Reporte de Fraude 2026: La crisis de identidad del fraude

La crisis de identidad del fraude afecta tanto a quienes intentan combatirlo como a quienes lo cometen. El fraude siempre ha estado presente en el comercio; lo que ha cambiado es dónde se oculta y cómo se presenta.

Durante la mayor parte de la última década, el modelo operativo de los equipos de riesgo era relativamente sencillo: marcar lo que pareciera desconocido. Dispositivos nuevos, ubicaciones inusuales o credenciales que no coinciden. Esta lógica sigue siendo válida para aquello que los sistemas fueron diseñados originalmente para capturar. Sin embargo, las modalidades de fraude que registran un mayor crecimiento hoy en día no suelen activar estas alertas. Los ataques provienen de cuentas verificadas, dispositivos reconocidos y comportamientos que aprueban cada uno de los filtros de control.

En Adyen procesamos pagos en los entornos comerciales más grandes del mundo. Lo que observamos en estos datos es una transformación en el comportamiento del riesgo. Ahora es automatizado, iterativo y, en muchos casos, indistinguible de la actividad legítima de un cliente, hasta que se analiza bajo la lupa del tiempo y el contexto, en lugar de evaluar únicamente la transacción inmediata.

Hoy en día, los equipos de riesgo se enfrentan a un problema de naturaleza distinta, donde tomar la decisión equivocada tiene un impacto comercial inmediato. Es un desafío que no puede resolverse simplemente endureciendo los controles, sobre todo porque, a menudo, son esos mismos controles los que están siendo explotados.

Necesitamos un enfoque que refleje cómo se comportan la identidad y el riesgo en el mundo real. En lugar de verificar la identidad una sola vez y asumirla como inmutable, debemos entenderla como una señal continua que evoluciona y exige una interpretación constante. Asimismo, los falsos rechazos no son sólo un cuello de botella operativo, sino un costo material que debe tomarse tan en serio como las pérdidas por fraude.

Este reporte examina cómo se está viviendo esta transición: en qué áreas el fraude se ha vuelto más difícil de detectar, por qué las defensas tradicionales no logran mantener el ritmo y qué hacen diferente las organizaciones que gestionan este escenario con éxito. La segunda parte detalla cómo este enfoque se traduce en infraestructura y estrategia.

El fraude no es novedad. Sin embargo, ha dejado de ser un evento visible que ocurre en un solo instante.

Hoy en día, los comportamientos que impulsan el fraude a menudo parecen legítimos al momento de la transacción — como un cliente habitual que utiliza un dispositivo ya reconocido. El patrón puede volverse claro únicamente con el paso del tiempo, a través de diferentes cuentas e interacciones.

El fraude ahora se adapta y opera en un ciclo continuo, donde las tácticas se aplican y se perfeccionan en tiempo real. Lo que funciona se repite y lo que falla se descarta rápidamente.

En lugar de probar un solo enfoque, los defraudadores pueden ejecutar miles de variaciones de forma simultánea, ajustando detalles de identidad, métodos de pago, velocidad en el checkout o montos de transacción para explorar qué logra pasar.

La automatización permite que estos ataques corran de manera ininterrumpida, consolidando lo que funciona y optimizando el flujo en tiempo real. Cada resultado se convierte en retroalimentación; así, las autorizaciones, los rechazos y las actividades posteriores moldean el siguiente intento hasta que este logra burlar los controles de fraude de una empresa.

La automatización y la IA no crean estos patrones por sí solas: los hacen más rápidos, consistentes y escalables.

Al mismo tiempo, la automatización y la IA están transformando el comportamiento del fraude. La IA permite a los defraudadores robustecer identidades sintéticas mediante deepfakes, documentos falsificados y otras tácticas diseñadas para evadir las verificaciones estándar.

