El fraude con IA crecerá un 153% en cinco años: la carrera armamentística que las empresas no pueden perder

Por Momentum IA · 29 de junio de 2026.

Las cifras que maneja Juniper Research, citadas por Banco General Costa Rica en un comunicado esta semana, son lo suficientemente contundentes como para exigir atención más allá del boletín corporativo: las pérdidas globales asociadas al fraude bancario impulsado por inteligencia artificial podrían pasar de 23.000 millones de dólares en 2025 a 58.300 millones en 2030. Un incremento del 153% en apenas cinco años. En la región centroamericana y caribeña, el salto ya está ocurriendo: los fraudes basados en contenido sintético —voces, imágenes y vídeos generados por IA— crecieron más de un 1.000% entre 2024 y 2025. Ese no es un ritmo de adopción tecnológica; es una explosión.

El comunicado es, en esencia, una pieza de relaciones públicas de Banco General Costa Rica, firmada por su VPA de Ciberseguridad, Eddy Fortoul. Conviene leerlo con ese filtro: el banco tiene interés en posicionarse como aliado frente al fraude. Pero los datos de base y la taxonomía de amenazas que describe son reales y merecen análisis propio.

El ecosistema del fraude con IA se articula hoy en torno a tres vectores principales. Primero, los deepfakes ejecutivos: vídeos o audios que imitan a directivos o funcionarios bancarios con suficiente fidelidad como para convencer a un colaborador de autorizar una transferencia o entregar credenciales. Segundo, las identidades sintéticas: perfiles construidos combinando datos reales de distintas personas para crear una entidad ficticia capaz de superar controles KYC (Know Your Customer) estándar. Tercero, el phishing hiperpersonalizado: mensajes generados por modelos de lenguaje que ya no contienen los errores gramaticales que servían de señal de alerta, y que replican con precisión el tono, la marca y el contexto de instituciones reales.

Lo que hace especialmente peligrosa esta convergencia es la escala y el coste de entrada. Hasta hace pocos años, montar una operación de fraude sofisticado requería conocimientos técnicos especializados y recursos significativos. Hoy, las herramientas de generación de voz, vídeo e imagen están disponibles por suscripción mensual. El delincuente promedio no necesita ser un ingeniero: necesita acceso a internet y paciencia para afinar el prompt correcto. Las empresas, en cambio, siguen invirtiendo en ciberseguridad a un ritmo lineal mientras la amenaza crece de forma exponencial.

Las recomendaciones del banco —verificación por segundo canal, autenticación multifactor con detección de vida (liveness detection), formación continua del personal y monitoreo de transacciones en tiempo real— son correctas y necesarias, pero reflejan una realidad incómoda: la mayoría de las organizaciones en la región aún no las aplican de forma sistemática. La verificación por segundo canal, por ejemplo, es una práctica sencilla que casi no tiene coste, pero choca con la cultura de la urgencia: los atacantes precisamente fabrican escenarios de presión temporal para cortocircuitar ese paso.

Nuestra lectura es que estamos ante la primera fase de una carrera armamentística asimétrica. Los atacantes innovan en semanas; los sistemas de compliance corporativo evolucionan en trimestres o años. Esa asimetría es el verdadero problema estructural. Las herramientas de detección basadas en IA —análisis de comportamiento biométrico, detección de artefactos en vídeo, modelos de scoring de transacciones en tiempo real— existen y mejoran rápidamente, pero su despliegue masivo en pymes y medianas empresas de Latinoamérica sigue siendo marginal. Son las grandes corporaciones y los bancos los que acceden primero a estas defensas; las empresas más pequeñas, paradójicamente las más vulnerables, quedan expuestas durante más tiempo.

A largo plazo, la propia IA será la solución más potente a las amenazas que hoy crea. Los sistemas de detección de fraude basados en IA mejoran de forma sostenida, y la tendencia es que su capacidad se amplíe. Pero el largo plazo no ayuda a la empresa mediana que mañana recibe un deepfake de su CEO pidiendo una transferencia urgente. La transición —ese período en el que las herramientas ofensivas están democratizadas pero las defensivas todavía no— es exactamente donde nos encontramos, y es el momento más peligroso.

La pregunta del titular —¿podría su empresa detectar un fraude creado con IA?— no es retórica. Para la mayoría, honestamente, la respuesta sigue siendo no.