Necesitas desintoxicarte digitalmente. Ellos lo saben...

 

Necesitas desintoxicarte
digitalmente.
Ellos lo saben — y no
les importa.

4 horas y 37 minutos al día con el celular o taleta. 1,080 millones de personas con adicción tecnológica. El crimen digital avanza a 156% anual. Las apps diseñadas para que no puedas soltar el teléfono. Y las empresas que venden tu información mientras fingen protegerte. El problema es sistémico. La solución empieza por nombrarlo.

Hay un momento en el que la mayoría de las personas ha sentido que necesita revisar el teléfono sin razón específica. No espera ningún mensaje importante. No tiene nada urgente. Pero la mano va sola hacia la pantalla, la desbloquea, revisa — nada — y la vuelve a guardar. Ese gesto ocurre, en promedio, 142 veces al día. No porque la persona sea débil o descuidada. Porque el sistema fue diseñado exactamente para producir ese comportamiento. Cada notificación, cada scroll infinito, cada like que llega con retraso calculado — son decisiones de ingeniería, no de azar. Son el producto de equipos de diseño y psicólogos del comportamiento que pasaron años perfeccionando los mecanismos que mantienen la atención atrapada. Y mientras esa trampa funciona, hay otras que operan en paralelo: la de los datos que se ceden sin leerl los términos y condiciones, la de los gastos que se acumulan sin notarlo, y la del crimen digital que avanza aprovechando exactamente esa distracción. Mejor aún, ceden el espionaje a sus dispositivos.

El 68% de los usuarios revisa su teléfono en la cama antes de dormir. El 67% de los adolescentes reporta pérdida de sueño por uso nocturno de dispositivos. La pantalla que nos conecta con todo es, con frecuencia, la que nos desconecta de lo que importa.

1,080Mpersonas afectadas por alguna forma de adicción tecnológica en 2025 — casi el 14% de la población mundialSQ Magazine · 2025

4h 37minpromedio diario de uso del smartphone globalmente — 5 horas 16 minutos incluyendo todas las pantallasSQ Magazine · GratefulCare · 2025

57%de los estadounidenses admiten sentirse adictos a su teléfono. El 44% siente ansiedad si no lo tiene cercaFrontiers in Neuroscience 2024

2.8xmayor riesgo de depresión en usuarios con uso excesivo de smartphone — y 88 millones de casos adicionales de insomnioSQ Magazine Smartphone Study · 2026

76%de la Generación Z supera consistentemente los límites de uso que ellos mismos se fijan. Saben que es demasiado. No pueden parar.SQ Magazine · 2026

El diseño de la trampa — y lo que nadie te dice mientras caes en ella

No es accidente que no puedas dejar el teléfono. Es ingeniería. Cada red social, cada app de entretenimiento, cada plataforma de e-commerce tiene equipos dedicados a estudiar exactamente qué combinación de estímulos mantiene la atención por más tiempo. El scroll infinito fue diseñado para eliminar el momento natural de pausa que existía cuando las páginas terminaban. Las notificaciones se envían con retraso calculado para crear patrones de recompensa variable — el mismo mecanismo que hace adictivas a las máquinas tragamonedas. El "me gusta" que llega diez minutos después fue diseñado así intencionalmente.

El ex director de diseño de Google, Tristan Harris, lo describió con precisión en su testimonio ante el Senado de EE.UU.: "Mil ingenieros trabajaron para que ese scroll infinito sea imposible de detener. ¿Cuántos de nosotros pensamos en contrarrestar eso?". El resultado documentado es claro: el 73% de los adultos experimenta "síndrome de vibración fantasma" — sienten que el teléfono vibra cuando no lo ha hecho. Es el sistema nervioso condicionado a responder a un estímulo que el cerebro ya anticipa aunque no exista todavía.

6h 40min

Promedio diario en pantallas · adultos · 2025

Si restamos el tiempo de sueño (7 horas promedio), una persona pasa el 41% de sus horas de vigilia mirando una pantalla. En un año, son más de 2,400 horas — el equivalente a 100 días completos. No es tiempo de ocio ni de conexión genuina: es tiempo fragmentado en microconsumos diseñados para no producir satisfacción duradera, sino para generar el siguiente click.

