El fraude de pagos autorizados (APP) ocurre cuando una víctima es manipulada para enviar un pago en tiempo real a la cuenta de un estafador. A diferencia de las transacciones no autorizadas, la propia víctima inicia la transferencia, a menudo creyendo que está pagando a una empresa o autoridad legítima. Este tipo de fraude ha aumentado con el auge de la IA generativa, lo que permite a los delincuentes utilizar deepfakes de voz e identidades sintéticas para engañar incluso a ejecutivos de alto nivel y personas vulnerables. Los bancos están bajo una creciente presión regulatoria, como las normas PSR del Reino Unido, para reembolsar a las víctimas, lo que convierte la prevención mediante verificación de identidad biométrica avanzada en una prioridad empresarial.
¿Qué es un pago push autorizado?
Un pago push autorizado (APP) es una transacción en la que el titular de la cuenta ordena a su banco enviar dinero directamente a otra cuenta. Estos pagos suelen procesarse a través de sistemas en tiempo real como Faster Payments en el Reino Unido o SEPA Instant en Europa. El elemento «push» significa que el ordenante inicia la acción, en lugar de que un comercio «extraiga» (pull) los fondos mediante una tarjeta o domiciliación bancaria.
La velocidad de estas transferencias es lo que las hace atractivas tanto para usuarios legítimos como para estafadores. Una vez que el usuario hace clic en enviar, el dinero suele llegar a la cuenta del destinatario en cuestión de segundos. Esta inmediatez deja muy poco tiempo para que los bancos intervengan si la transacción forma parte de una estafa.
Los pagos autorizados son la columna vertebral de la banca digital moderna. Permiten pagos instantáneos de facturas, transferencias entre particulares (P2P) y transacciones entre empresas (B2B). Sin embargo, debido a que en la mayoría de los casos son irrevocables, requieren un alto nivel de confianza entre las dos partes involucradas.
La tecnología de Veridas ayuda a asegurar esta confianza garantizando que la persona que autoriza el pago es quien dice ser. Al integrar la biometría de voz, los bancos pueden verificar la identidad en menos de tres segundos, evitando que la ingeniería social derive en un fraude exitoso.
Entendiendo el fraude de pagos autorizados (APP)
El fraude de pagos autorizados es una forma de ingeniería social en la que un delincuente engaña a una víctima para que le envíe dinero. La característica principal de este fraude es que la víctima está convencida de que está realizando un pago legítimo. Esto puede involucrar una factura falsa, una llamada telefónica suplantada de un banco o un engaño romántico.
Dado que el cliente técnicamente «autorizó» el pago, los sistemas tradicionales de detección de fraude a menudo tienen dificultades para marcar estos eventos. El sistema ve a un usuario válido iniciando sesión con credenciales correctas y realizando una acción estándar. La brecha no está en el software, sino en la psicología humana manipulada por el atacante.
La evolución del fraude de pagos autorizados se ha acelerado gracias a la IA generativa. Los estafadores ahora utilizan deepfakes de audio para suplantar a CEOs o familiares, haciendo que la solicitud de fondos sea increíblemente persuasiva. Esta industrialización del fraude significa que la simple seguridad basada en contraseñas ya no es suficiente para proteger los activos.
Para combatir esto, se requiere un enfoque de Zero Trust (Confianza Cero) respecto a la identidad. Veridas permite una autenticación continua que analiza la integridad del dispositivo y los rasgos biométricos del usuario. Esto garantiza que, incluso si un usuario está siendo manipulado, el sistema pueda detectar anomalías en el comportamiento o la identidad antes de la transferencia de fondos.
Ejemplos de estafas de pagos autorizados
Uno de los ejemplos más comunes es la estafa de la «Cuenta Segura». Un estafador llama a la víctima, fingiendo ser del departamento de seguridad de su banco. Afirman que la cuenta de la víctima está bajo ataque e insisten en que el dinero se mueva a una «cuenta nueva y segura» que en realidad pertenece al delincuente.
Otro escenario frecuente es la «Estafa de Factura» o el Compromiso de Correo Electrónico Empresarial (BEC). En este caso, un delincuente intercepta un correo de un proveedor legítimo y cambia los datos bancarios en una factura. La empresa envía entonces un pago push autorizado al estafador en lugar de al proveedor.
