En los primeros nueve meses de 2025, el Buró de Entidades Financieras registró casi 3.82 millones de reclamaciones por presunto fraude bancario en México. Eso equivale a 13,995 quejas al día. No es un problema de nicho ni de usuarios descuidados: es una industria criminal organizada, tecnológicamente equipada y que evoluciona más rápido que los controles de seguridad de los propios bancos.
Lo que hace 2026 diferente no es la cantidad. Es la sofisticación. Los delincuentes ya no necesitan hackear servidores. Les basta con hackear la confianza del usuario. Y para eso, ahora tienen inteligencia artificial.
El fraude que más dinero mueve: el vishing evolucionado
El vishing —llamadas telefónicas en las que alguien se hace pasar por ejecutivo bancario— lleva años entre nosotros. Lo que cambió es que en 2026 ya no suena como una llamada sospechosa. Suena exactamente como tu banco.
Según David Herrerías, director de prevención de fraudes de HSBC México, el vishing sigue siendo el fraude financiero más frecuente en el país. Pero el método mutó: ahora los delincuentes utilizan inteligencia artificial para clonar voces con apenas tres segundos de audio. Tu banco puede llamarte con una voz que replica la de un ejecutivo real, con datos reales sobre tu cuenta —obtenidos de filtraciones previas— y con un guión diseñado para crear urgencia.
El patrón es siempre el mismo: hay un movimiento sospechoso en tu cuenta, necesitas actuar ahora, y para cancelarlo tienes que confirmar un código que te acaban de enviar por SMS. Ese código es tu doble factor de autenticación. Y en el momento en que lo dices, ya no tienes acceso a tu dinero.
Al cierre de 2025 se registraron 7 millones 235 mil 597 reclamaciones contra los bancos, de las cuales 7 de cada 10 son atribuibles a un posible fraude. La mayoría de esos casos comienza con una llamada que el usuario creyó legítima.
SIM Swap: cuando roban tu número de teléfono para vaciarte la cuenta
Este es el método más subestimado y uno de los más efectivos. El SIM swap consiste en convencer a tu operadora telefónica —o corromper a un empleado de la misma— para que transfiera tu número de celular a una SIM que controlan los delincuentes. A partir de ese momento, todos tus mensajes, incluyendo los códigos de verificación que envía tu banco, llegan al teléfono del atacante.
No requiere que hagas clic en ningún enlace. No requiere que respondas ninguna llamada. Solo necesitan tu nombre completo, tu número y, en muchos casos, información básica que ya está disponible en redes sociales o fue robada en alguna de las múltiples filtraciones de datos que ocurren en México cada año.
Según cifras de la CONDUSEF, el 71% de los fraudes financieros ya ocurre en canales digitales como pagos móviles, e-commerce y banca en línea, frente al 59% registrado en 2018. El SIM swap es la puerta de entrada más silenciosa a ese 71%.
Las apps montadeudas: préstamos que se convierten en extorsión
El Gobierno de México emitió alertas formales en abril de 2026 sobre una modalidad que combina fraude financiero y crimen organizado: las apps montadeudas. La mecánica es aparentemente simple. Una aplicación —descargada de tiendas oficiales, con calificaciones infladas artificialmente— ofrece préstamos rápidos sin revisión de buró. El usuario acepta, y al hacerlo otorga permisos de acceso a sus contactos, fotos y mensajes.
Lo que viene después no es un préstamo. Es una trampa. De acuerdo con una encuesta de Kardmatch, tres de cada diez usuarios en México que solicitaron un préstamo por medio de una aplicación financiera fueron víctimas de fraude. El 28% detectó que la app era fraudulenta, rechazó el préstamo, pero aun así recibió un depósito.
Una vez que el dinero llega sin pedirlo, comienza la presión: la deuda se multiplica con tasas ilegales, y si el usuario no paga, los delincuentes amenazan con enviar mensajes a todos sus contactos con información privada o imágenes robadas del teléfono. Es extorsión digital industrializada. Y opera desde tiendas de aplicaciones que no hacen las verificaciones que deberían.
Deepfakes bancarios y el fraude biométrico
Esta es la frontera más perturbadora de 2026. Más de la mitad de los ataques buscan burlar sistemas de verificación biométrica con fotos, videos o deepfakes para tomar control de cuentas. Los bancos mexicanos migraron hacia autenticación facial precisamente para eliminar la dependencia de contraseñas. Los delincuentes respondieron creando rostros sintéticos capaces de engañar esos sistemas.
La Policía Cibernética de la Secretaría de Seguridad Ciudadana de la Ciudad de México advirtió en 2025 sobre el aumento de plataformas falsas de inversión que usan materiales generados por IA: testimonios inventados, videos con figuras públicas que nunca dieron esas declaraciones y gráficas de rendimientos que no existen. El usuario promedio no tiene forma de distinguirlos a simple vista.
Lo que los bancos no están haciendo lo suficientemente bien
Aquí está la parte que incomoda y que pocas publicaciones se atreven a decir con claridad: la infraestructura de seguridad de la banca mexicana sigue siendo reactiva, no preventiva. El impacto económico de los fraudes en los primeros nueve meses de 2025 ascendió a 16,678 millones de pesos. Esa cifra no es solo el costo para los usuarios. Es también el costo de sistemas que detectan el fraude después de que ocurrió, no antes.
Cuando BBVA cae un lunes a mediodía y su respuesta oficial es sugerirle al usuario que intente conectarse más tarde, o cuando Banamex confirma una intermitencia general sin dar tiempos de restauración, no solo hay un problema de infraestructura técnica. Hay un problema de cultura institucional frente al riesgo del cliente.
Cómo protegerte hoy, sin esperar a que el banco lo haga por ti
- Ningún banco te pedirá jamás un código de verificación por teléfono. Si alguien lo hace, cuelga y llama tú directamente al número oficial de tu institución. El código de seguridad es tuyo y solo tuyo.
- Activa el doble factor de autenticación mediante una app generadora de códigos, no por SMS. El SIM swap no funciona si tus códigos de verificación no dependen de tu número telefónico.
- Antes de descargar cualquier app financiera, verifica que esté registrada en el SIPRES de la CONDUSEF en condusef.gob.mx. Una app que no aparece ahí no existe legalmente en México.
- Revisa los permisos que solicita cada aplicación al instalarse. Una app de préstamos que pide acceso a tus contactos, fotos y micrófono no necesita eso para prestarte dinero. Lo necesita para extorsionarte.
- Si fuiste víctima, actúa en las primeras horas. Bloquea tus tarjetas desde la app o por teléfono, presenta la reclamación ante tu banco con número de folio, y si no resuelven, escala a la CONDUSEF al 800 999 8080. La resolución favorable al usuario existe, pero requiere que el usuario la exija.
El fraude bancario en México no es mala suerte. Es una industria con estrategia, tecnología y capital. La única forma de combatirla es entender cómo opera. Porque el siguiente objetivo no tiene perfil específico: tiene una app bancaria instalada en el celular y cree que eso solo le pasa a otros.
Fuentes: CONDUSEF, Buró de Entidades Financieras, HSBC México, Secretaría de Seguridad Ciudadana CDMX, Nubank México, Kardmatch. Si detectas un fraude o actividad sospechosa, repórtalo a la CONDUSEF: condusef.gob.mx o al 800 999 8080.