GratefulCare ABA · Virtual-Addiction.com · 2025

Y eso tiene consecuencias documentadas en salud. Más del 30% de las personas con adicción al smartphone presenta síntomas de depresión. 1 de cada 3 reporta somnolencia diurna causada por uso nocturno del teléfono. El 58% de los adolescentes reporta ansiedad cuando está separado de su dispositivo. Los usuarios de Instagram y plataformas de imágenes tienen mayor prevalencia de dismorfia corporal. Y las personas que usaron redes sociales de forma excesiva durante la adolescencia tienen mayor probabilidad de ideación suicida en la adultez — dato publicado en Current Opinion in Psychology. Daños articulares, entre otros.

"La diferencia entre una droga y una aplicación de redes sociales es que la droga necesita distribuidores para llegar a las personas. La app está en el bolsillo de 4,690 millones de usuarios las 24 horas del día."

Tu información: lo que regalas sin leer, lo que venden sin avisarte

Hay una transacción que ocurre cada vez que alguien descarga una app, acepta los términos de servicio sin leerlos y comienza a usarla. Esa transacción no es gratuita — el modelo de negocio que financia la mayoría de las apps "gratis" es la monetización de los datos del usuario. Comportamientos, preferencias, ubicaciones, contactos, hábitos de sueño, patrones de compra, creencias políticas inferidas, vulnerabilidades emocionales detectadas a través del análisis de contenido consumido. Todo eso tiene valor comercial y se vende, se procesa y se usa para construir perfiles que van mucho más allá de lo que el usuario imaginó cuando aceptó los términos sin leerlos y menos aún comprenderlos; toma mayor relevancia cuando son apps que afectan dinero.

Dark Patterns · Diseño para engañar · UE · AEPD · 2024–2025

Los "patrones oscuros" son estrategias de diseño que manipulan al usuario para que tome decisiones que no habría tomado con información completa. El botón de "aceptar todo" es grande y colorido. El de "rechazar cookies" está en letra pequeña, gris, al final de una pantalla que hay que scrollear. La opción para cancelar la suscripción requiere llamar a un número telefónico que atiende solo en horario limitado, aunado chatbot's pensados en sabotear quejas y acciones. La casilla para recibir publicidad viene marcada por defecto.

Desde 2024, la Ley de Servicios Digitales de la Unión Europea prohíbe explícitamente los dark patterns en plataformas digitales. Las multas llegan hasta 20 millones de euros o el 4% de la facturación anual global. La Agencia Española de Protección de Datos sancionó en 2023 a una empresa tecnológica por primera vez específicamente por dark patterns de "sobrecarga" y "ocultación". En México, la LFPDPPP establece principios de transparencia y consentimiento informado que estas prácticas violan sistemáticamente — pero la aplicación es inconsistente.

El resultado práctico de esta extracción masiva de datos es doble. Por un lado, el usuario es objetivo de publicidad cada vez más precisa — diseñada para aprovechar sus vulnerabilidades específicas en el momento más susceptible. Por otro, esos datos viajan entre empresas, proveedores de datos y corredores de información en cadenas que el usuario nunca puede rastrear. Cuando hay una brecha de seguridad — y las hay constantemente — esa información aparece en mercados clandestinos de la dark web. Incluso las empresas venden la información a otras empresas con la excusa de complementar servicios, sin autorización de las personas.

Cada app instalada es un potencial vector de extracción de datos. Los permisos que se otorgan al instalar — acceso a contactos, ubicación, micrófono, galería — raramente se corresponden con la funcionalidad que la app ofrece. El negocio no es la app: es la información que la app recolecta.

El gasto que no ves venir — y el crimen digital que espera la distracción

La combinación de atención fragmentada, acceso fácil a pagos digitales y diseño psicológicamente optimizado para el gasto impulsivo tiene un costo financiero medible. El 23% de los usuarios admite que su principal uso del teléfono en el tiempo libre es comprar en línea. Las plataformas de e-commerce tienen equipos dedicados a reducir la fricción en el proceso de compra — porque cada segundo adicional que tarda la transacción aumenta la probabilidad de que el usuario reconsidere. El resultado es un patrón de gasto impulsivo digital que afecta desproporcionadamente a los grupos más expuestos: adolescentes, adultos con estrés elevado, personas en estados emocionales negativos a quienes el algoritmo identifica como más susceptibles a gastar para compensar.