Las estafas de inversión también entran en esta categoría. A las víctimas se les prometen altos rendimientos en criptomonedas o acciones. Se les dirige a sitios web de aspecto profesional y luego autorizan transferencias a lo que creen que es una casa de bolsa, solo para que los estafadores desaparezcan una vez enviado el dinero.
Finalmente, el «Fraude del CEO» consiste en suplantar a un ejecutivo de alto rango. Utilizando deepfakes de voz, un atacante llama a un empleado de finanzas y solicita un pago urgente para una fusión confidencial. El empleado, al escuchar la voz de su jefe, autoriza el pago sin seguir los protocolos de verificación estándar.
Tipos de fraude de pagos autorizados
| Tipo de fraude APP | Descripción | Víctima principal |
|---|---|---|
| Estafas de compra | Las víctimas pagan por bienes o servicios que nunca llegan. | Consumidores |
| Estafas de inversión | Se engaña a las víctimas para mover dinero a esquemas falsos de alta rentabilidad. | Particulares/Grandes patrimonios |
| Estafas románticas | Los estafadores crean relaciones falsas para pedir dinero por «emergencias». | Particulares |
| Estafas de suplantación | Los delincuentes fingen ser de la policía, el banco o el gobierno. | Consumidores/Personas mayores |
| Fraude del CEO (BEC) | Suplantación de la alta dirección para activar transferencias urgentes. | Empresas |
Cada uno de estos tipos se basa en el mismo principio: crear un sentido de urgencia o presión emocional. Los estafadores a menudo usan identificadores de llamadas «spoofed» para que sus llamadas parezcan provenir de un número de confianza. Esto aumenta la probabilidad de que la víctima se salte los controles de seguridad habituales.
La complejidad de estos tipos varía, pero el resultado es siempre el mismo. Una vez que se realiza el pago push autorizado, los fondos se mueven rápidamente a través de una red de «cuentas mula» para hacer que la recuperación sea casi imposible. Esto resalta la necesidad de una verificación biométrica en tiempo real en el momento de la transferencia.
Veridas proporciona una capa de defensa mediante la implementación de la tecnología Voice Shield. Puede detectar voces sintéticas y audio grabado en tiempo real, incluso si el estafador está utilizando un deepfake de alta calidad. Esto protege el canal bancario de ser utilizado como herramienta para la ingeniería social a gran escala.
Además, la verificación de documentos garantiza que cuando se abre una nueva cuenta —potencialmente una cuenta mula— la identidad sea legítima. Nuestra solución de IDV 100% automatizada detecta manipulaciones de documentos y discrepancias faciales en segundos, deteniendo la infraestructura del fraude antes de que pueda ser utilizada.
Cómo gestionan los bancos los reembolsos por pagos autorizados
Históricamente, los bancos no estaban legalmente obligados a reembolsar a las víctimas de fraude de pagos autorizados porque el cliente técnicamente había autorizado la transacción. Sin embargo, esto está cambiando rápidamente. Los reguladores están desplazando cada vez más la responsabilidad hacia las instituciones financieras para fomentar mejores medidas de seguridad.
En el Reino Unido, el Regulador de Sistemas de Pago (PSR) ha introducido el reembolso obligatorio para la mayoría de las estafas APP. Esto significa que tanto el banco emisor como el receptor comparten el coste del reembolso. Esta regulación pretende proteger a los consumidores y obligar a los bancos a invertir en sistemas de verificación de identidad más robustos.
Otras regiones están siguiendo su ejemplo con diversos «Modelos de Reembolso Contingente». Estos códigos de conducta voluntarios animan a los bancos a reembolsar a las víctimas que han actuado con un cuidado razonable. No obstante, la «negligencia grave» por parte del cliente puede seguir siendo motivo para que un banco deniegue una reclamación de reembolso.
Este cambio en la responsabilidad convierte la prevención del fraude en un interés financiero central para los bancos. Al utilizar la autenticación facial y la detección de vida de Veridas, los bancos pueden demostrar que han tomado todas las medidas posibles para verificar al usuario. Esto reduce el número de estafas exitosas y, en consecuencia, el volumen de reembolsos obligatorios.