Debido a que estos ataques son tan fáciles de automatizar y escalar, los defraudadores ya no apuntan únicamente a las plataformas más grandes. Empresas de todos los tamaños, sectores y regiones pueden verse expuestas a los mismos playbooks, ejecutados con la misma velocidad y precisión. Los defraudadores no operan bajo límites de lealtad a la marca ni de competencia; si descubren una vulnerabilidad en una organización, esa misma brecha es probada y explotada rápidamente en otros negocios.

En la práctica, esto significa que el mismo patrón puede aparecer en múltiples entornos a la vez. El script que prueba números de tarjeta en una plataforma se reutiliza en otra. El mismo método de abuso de promociones corre en decenas de marcas. Los datos de identificación que fueron aceptados una vez se vuelven a usar hasta que dejan de funcionar. Puede parecer algo familiar, pero la diferencia radica en la velocidad y la adaptabilidad: la rapidez con la que las tácticas pueden reciclarse.

Dado que estos patrones abarcan empresas, canales y sectores, las organizaciones con acceso a conjuntos de datos más grandes y de alta calidad están mejor posicionadas para identificar y prevenir el fraude de manera proactiva.

En lugar de concentrarse únicamente en un pequeño número de transacciones de alto valor, el fraude se ha expandido para incluir actividades de montos menores, ya que ahora se escala con mayor facilidad. Esto transforma las exigencias impuestas a los sistemas de prevención. Los controles construídos para eventos aislados de alto riesgo ahora experimentan un flujo continuo de actividad, lo que incrementa tanto el volumen de decisiones como la ambigüedad entre el comportamiento legítimo y el abusivo.

El impacto va más allá de las pérdidas financieras directas. Se manifiesta en el aumento de los costos por revisión manual, el crecimiento de los falsos rechazos y la pérdida de oportunidades de ingresos.

El fraude ya no se limita únicamente a usuarios desconocidos. Ahora opera a través de perfiles e interacciones que parecen completamente legítimas.

Durante años, la detección de fraude se centró en un conjunto restringido de preguntas, entre ellas: "¿Es esta una persona real y es quien dice ser?". Estas preguntas siguen siendo importantes, pero ya no son suficientes.

El desafío ha dejado de ser la verificación estática de la identidad en un solo punto de la compra; ahora radica en la comprensión del comportamiento a medida que se desarrolla a lo largo del ciclo de vida del cliente.

Una misma cuenta o dispositivo puede representar a un cliente legítimo en un momento y reflejar una conducta abusiva en el momento siguiente. Por ejemplo: una cuenta nueva vinculada a un cliente real, pero creada únicamente para acceder a una promoción de bienvenida, o una compra legítima que se devuelve posteriormente bajo falsos pretextos.

Este cambio se refleja directamente en los tipos de fraude que las empresas enfrentan actualmente.

El fraude de primera parte, en el que los clientes realizan compras legítimas y luego inician una disputa de forma indebida ante su banco (alegando falsamente que no recibieron el producto o que no reconocen la transacción), es ahora una de las formas más comunes de abuso, reportada por el 44.3% de las empresas en nuestra encuesta.

Las cuentas falsas y el abuso de perfiles se ubican justo detrás, afectando al 42.2% de las empresas; estas tácticas se utilizan para aprovechar promociones de forma repetida, pulverizar actividades sospechosas o acceder a ofertas destinadas a segmentos específicos.

El abuso de políticas comerciales y promociones no se queda atrás, con un 39.8%. Esto incluye prácticas como devoluciones en serie, wardrobing (comprar ropa para usarla una vez y devolverla), ciclos continuos de pruebas gratuitas, explotación de programas de lealtad y la acumulación de descuentos más allá del límite permitido por el comercio.

El fraude de primera parte se ha vuelto mainstream y cada tipo de abuso se origina desde perfiles legítimos, no del hackeo de cuentas. Desde la perspectiva del sistema, estos comportamientos suelen parecer válidos, ya que superan las verificaciones diseñadas para identificar accesos no autorizados o datos de pago fraudulentos.

El desafío no es solo identificar a estos usuarios, sino evitar que el abuso de las políticas ocurra de manera repetitiva.

