una empresa que decidió que contestar el teléfono era opcional.
Por qué las transferencias P2P irreversibles son el fallo estructural
Detrás de la explicación sobre la aplicación de la ley, se esconde una decisión de diseño. Cash App transfiere dinero de una cuenta a otra, como si fuera efectivo. Una vez que se transfiere, no existe una red de tarjetas que pueda revertir la transacción. Esto funciona bien hasta que alguien es engañado o hackeado, y entonces el modelo de "es como efectivo" se convierte en "estás solo". La ley federal (Regulación E) exige que los bancos y las aplicaciones de pago investiguen las transferencias electrónicas no autorizadas y compensen a los usuarios. Lo que me sigue rondando la cabeza es lo común que fue el fallo: no fue una violación de seguridad, sino simplemente la decisión de tratar las transferencias no autorizadas como un problema del cliente. La Oficina de Protección Financiera del Consumidor (CFPB) calificó esa decisión como una infracción.
Cómo funciona realmente la detección de fraudes de PayPal
PayPal es el ejemplo por excelencia de lo que funciona, pero la versión publicitaria es errónea. PayPal no está libre de fraude, y pretender lo contrario oculta la verdadera lección. Sus propios informes muestran pérdidas por transacciones y créditos de 1720 millones de dólares en 2025, un 19 % más que el año anterior. El fraude sigue presente en PayPal. La clave está en lo que suceda después.
Protección del comprador y del vendedor como capa de reversibilidad
PayPal incorporó la reversibilidad en su producto para proteger a ambas partes de una transacción. Las compras elegibles cuentan con la Protección al Comprador, y los vendedores obtienen su propia cobertura, con un proceso de disputas y reclamaciones integrado. Cuando se produce un fraude, el sistema suele reembolsar al comprador o revertir la transacción en lugar de dejarlo desamparado. Esta es precisamente la capa de protección que le faltaba a Cash App. Además, es caro, lento y presenta numerosos casos excepcionales, y PayPal recibe muchas quejas al respecto. Pero "un proceso de disputas frustrante" y "una línea telefónica inoperativa" no son el mismo tipo de fallo.
Evaluación de riesgos mediante aprendizaje automático en el momento de la transacción.
La segunda capa es la detección. PayPal evalúa las transacciones en tiempo real comparándolas con cientos de señales (dispositivo, ubicación, historial, velocidad, comportamiento) para detectar aquellas que parecen sospechosas antes de que se transfiera el dinero. El resultado principal es una tasa de pérdidas que se ha mantenido cerca del 0,08 % del volumen total de pagos, casi un mínimo histórico, incluso cuando las pérdidas absolutas aumentan con la escala. Si se analizan estas dos cifras en conjunto, se obtiene la versión honesta: un mayor volumen implica un mayor volumen de transacciones fraudulentas, pero la evaluación adaptativa mantiene la tasa baja. El sistema no es mágico. Simplemente se mantiene.
Qué funciona: las mejores prácticas para reducir el fraude
Entonces, ¿qué es lo que realmente influye en las cifras? Si dejamos de lado las estrategias de los proveedores, los controles que realmente previenen el fraude son breves y sencillos. Todos comparten una característica: se adaptan o añaden una segunda verificación independiente, en lugar de confiar en un único mecanismo estático.
La autenticación multifactor es el control de alto impacto más económico que existe. Microsoft ha informado que la MFA bloquea más del 99,9 % de los intentos automatizados de compromiso de cuentas, y que casi todas las cuentas comprometidas nunca la habían activado. La puntuación de transacciones mediante aprendizaje automático, la identificación de dispositivos y la biometría conductual detectan patrones que las reglas fijas no logran identificar; un banco informó haber reducido las pérdidas por fraude en aproximadamente un 35 % después de implementar análisis de comportamiento, aunque esta cifra es proporcionada por el proveedor y debe interpretarse como indicativa, no como una verdad absoluta. La autenticación reforzada del cliente mediante 3-D Secure 2 añade un paso de verificación a los pagos con tarjeta; conlleva un coste de fricción (aproximadamente uno de cada cinco intentos de autenticación falla), pero transfiere la responsabilidad y evita una parte importante del uso de tarjetas robadas. Los controles de identificación del cliente durante la incorporación y los límites de velocidad completan la lista.
| Control | Lo que detiene | Evidencia | Veredicto |
|---|---|---|---|
| autenticación multifactor | Toma de control de cuentas | Bloquea más del 99,9 % de los ataques automatizados (Microsoft) | Obras |
| Puntuación de aprendizaje automático/comportamiento | Transacciones anómalas | Tasas de pérdida al estilo PayPal cercanas al 0,08%. | Obras |
| 3-D Secure 2 / SCA | Uso de tarjetas robadas | Cambio de responsabilidad; aproximadamente 1 de cada 5 abandono | Funciona, con fricción |
| Identificación de dispositivos | Estafadores reincidentes | Señal estándar de la industria | Obras |
| KYC en el proceso de incorporación | Identidades sintéticas | Línea de base regulatoria | Obras |
Teatro de la seguridad: protección contra el fraude que falla
Ahora bien, hablemos de los despilfarro presupuestario: los controles que aparentan proteger contra el fraude pero que prácticamente no lo hacen. Las preguntas de seguridad son el peor ejemplo. Las respuestas (el apellido de soltera de tu madre, tu primera mascota) son fáciles de adivinar, se pueden obtener mediante web scraping o se pueden filtrar, y el organismo de normalización estadounidense NIST prohíbe formalmente la autenticación basada en el conocimiento como factor de inicio de sesión válido. No añade una capa de seguridad, sino una falsa.
