En 2025, las identidades sintéticas crecieron 1200 % y la suplantación de identidad avanzó 84 %
El cierre de 2025 deja una fotografía nítida que demuestra que el fraude por suplantación de identidad y los ciberataques son un componente clave del riesgo de negocio, marcado por la velocidad a la que evolucionan los métodos de ataque, frente al avance de modelos de identificación y control dentro de las organizaciones.
Durante el primer semestre de 2025, la Condusef registró 2 millones 484 mil reclamaciones por posibles fraudes, un incremento de 5.2 % frente al año previo. Y en los primeros tres meses del año, México acumuló más de 35,200 millones de ciberataques, lo que lo ubica como el segundo país con mayor actividad cibercriminal en América Latina, según la ONU. Esa combinación de volumen, sofisticación y recurrencia, caracteriza el 2025 como un año bisagra.
«Ya no se presentan solo a casos excepcionales, sino patrones. Los intentos de suplantación están y seguirán sucediendo, y la pregunta es si los sistemas de identidad de las empresas están evolucionando tan rápido como lo hace el fraude», señala Fernando Paulín, CEO de Unico México, la red de prevención de fraude más grande del mundo.
Entre los aprendizajes clave que 2025 deja sobre biometría facial, riesgo y cultura de prevención para las empresas, los expertos de Unico destacan los siguientes:
La IA multiplicó el alcance del fraude con identidades sintéticas
La IA no solo aceleró los ataques; también elevó el estándar mínimo de lo que debe hacer una empresa para blindarse. La suplantación de identidad mediante IA ha tenido un crecimiento exponencial, con un aumento reportado del 1200 % en identidades sintéticas en 2025 de acuerdo con la Comisión Nacional para la Protección y Defensa de los Usuarios de Servicios Financieros. Esto implica que los atacantes, además de robar datos reales, fabrican identidades completas que combinan información verídica con elementos generados artificialmente.
Ante la automatización masiva de intentos de intrusión y prueba constante de vulnerabilidades, cada proceso de onboarding, alta de usuario, acceso remoto o firma digital se vuelve un posible punto de entrada para identidades sintéticas respaldadas por IA.
El aprendizaje es que los modelos de identidad ya no pueden descansar únicamente en documentos, bases de datos estáticas o validaciones puntuales. La gestión de riesgo necesita incorporar señales dinámicas, análisis de comportamiento y tecnologías capaces de reconocer patrones que delatan a perfiles artificiales, aunque su apariencia documental sea impecable.
2. La biometría unimodal dejó de ser suficiente en entornos de alto riesgo
Durante años, incorporar biometría se redujo a sumar rostro, huella o voz para elevar la seguridad. Sin embargo, el crecimiento del 84 % en suplantación de identidad y el avance de las técnicas de falsificación muestran que la biometría unimodal (basada en un solo rasgo) es insuficiente para operaciones de alto riesgo.
Hoy es más accesible recrear un rostro con fotos obtenidas en redes sociales, generar videos manipulados o producir audios que imitan la voz de una persona. Sin prueba de vida (liveness detection) avanzada, los sistemas pueden ser engañados por imágenes, grabaciones o máscaras que simulan ser un usuario legítimo. Para 2026, se pronostica que el 90 % de los procesos de onboarding digital usarán múltiples factores biométricos y contextuales (dispositivo, geolocalización, comportamiento, entre otros).
El estándar emergente para operaciones sensibles como apertura de cuentas completamente digitales, créditos de alto monto o autorización de transacciones críticas, combina biometría multimodal, liveness y señales contextuales de riesgo. Sin detección de vida avanzada y sin cruzar múltiples señales, es como revisar una credencial solo por la foto en un entorno donde todo puede ser replicado digitalmente.
3. El error de actuar en solitario; la respuesta al fraude exige redes colaborativas
Si algo dejó claro el 2025 es que ninguna empresa puede combatir el fraude por sí sola. Los defraudadores operan en serie, moviéndose entre bancos, fintechs, e-commerce, aseguradoras, servicios telefónicos y plataformas de apuestas.
Datos recientes de Unico muestran que hasta 4 % de los clientes activos de una empresa pueden ser defraudadores reincidentes, responsables de pérdidas anuales superiores a $1.3 mil millones de dólares solo en México. Aun así, la mayoría de las organizaciones continúa usando modelos aislados de verificación (burós, validaciones documentales o KYC tradicionales) que responden después del daño.
Un defraudador ya validado en una empresa puede usar la misma identidad (o una versión sintética creada con IA) para infiltrarse en otras 10 el mismo día. El costo de no compartir señales entre empresas coloca a México como el segundo país con más detección de deepfakes en procesos KYC, solo detrás de Brasil. El país también lidera el mayor crecimiento del costo del fraude (+27 %) entre 2023 y 2025, impulsado por investigación, recuperación de pérdidas y daño reputacional.
Hoy, las empresas cuentan con una red colaborativa que permite a negocios de múltiples sectores compartir señales de riesgo, historiales de comportamiento y patrones de ataque en tiempo real. Empresas que se sumaron a modelos colaborativos reportaron hasta 65 % de reducción en pérdidas sin fricción adicional para usuarios legítimos, reporta la empresa Unico México. La lección para el sector empresarial es que la identidad digital es una infraestructura compartida, donde cada actor privado comparte patrones de fraude y recibe protección colectiva.
El 2025 demostró que la identidad digital ya no puede depender de controles aislados ni de tecnologías básicas. Enfrentar el fraude moderno exige tecnologías avanzadas y, sobre todo, colaboración entre empresas. Las organizaciones que integren redes compartidas de inteligencia, autenticación fuerte y cultura de prevención serán las únicas capaces de mantenerse un paso adelante en un entorno donde el fraude evoluciona más rápido que nunca.