Y sobre esa distracción opera el crimen digital. Las tasas de fraude en el sector fintech crecieron 156% año a año en 2024. Los ataques de account takeover en México aumentaron 324% entre finales de 2024 y principios de 2026 — el índice más alto de América Latina. El phishing, el vishing y el smishing funcionan precisamente porque el usuario entrenado para responder rápido a estímulos digitales no tiene el espacio cognitivo para detenerse a verificar si el mensaje es legítimo.

156%crecimiento de tasas de fraude en fintech año a año en 2024 — alimentado por la distracción digital y la velocidad de clickSumsub · 2024

324%aumento en ataques de account takeover en México 2024–2026 — el más alto de toda América LatinaBioCatch · MX Business News · 2026

60%de las quejas CONDUSEF en 2025 son fraudes digitales — phishing, vishing, SIM swapping, sitios clonadosCONDUSEF · 2025

1.4%de las pérdidas por fraude que los bancos mexicanos reembolsaron a usuarios en el primer semestre 2025CONDUSEF · Vanguardia · 2025

Las empresas y la responsabilidad que evitan

Las plataformas que diseñaron la adicción no tienen, en la mayoría de los mercados, obligación legal de remediarla. Las apps que recolectan datos masivamente no tienen, en mercados como México, consecuencias equivalentes a las que enfrentarían en Europa bajo el RGPD. Los bancos digitales que procesan transacciones fraudulentas reembolsan el 1.4% de lo reclamado. La asimetría entre el poder de diseño de las plataformas y la capacidad de defensa del usuario no es un accidente del mercado — es el modelo de negocio.

En Europa, el RGPD, la DSA y la DMA están comenzando a reequilibrar esa relación. En México, la LFPDPPP tiene los principios correctos pero una aplicación limitada. El 67% de los padres en EE.UU. dice que las empresas tecnológicas deberían hacer más para controlar lo que los niños pueden ver y hacer en sus plataformas — según el mismo estudio de SQ Magazine. Esa opinión no se traduce en cambio regulatorio a la velocidad que el problema avanza.

El cibercrimen no requiere acceder a sistemas sofisticados. Requiere encontrar al usuario distraído, cansado, respondiendo rápido a estímulos digitales en un entorno diseñado para que no se detenga a pensar. La distracción digital no es solo un problema de salud — es la principal superficie de ataque del crimen financiero moderno.

La desintoxicación — y por qué es más difícil de lo que parece

En 2024, las búsquedas de "digital detox" triplicaron las del año anterior, según Keywords Everywhere. El 64% de las personas que intentan desintoxicarse de redes sociales recaen antes de una semana. El 51% regresa dentro del primer día. La desintoxicación digital falla con tasas similares a otras formas de adicción porque el mecanismo neurológico es comparable: la dopamina liberada por el scroll, el like, la notificación es real. La abstinencia produce irritabilidad, cambios de humor, aburrimiento y pérdida de motivación — síntomas documentados por Rehabs UK.

Pero hay resultados igualmente documentados en quienes logran establecer una relación más consciente con la tecnología. El 23.7% de quienes hacen una desintoxicación digital reportan menos estrés y ansiedad. El 20.3% reporta mejora en interacciones sociales. Estudios cognitivos muestran que incluso 48 horas de desintoxicación digital mejoran la función ejecutiva y la capacidad de concentración sostenida. El cerebro no es estático — puede recalibrarse si se le da la oportunidad.

Lo que sí funciona — con evidencia

Diseñar la fricción de vuelta. Lo que los diseños de apps eliminaron — el esfuerzo de decidir — hay que reintroducirlo intencionalmente. Teléfono fuera del cuarto al dormir. Notificaciones en modo silencioso excepto para personas específicas. Apps de redes sociales eliminadas del celular y accedidas solo desde computadora. La reducción de acceso instantáneo produce caída sostenida en el uso.

