Para Visa y su rival Mastercard, combatir la explosión de intentos de fraude es tanto un gasto enorme como una oportunidad de negocio.

El Centro de Ciberseguridad de Visa en Ashburn, Virginia, es tan seguro que incluso Michael Jabbara, jefe global de servicios antifraude de la red de tarjetas con sede en San Francisco, tiene problemas para pasar por su doble puerta de acceso. Con un reportero de Forbes acompañándolo, escanea su gafete para abrir la primera puerta, un sensor emite un pitido, pero no se desbloquea. Finalmente, con ayuda del equipo de seguridad, logran atravesar ambas puertas (la segunda requiere huella digital además del gafete) y entran al Centro de Fusión Cibernética, que está en el corazón de un campus cerrado de 17 hectáreas. Si entras a este complejo de Visa sin autorización, podrías terminar en una laguna de drenaje: un moderno foso de protección.

Dentro del centro, los analistas monitorean una gran pantalla que muestra diversos datos sobre cómo se están procesando globalmente los 310.000 millones de transacciones de Visa en 2024, valoradas en 15,9 billones de dólares, y en qué lugares hay mayor actividad sospechosa. “Muchos de los ataques sospechosos se manejan de forma automatizada, pero ciertos incidentes requieren intervención humana y entonces se siguen protocolos estandarizados”, explica Jabbara.

Con su gafete funcionando, Jabbara nos conduce a través de otra puerta de seguridad hacia la Situation Room, donde una pantalla muestra más gráficas, listas y un flujo de noticias. En esa sala, los empleados vigilan amenazas dirigidas a los clientes de Visa: 14.500 instituciones financieras en más de 200 países, todas parte de la red de tarjetas de crédito más grande del mundo. Jabbara señala una gráfica que muestra un ataque de fuerza bruta en curso, en el que estafadores bombardean a vendedores con miles de intentos para adivinar un número de tarjeta, fecha de expiración y código CVV que funcionen juntos. “Nuestro objetivo es detectar ataques a gran escala que puedan generar pérdidas catastróficas o dañar la confianza del consumidor”, dice.

En el área contigua hay otra sala de reuniones donde opera una unidad adicional de Visa: los trabajadores de esta monitorean la ciberseguridad de las operaciones internas de la red de Visa. “Algo que nos ha beneficiado mucho es esta colaboración cercana entre ciberseguridad y fraude, porque las amenazas son comunes, y los actores también”, comenta Jabbara. Esto es especialmente cierto, dice, a medida que los grupos de fraude se vuelven más sofisticados y los Estados-nación participan tanto en ataques cibernéticos como en fraudes.

Aunque aún es media mañana en Virginia, al llegar la noche, este centro se vacía y las actividades son asumidas por los centros de seguridad de Visa en Londres, Bangalore y Singapur. En total, Visa cuenta con más de 1.000 empleados dedicados a riesgo y seguridad a nivel mundial, y asegura haber invertido 11.000 millones de dólares en tecnología antifraude en los últimos cinco años. Al mismo tiempo, ha creado un negocio paralelo vendiendo la experiencia en detección de fraude que ha desarrollado: cerca de 1.500 millones de dólares de los 35.900 millones de dólares en ingresos de Visa en 2024 provinieron de la venta de servicios de riesgo y seguridad.

Tanto el fraude como su prevención son grandes negocios, con la inteligencia artificial impulsando el crecimiento de ambos lados. Durante el Cyber Monday de noviembre pasado, Visa reportó un aumento del 85% interanual en intentos de fraude, y un asombroso incremento del 200% durante el primer fin de semana oficial de compras navideñas; incrementos que atribuye en gran medida al uso de IA.

La palabra “intentos” es clave, ya que la mayoría son frustrados, señala Steve Yin, jefe global de fraude en TransUnion. (Esta gran agencia de crédito obtuvo 7% de sus US$4.400 millones en ingresos de 2024 vendiendo software de prevención de fraude). TransUnion estima que el 5,2% de todas las transacciones digitales intentadas en la primera mitad de 2024 involucraron sospechas de fraude, aunque la gran mayoría fue bloqueada.

Aun así, el costo del fraude exitoso sigue creciendo, aunque a un ritmo mucho menor que los intentos. Juniper Research estima que los estafadores del comercio electrónico se apropiaron de 44.000 millones de dólares en 2024 y que ese número llegará a 107.000 millones de dólares para 2029, con una tasa de crecimiento anual compuesta del 19,5%. “Es una carrera armamentista constante”, observa Nick Maynard, vicepresidente de investigación de mercado fintech en Juniper.

Del lado de los estafadores, la IA les permite lanzar ataques más frecuentes y sofisticados de diversas maneras. Pueden, entre otras cosas, hacerse pasar por personas mediante deepfakes; lanzar ataques masivos para detectar vulnerabilidades; usar bots para navegar sitios web y extraer información; y generar correos electrónicos más creíbles que llevan a las víctimas a entregar datos sensibles.

Los defensores dependen igual o más de la IA. Visa utiliza actualmente 115 herramientas de ciberseguridad que recolectan y analizan inteligencia de más de 300 fuentes, según Subra Kumaraswamy, jefe de seguridad de la información de la empresa. Algunas de esas herramientas han sido desarrolladas por Visa, incluyendo una plataforma de análisis de comportamiento y otra de inteligencia de amenazas. También colabora con proveedores de herramientas de ciberseguridad como Microsoft, Thales, IBM, Zscaler, Cloudflare, Checkpoint y Palo Alto Networks.