Cómo protegerse de las estafas de pagos push
La protección comienza con la concienciación y la tecnología. Los individuos y las empresas deben entender que una voz familiar o un correo electrónico con apariencia oficial no siempre son prueba de identidad. El «firewall humano» es el punto más vulnerable, por lo que debe reforzarse con salvaguardas biométricas automatizadas.
Las instituciones financieras deben alejarse de la autenticación estática basada en el conocimiento (KBA). Preguntas como «¿Cuál fue el nombre de su primera mascota?» son fáciles de responder para estafadores que han recolectado datos de redes sociales. Pasar a factores inherentes, como la voz o el rostro de una persona, proporciona un nivel de seguridad mucho mayor.
Para las empresas, implementar una autorización estricta de varias personas para transferencias grandes es esencial. Sin embargo, incluso estas pueden ser eludidas si el principal tomador de decisiones es convencido por un deepfake. Es por eso que la «prueba de vida» biométrica es el nuevo estándar para pagos autorizados de alto valor.
Las soluciones de Veridas están diseñadas para ser sin fricciones, asegurando que la seguridad no se produzca a expensas de la experiencia del usuario. Nuestra autenticación biométrica permite a los usuarios confirmar su identidad en segundos, proporcionando una experiencia fluida mientras se mantienen los más altos estándares de seguridad.
Consejos para evitar ser víctima
- Desconfíe de cualquier contacto no solicitado que solicite una transferencia urgente de dinero.
- Verifique siempre las solicitudes de pago a través de un canal separado y conocido (ej. llame a un número que ya tenga guardado).
- Nunca comparta códigos de un solo uso (OTP) con nadie, incluso si dicen ser de su banco.
- Habilite la autenticación biométrica en las aplicaciones bancarias en lugar de depender únicamente de contraseñas.
- Informe inmediatamente a su banco sobre cualquier llamada suplantada o correo sospechoso.
El consejo más efectivo es hacer una pausa. Los estafadores confían en apresurarle para que no note discrepancias. Si un empleado del banco le dice que su cuenta está en peligro, cuelgue y llame al número que aparece en el reverso de su tarjeta de débito. Los bancos legítimos nunca le presionarán para mover dinero a una «cuenta segura».
Las organizaciones también deben formar a sus empleados sobre los riesgos de las estafas de pagos autorizados. Esto incluye reconocer los signos del Compromiso de Correo Electrónico Empresarial y entender cómo se puede usar la tecnología deepfake para suplantar a los líderes. La formación, combinada con la tecnología, crea una defensa por capas.
Veridas ayuda a las organizaciones a implementar estas capas a través de marcos de Know Your Employee (KYE). Al usar el reconocimiento facial para el acceso a sistemas internos, las empresas aseguran que solo el empleado real —y no alguien con una contraseña robada— pueda iniciar o aprobar acciones financieras sensibles.
Informar sobre transacciones sospechosas
Si sospecha que ha sido víctima de un fraude de pagos autorizados, el tiempo es esencial. Contacte con su banco de inmediato. Cuanto antes se les notifique, mayores serán las posibilidades de que puedan congelar los fondos en la cuenta del destinatario antes de que sean retirados.
También debe informar de la estafa a los centros nacionales de denuncia de fraude. Estos informes ayudan a las fuerzas del orden a rastrear el movimiento del dinero e identificar a los grupos de crimen organizado que están detrás de estas operaciones a gran escala.
Los bancos utilizan estos informes para mejorar sus propios algoritmos de detección de fraude. Al analizar las «cuentas mula» utilizadas en estas estafas, las instituciones pueden identificar mejor los patrones que significan una actividad de pago push autorizado. Este intercambio colaborativo de datos es crucial para el ecosistema bancario.
Veridas apoya esto mediante la deduplicación de bases de datos. Nuestro sistema identifica si el mismo rostro está intentando abrir múltiples cuentas bajo diferentes nombres, una táctica común para crear las cuentas mula necesarias para canalizar fondos robados. Este enfoque proactivo detiene el ciclo del fraude antes de que comience.