Históricamente, el fraude se dirigía hacia donde las defensas eran más débiles; por ejemplo, migrando del uso de tarjetas físicas en los días de la banda magnética hacia el e-commerce. Ahora está regresando con fuerza a las compras presenciales. A medida que las protecciones online maduraron, los defraudadores se han adaptado para explotar las brechas en el retail físico, donde una menor cantidad de señales y controles menos robustos hacen que el abuso sea más difícil de detectar.

Este patrón ayuda a explicar por qué problemas como el abuso de reembolsos en puntos de venta (PDV) físicos están apareciendo cada vez más dentro de un escenario más amplio de redistribución del riesgo.

No todo abuso de políticas comerciales comienza con una intención maliciosa. En muchos casos, empieza con los incentivos.

Un descuento de bienvenida estimula la creación de múltiples cuentas. Una política de devoluciones generosa reduce la percepción de error por parte del usuario. Los periodos de prueba gratuitos se vuelven recurrentes en lugar de ser un beneficio único. Con el tiempo, la actividad que antes era la excepción se convierte en la norma.

Las comunidades online comparten abiertamente formas de "vencer al sistema", enseñando desde cómo exprimir al máximo las promociones hasta cómo forzar la aprobación de reembolsos. Lo que antes se consideraba fraude ahora se redefine como un hack, una brecha o simplemente una manera de optimizar gastos. Clientes que no se consideran a sí mismos defraudadores terminan involucrados en acciones que generan pérdidas reales para el negocio. Para las empresas, esto vuelve el problema más complejo de definir y resolver. Bienvenido a la zona gris.

El desafío no es la falta de señales. Con frecuencia, nada sobresale a nivel de una transacción aislada y el patrón solo emerge a través de la repetición:

• Uso de múltiples cuentas para pulverizar el acceso a promociones

• Renovación sucesiva de periodos de prueba gratuitos

• Devoluciones concentradas justo por debajo de los límites de la política de la empresa

• Acciones deliberadamente fragmentadas para burlar los sistemas de detección

• Fraude con tarjetas de regalo

A medida que el fraude se vuelve más difícil de distinguir, el costo de tomar una decisión equivocada puede exceder a la propia pérdida por fraude.

Una pequeña fracción de identidades ahora impulsa una parte desproporcionada del riesgo. Sin embargo, los controles utilizados para detenerlas se aplican de manera generalizada. Al intentar evitar el abuso por parte de una minoría de usuarios, las empresas introducen barreras que afectan a todos.

El costo real del fraude se manifiesta no solo en las pérdidas que logran pasar, sino en lo que es bloqueado. En algunos casos, los controles estáticos rechazan hasta al 10% de los clientes legítimos, de acuerdo con datos de la plataforma Adyen.

Los falsos rechazos, la fricción innecesaria y los costos crecientes por revisión manual ya no son efectos secundarios; son elementos centrales para entender el impacto del fraude en los ingresos.

La mayoría de las estrategias contra el fraude fueron diseñadas para minimizar pérdidas. Ese modelo se ha vuelto obsoleto.

La gestión del fraude se entiende cada vez más como una serie de decisiones comerciales que, en última instancia, determinan cuántos ingresos legítimos logra retener una empresa.

La pregunta ya no es cuánto fraude está dispuesta a tolerar una empresa. La pregunta es cuántos ingresos legítimos está dispuesta a perder intentando contenerlo.

Cuando el fraude aumenta, intensificar los controles puede parecer la respuesta obvia. Más reglas, más etapas de verificación, más revisiones manuales, políticas más estrictas; todo esto añade costos y fricción.

El impacto ya se puede ver. Minimizar los costos operativos se convirtió en la prioridad número uno para el 29% de los comercios en 2025, frente a solo el 10% en 2024, de acuerdo con datos del MRC.

Nuestra encuesta muestra que el 58% de las empresas están enfrentando costos crecientes por revisión manual, mientras que el 50% reportan un aumento en los falsos rechazos. Debido a que los controles adicionales suelen depender de señales estáticas, hasta el 10% de los clientes legítimos terminan bloqueados.