Los códigos SMS de un solo uso son la siguiente trampa. Se parecen a la autenticación multifactor (MFA), pero dependen de un número de teléfono que un atacante puede robar mediante un intercambio de SIM , que según estudios del sector tiene éxito en el primer intento en aproximadamente el 80 % de los casos; el FBI registró pérdidas por intercambio de SIM de aproximadamente 26 millones de dólares solo en 2024. Además, existen motores estáticos, basados únicamente en reglas, que nunca aprenden, y colas de revisión manual lentas que permiten que el fraude se propague antes de que un humano lo revise. La farsa más costosa de todas es la que nos enseñó Cash App: hacer que las transferencias sean irreversibles por defecto y llamarlo velocidad. Los ingenieros tienden a tratar la reversibilidad como una fricción que deben eliminarse mediante el diseño. Para la víctima, es precisamente el objetivo.
Fraude por apropiación indebida de cuentas: dónde se dividen los modelos
El fraude de apropiación de cuentas es la prueba más clara de todo este argumento, porque ambas empresas se enfrentan al mismo ataque: un delincuente obtiene las credenciales de un usuario real e intenta transferir el dinero. Misma entrada, resultado muy diferente.
En cuanto a la prevención, la respuesta está bien establecida: implementar una autenticación multifactor (MFA) sólida (no códigos SMS), monitorear señales de comportamiento para detectar inicios de sesión que no coincidan con el propietario y limitar la actividad sospechosa. Sin embargo, la prevención siempre presenta algunas deficiencias, y la segunda pregunta es qué sucede cuando esto ocurre. El proceso de reversión y disputa de PayPal ofrece al usuario afectado una vía de recuperación. La postura histórica de Cash App, que consideraba que una transferencia no autorizada era problema del usuario, lo dejó desamparado, lo que precisamente convirtió un incidente de seguridad en un caso de responsabilidad por 175 millones de dólares. El mismo fraude, con un desenlace opuesto, decidido por una política en lugar de por un fragmento de código.
| Frente | PayPal | Cash App (anterior a 2025) |
|---|---|---|
| Modelo de dinero | Reverso de cartón | De cuenta a cuenta, irreversible |
| Cuando el fraude ataca | Protección del comprador/vendedor, proceso de resolución de disputas | Se trata como un problema del usuario. |
| Detección | Evaluación de riesgos de aprendizaje automático en tiempo real | Limitado, priorizando el crecimiento. |
| Soporte contra el fraude | Proceso de reclamaciones (lento pero real) | Línea telefónica muerta durante años |
| Registro reglamentario | Tasa de pérdida de aproximadamente 0,08% revelada en los documentos presentados. | Orden de la CFPB por 175 millones de dólares, multa estatal de 80 millones de dólares |
Cómo responder al fraude después de que ocurra.
La detección es solo la mitad del trabajo; la respuesta es la otra mitad que los reguladores evalúan. Cuando se produce una transferencia no autorizada, el marco legal para las aplicaciones de pago en EE. UU. se rige por la Regulación E: investigar con prontitud y compensar al usuario si la transferencia no fue autorizada. Esto implica una investigación exhaustiva, la disponibilidad de una persona y un plazo límite. La multa de 175 millones de dólares de Cash App no tuvo nada que ver con el hackeo en sí, sino con la forma en que la empresa respondió posteriormente, o se negó a hacerlo. Es fundamental desarrollar una respuesta eficaz, no solo implementar medidas de seguridad.
Tendencias en materia de fraude: hacia dónde se dirige la prevención.
La siguiente fase es una carrera armamentística en la que ambos bandos utilizan la misma arma. La IA generativa impulsa el vector de ataque de mayor crecimiento: Deloitte proyecta que las pérdidas por fraude con IA en EE. UU. pasarán de 12.300 millones de dólares en 2023 a unos 40.000 millones en 2027, y las estafas basadas en deepfakes alcanzarán los miles de millones en 2025, según estimaciones del sector. Esta misma tecnología también impulsa la mejor defensa. El Informe Nilson atribuye a la IA la creación de los modelos de lucha contra el fraude más robustos que ha tenido la industria de las tarjetas. Quien itere más rápido, gana la ronda, razón por la cual las defensas estáticas están condenadas al fracaso y las adaptativas no.
¿Qué significa esto para la prevención del fraude en los pagos?
La lección de PayPal y Cash App no es "invertir más en tecnología". Ambas empresas invirtieron mucho. La clave del éxito es sencilla y poco llamativa: reversibilidad, responsabilidad y unos pocos controles que se adapten en lugar de fingir. El espectáculo es más barato, hasta que un regulador le pone un precio de 175 millones de dólares. Así que compare su propio sistema con la tabla anterior y hágase la única pregunta que importa. Si no puede revertir una transferencia fraudulenta ni atender el teléfono cuando un cliente es víctima de un robo, no tiene prevención de fraude en los pagos. Solo tiene un logotipo.