Lea también: Elon Musk dice que xAI ha comprado X, antes conocida como Twitter, por 33.000 millones de dólares

Dado que las empresas usan simultáneamente muchas herramientas antifraude y siempre surgen nuevas variantes por enfrentar, el negocio de prevención de fraude también es terreno fértil para startups fintech. Es notable que cinco empresas en la lista Fintech 50 de Forbes 2025 —Alloy, DataVisor, Persona, SentiLink y Zip— ayudan a prevenir fraudes financieros, cada una con su especialidad. DataVisor, por ejemplo, emplea aprendizaje automático “no supervisado” para encontrar correlaciones entre eventos aparentemente no relacionados, que podrían representar nuevas redes o métodos de fraude. Sentilink, que se destacó por combatir el fraude de identidad sintética (cuando los estafadores combinan números reales de la Seguridad Social con nombres falsos), recientemente desarrolló una herramienta para detectar abuso de identidad asumida, una nueva variante donde los estafadores explotan identidades reales de personas que ingresaron a EE. UU. con visas temporales y luego salieron del país. (Identidades sintéticas y otras falsas se usan, entre otras cosas, para obtener tarjetas de crédito, préstamos personales o vehiculares y abrir cuentas bancarias involucradas en esquemas fraudulentos.)

Visa no es la única red grande de tarjetas que ve el fraude como una amenaza y a la vez una oportunidad de negocio. En diciembre, Mastercard, la segunda red más grande, completó la adquisición de Recorded Future por 2.650 millones de dólares. Esta empresa de ciberseguridad basada en IA tiene 1.900 clientes en 50 países y genera ingresos anuales de 300 millones de dólares. El año pasado, antes de que se anunciara ese acuerdo, Mastercard lanzó un servicio con Recorded Future que alerta más rápido a los bancos cuando una tarjeta probablemente ha sido comprometida. Según Mastercard, esta alianza ha duplicado la cantidad de tarjetas posiblemente comprometidas identificadas. (Mastercard no revela cuánto de sus US$28.000 millones en ingresos de 2024 provino de la venta de servicios de seguridad.)

Dentro de su propia red, Mastercard ha estado usando IA para prevenir fraudes desde hace más de una década, señala Ranjita Iyer, vicepresidenta ejecutiva de Servicios para América del Norte. Al igual que Visa, monitorea transacciones en toda su red usando IA para detectar actividad sospechosa. Recientemente, afirma, han comenzado a usar IA generativa para predecir cómo deberían lucir las ventas de un comercio específico en determinado momento. Eso les permite alertar a los comercios si los patrones reales se desvían de lo esperado, una posible señal de fraude.

El año pasado, Mastercard también empezó a vender a los bancos una versión mejorada de su sistema Decision Intelligence Pro, que usa IA para analizar y producir una puntuación de riesgo para cada transacción en tiempo real (menos de 50 milisegundos), basada en factores como la compra, el comerciante y el titular de la tarjeta. La promesa es que no solo detectará más fraudes, sino que también reducirá los falsos positivos, lo que evitará bloquear transacciones legítimas.

A pesar de todos los sistemas basados en inteligencia artificial que combaten el fraude, el comportamiento humano sigue siendo clave tanto para permitir como para detener las estafas. “Si estás protegiendo los datos, si estás protegiendo la infraestructura, ¿cuál es el eslabón más débil? El consumidor”, afirma Michael Jabbara, de Visa. “No hay un parche que podamos enviarle al consumidor para que tenga más conciencia sobre seguridad. Por eso has visto esta proliferación masiva de ataques de ingeniería social, estafas por correo, phishing, todo eso.” En una encuesta de TransUnion realizada a adultos en 18 países, el 49% dijo haber sido blanco de correos electrónicos, mensajes en línea, llamadas telefónicas o mensajes de texto durante el segundo trimestre de 2024.

Una modalidad de phishing que va en aumento son los mensajes falsos de cancelación: correos o textos que dicen al usuario que una compra o reserva será cancelada a menos que inicie sesión a través de un enlace incluido. Por supuesto, si lo hace, sus credenciales de acceso son robadas.

A comienzos de este mes, cuando Visa anunció su nueva “práctica de interrupción de estafas” —un equipo que incluye exagentes de la ley, desarrolladores de IA y expertos en visualización de datos—, Jabbara ofreció un ejemplo revelador del tipo de estafas que el grupo está enfrentando. Los estafadores enviaban un enlace de phishing desde un sitio de citas que simulaba ser una página de verificación de identidad. Pero quienes hacían clic quedaban inscritos involuntariamente en un plan de cobro mensual que nunca habían autorizado. El equipo usó los datos recopilados para identificar a otros actores que operaban de forma similar, y descubrió a 12.000 “comerciantes” involucrados en el mismo tipo de engaño.

La rápida expansión de esa variante es evidencia de otro fenómeno preocupante: el fraude como servicio. Así como Visa y Mastercard venden su experiencia antifraude a terceros, los estafadores también venden sus esquemas a otros delincuentes. “Son personas muy inteligentes y muy creativas”, comenta Steve Yin.

“Es una batalla constante”, dice Yin, quien confía en que la industria de prevención del fraude podrá desarrollar nuevas estrategias para mantener a raya a los delincuentes. Una de las áreas en las que TransUnion está trabajando con sus clientes es en introducir más “fricción” en las transacciones instantáneas actuales —pasos adicionales que no molesten tanto al consumidor legítimo como para espantarlo, pero que sí puedan disuadir a los estafadores. Los consumidores, dice con optimismo, “aceptarán esa fricción si creen y entienden que en realidad los está ayudando a reducir las probabilidades de convertirse en víctimas de fraude”.

Este artículo fue publicado originalmente en Forbes US