Existe una desconexión entre el riesgo percibido y la realidad. Al intentar protegerse contra una minoría concentrada de identidades abusivas, las empresas introducen costos y fricción. Cada falso rechazo no solo perjudica la conversión en ese momento, sino que también mina la confianza, la retención y el valor del ciclo de vida del cliente (LTV), convirtiéndose en una especie de impuesto sobre sus consumidores más valiosos.

Para la mayoría de las empresas, la gestión del fraude es una serie de concesiones. De acuerdo con nuestra investigación, el 96.8% de las compañías realizaron al menos un tradeoff relacionado con el fraude durante el último año.

La prevención del fraude ya no funciona como una herramienta rudimentaria.

Si se aplican de manera generalizada, los controles elevan los costos, reducen la conversión y erosionan la confianza. En cambio, si se aplican con precisión, se convierten en un motor de crecimiento: elevan las tasas de aprobación, disminuyen la fricción innecesaria y protegen el valor del ciclo de vida del cliente.

No se trata de reaccionar ante transacciones aisladas, sino de comprender patrones. No consiste en esparcir la fricción de forma uniforme, sino en asignarla estratégicamente allí donde genere el mayor impacto.

La pregunta ahora es qué se necesita para trazar esa línea con precisión.

Si la verificación de identidad tradicional no distingue el abuso de la conducta legítima, ¿qué puede hacerlo?

Los capítulos anteriores describieron un panorama de fraude en el que un riesgo cada vez mayor proviene de usuarios ya reconocidos: cuentas verificadas, dispositivos identificados previamente y actividades que aprueban cada uno de los filtros de control.

Esta transformación significa que diferenciar las transacciones legítimas del abuso es más difícil que nunca.

La respuesta no radica en endurecer las verificaciones. La identidad ha dejado de ser una credencial que se confirma una sola vez; ahora es dinámica: una capa continua de contexto construída a partir de la actividad a lo largo de todo el ciclo de vida del cliente, en lugar de ser validada de forma aislada en un único punto del customer journey.

La verificación responde a una pregunta binaria en un solo momento: ¿esta persona es quien dice ser? Por el contrario, el reconocimiento construye una visión a lo largo del tiempo: ¿esta actividad se alinea con el patrón de un cliente de confianza?

La diferencia es crucial porque el fraude ya aprendió a burlar la verificación, pero todavía no puede replicar fácilmente un historial de comportamiento consistente. Un cliente habitual, que compra dentro de sus rangos habituales y desde un dispositivo reconocido, avanza con la mínima fricción.

Sin embargo, cuando ese mismo patrón cambia —debido a devoluciones excepcionalmente frecuentes, abuso de promociones o actividad distribuida en múltiples cuentas—, el cambio en la intención se vuelve evidente, incluso cuando la identidad como tal no haya cambiado.

La confianza se gana y se monitorea; no se otorga una sola vez para asumirse de ahí en adelante.

El valor de la identidad conectada se multiplica cuando se opera en una red más amplia. Una sola empresa puede construir un contexto de comportamiento dentro de su propio ecosistema. Sin embargo, el reconocimiento a nivel de red —que extrae señales de una gran variedad de empresas y dispositivos— crea un panorama mucho más detallado y ágil desde la primera interacción.

En toda la red global de Adyen, existe un 84% de probabilidad de que una identidad ya haya aparecido en transacciones, empresas, dispersiones de fondos o emisión de tarjetas. Esto significa que incluso las nuevas relaciones con los clientes pueden comenzar con un contexto previo, lo que viabiliza la toma de decisiones acertadas desde la fase inicial y garantiza una menor fricción para los usuarios que ya han demostrado un comportamiento confiable en otros puntos de la red.

Es un sistema en el que el reconocimiento se transforma en reputación.

Históricamente, la prevención del fraude se ha centrado en dos desafíos fundamentales: distinguir a los usuarios legítimos de los defraudadores —generalmente a través de señales de comportamiento— y autenticar la facultad de compra para garantizar que la persona que inicia una transacción cuenta con el permiso para hacerlo.