Pagos Credit Push vs. Pagos Push Autorizados
Aunque los términos suelen usarse indistintamente, existe una distinción técnica. Un pago «Credit Push» se refiere al mecanismo general donde el pagador envía fondos al beneficiario. Un pago push autorizado se refiere específicamente al usuario dando permiso explícito para que esa acción tenga lugar.
El término «Credit Push» se utiliza a menudo en el contexto de nóminas o pagos de facturas automatizados. Estos son programados y predecibles. Los pagos push autorizados suelen ser ad-hoc y manuales, que es donde el riesgo de engaño y fraude es mayor para los consumidores individuales y las empresas.
Desde una perspectiva de seguridad, ambos requieren una verificación de identidad sólida. Sin embargo, los pagos autorizados ad-hoc necesitan una autenticación en tiempo real, «en el momento». Aquí es donde la detección de vida facial se vuelve vital, asegurando que una persona real esté presente y consienta la transacción específica.
Veridas ofrece soluciones para ambos escenarios. Ya sea un proceso de alta automatizado para servicios de crédito o una transferencia manual de alto valor, nuestra tecnología de reconocimiento facial garantiza la integridad del «push» en cada paso del proceso de pago.
Conclusiones clave
El fraude de pagos autorizados es un ataque psicológico, no técnico. Explota la velocidad de los sistemas de pago modernos y la confianza que la gente deposita en la comunicación digital. A medida que las estafas se vuelven más sofisticadas con la IA, confiar en contraseñas y OTP ya no es una estrategia de seguridad viable.
El cambio en la responsabilidad regulatoria significa que los bancos deben asumir un papel proactivo en la prevención. Esto requiere ir más allá del simple monitoreo de transacciones hacia una verificación de identidad biométrica avanzada. Demostrar que el usuario está físicamente presente y es quien dice ser es la única forma de detener las estafas autorizadas.
Veridas ofrece un conjunto integral de herramientas para combatir esta amenaza. Desde Voice Shield, que detiene la suplantación por deepfake, hasta la IDV automatizada, que evita la creación de cuentas mula, nuestra tecnología patentada está diseñada para proteger tanto los resultados financieros del banco como la confianza del cliente.
En un mundo cada vez más digital, la identidad es el activo más valioso. Protegerla requiere un socio que entienda la intersección entre IA, regulación y seguridad. Veridas es ese socio, proporcionando la tecnología necesaria para construir un futuro más seguro y libre de fraude para los pagos digitales.
Casos de uso por industria
- Banca: Implementación de autenticación de voz para centros de llamadas para verificar transferencias de alto valor en menos de 3 segundos, reduciendo el tiempo medio de operación (TMO) y deteniendo la ingeniería social.
- Telecomunicaciones: Registro digital seguro para compras de equipos a crédito, utilizando detección de vida facial para prevenir el fraude de identidad sintética.
- Fintech: Agilización de solicitudes de financiación online con verificación de identidad 100% automatizada, logrando una conversión del embudo del 90% mientras se mantiene un cumplimiento estricto.
Preguntas frecuentes (FAQs)
¿Me devolverá el dinero mi banco si soy víctima de fraude APP?
En muchas regiones, como el Reino Unido bajo las reglas PSR, los bancos ahora están obligados a reembolsar a las víctimas de fraude de pagos autorizados, siempre que el cliente no haya actuado con negligencia grave. Sin embargo, las políticas varían según el país y la institución, por lo que es vital contactar con su banco inmediatamente al descubrir la estafa.
¿Cómo utilizan los estafadores los deepfakes en las estafas APP?
Los estafadores utilizan IA generativa para crear deepfakes de audio que suplantan a personas de confianza como CEOs o familiares. Usan estas voces para llamar a las víctimas y solicitar transferencias de dinero urgentes, haciendo que la solicitud de pago push autorizado parezca legítima y altamente persuasiva.
¿Cuál es la diferencia entre fraude autorizado y no autorizado?
El fraude no autorizado ocurre cuando un delincuente accede a su cuenta sin su conocimiento (ej. a través de una tarjeta robada). El fraude de pago push autorizado (APP) ocurre cuando el delincuente le manipula para que usted mismo inicie y apruebe la transferencia.