El agentic commerce introduce a un tercer participante: el agente de Inteligencia Artificial, lo cual complejiza estos problemas y crea retos completamente nuevos. Ahora, los comercios también deben:

• Identificar agentes legítimos frente a agentes maliciosos o explotadores del sistema

• Verificar si un agente está autorizado para actuar en nombre de un cliente

• Garantizar que el agente esté operando dentro de los límites de lo que el cliente realmente pretendía

Esta última dimensión, la intención, es nueva. Incluso un agente legítimo y debidamente autenticado puede comportarse de maneras que diverjan de las expectativas del usuario original debido a estrategias de optimización automatizada, manipulación externa o incentivos desalineados de la plataforma.

Este cambio transforma al agentic commerce en un desafío de fraude único, y no simplemente en una versión más veloz de lo que ya conocíamos. El riesgo no es solo que los usuarios maliciosos utilicen agentes, sino que los agentes confiables y los maliciosos se vuelven cada vez más indistinguibles al momento de la transacción, y los sistemas actuales no fueron diseñados para diferenciarlos.

Se espera que el agentic commerce influya en una parte significativa del volumen de pagos en los próximos cinco años. Sin embargo, su impacto y su nivel de riesgo serán desiguales entre los diferentes sectores e industrias.

En la era del agentic commerce, ya no es suficiente aplicar controles de fraude en el checkout. Cuando un agente llega a ese punto de la compra, muchas decisiones ya se han tomado, a menudo dentro de sistemas que el comercio no puede observar ni controlar. El resultado es una mayor exposición a chargebacks, abuso de reembolsos, explotación de promociones y transacciones que son técnicamente válidas pero que están desalineadas con la intención real del usuario.

En resumen, la confianza debe establecerse mucho antes entre los sistemas, los protocolos y los participantes, y no solo al momento de procesar el pago.

Estos desafíos aún se encuentran en evolución, pero algunas estrategias claras ya comienzan a surgir en el horizonte:

Inteligencia del comportamiento 

Los sistemas de fraude deben adaptarse para reconocer patrones de comportamiento específicos de agentes automatizados, no solo de humanos. Esto incluye el entrenamiento de modelos de riesgo en patrones de interacción orientados por agentes, la captura de señales en fases tempranas del ciclo de vida de la transacción y un mayor intercambio de datos entre los actores del ecosistema (incluyendo comercios, marcas de tarjetas, emisores y plataformas de IA).

Identificación del agente

Una capacidad crítica será distinguir los agentes confiables de los no confiables. Esto dependerá, en gran medida, de la colaboración con las redes de pago e instituciones financieras, de estructuras de identidad compartidas o registros de agentes, y de señales estandarizadas que indiquen la procedencia y reputación del agente de IA.

Autenticación y delegación

Los sistemas de autenticación existentes no fueron diseñados para el comercio delegado. El mercado ya trabaja en la evolución de los protocolos actuales para soportar la autorización basada en agentes, definir cómo se captura y verifica el consentimiento y la delegación, y alinear los modelos de transacciones emergentes con los estándares de la industria y los marcos regulatorios.

La dinámica del fraude ha cambiado de manera fundamental. En 2026, los riesgos más significativos ya no se encuentran en el perímetro; ahora operan dentro de los sistemas y comportamientos diseñados para los clientes legítimos. Este cambio hace que los controles tradicionales sean menos efectivos y que la fricción generalizada resulte mucho más costosa para el negocio.

No se trata de implementar más controles, sino de alcanzar una mayor precisión: utilizar la identidad dinámica, el comportamiento y el contexto para diferenciar la confianza del riesgo en una etapa más temprana del proceso de compra.

Al hacerlo, la gestión del fraude deja de ser una función puramente defensiva para convertirse en una estrategia que protege los ingresos e impulsa el crecimiento, permitiendo tomar mejores decisiones sobre dónde y cómo aplicar la confianza.