Ventanas de tiempo definidas, no reglas de duración. "Solo uso redes sociales entre 12pm y 1pm" funciona mejor que "máximo 30 minutos al día" porque elimina la negociación interna y la fatiga de decisión.

Revisar permisos de apps realmente. Ir a Configuración > Privacidad > Permisos. Ver cuántas apps tienen acceso a micrófono, ubicación o contactos que no necesitan. Revocar lo que no es necesario. Eliminar apps que no se usan activamente. Esa acción reduce tanto la extracción de datos como la superficie de ataque para fraude.

Activar autenticación de dos factores en todas las cuentas financieras. El 80% de las cuentas comprometidas en ataques de account takeover no tenían 2FA activo. Es la medida individual con mayor ROI en seguridad digital personal.

Leer antes de aceptar — al menos una vez. Los términos de servicio son largos por diseño. Pero leer la sección de "uso de datos" de una app antes de instalarla toma tres minutos y puede cambiar radicalmente la decisión de usarla.

El problema tiene solución — pero la solución no viene sola

La desintoxicación digital no es un retiro espiritual ni una declaración de guerra a la tecnología. Es una decisión de diseñar conscientemente la relación con las herramientas que usamos — en lugar de dejar que esas herramientas diseñen nuestra relación con todo lo demás. La tecnología es el mejor instrumento que el ser humano ha creado para conectar, aprender, trabajar y crear. El problema no es la tecnología. Es la arquitectura de incentivos de las plataformas que la distribuyen — diseñadas para maximizar el tiempo de atención, no el bienestar del usuario.

Resolver eso a nivel individual — con hábitos, con configuración, con decisiones conscientes — es posible y documentado que funciona. Resolver a nivel sistémico — con regulación que exija responsabilidad, con estándares de diseño que respeten la autonomía del usuario, con consecuencias reales para las plataformas que diseñan adicción — es el debate más importante que la sociedad digital tiene pendiente. Y que las empresas, con toda su capacidad de diseño, están diseñando activamente para que no ocurra.

Mientras ese debate avanza, la responsabilidad individual es real. No porque el sistema sea justo — no lo es. Sino porque mientras el sistema cambia, cada hora de atención recuperada es una hora que el algoritmo no tiene. Y eso, sumado a 4,690 millones de usuarios que empiezan a entenderlo, produce el único cambio que las plataformas no pueden diseñar en su contra: la conciencia.

Fuentes: SQ Magazine "Smartphone Addiction Statistics 2026" · SQ Magazine "Technology Addiction Statistics 2025" · Virtual-Addiction.com "Technology Addiction Statistics 2025" · GratefulCare ABA "Cell Phone Addiction Statistics 2024" · AddictionHelp.com "Phone Addiction Statistics 2025" · Frontiers in Neuroscience, Wilson R. 2024 · Current Opinion in Psychology, Liu & Wang 2021 · Harvard Medical School "Dopamine, Smartphones & You" 2018 · Rehabs UK digital detox withdrawal data · Keywords Everywhere 2024 · Sumsub Fraud Intelligence Report 2024 · BioCatch / Mexico Business News 2026 · CONDUSEF Primer Semestre 2025 · AEPD "Dark Patterns: manipulación en los servicios de Internet" · DSA/RGPD Unión Europea 2024 · Torres Burriel Estudio "Consecuencias legales de los Dark Patterns" 2025 · Center for Internet & Technology Addiction.

Jorge Mercado · #JMCoach

La doble presión que está sobre las financieras — y cómo resolverla

 

La doble presión que está
sobre las financieras
— y cómo resolverla
antes de que sea tarde

La CNBV impuso ~800 multas por PLD en 2024 — 162% más que en 2023. A partir de 2026, el SAT fiscaliza masivamente cuentas de fintech y financieras no bancarias. Las sanciones van de $23,462 hasta $7.6 millones de pesos por omisión. Y perder el sello digital paraliza la operación de inmediato. La mayoría de las instituciones no tiene los datos, los procesos ni los sistemas para responder. La buena noticia: quien lo entiende bien, lo resuelve en semanas. No en años.

El director general lleva tres semanas con el mismo tema en cada reunión de consejo. La CNBV acaba de notificar una visita de inspección con foco en PLD. El SAT envió un requerimiento de información sobre operaciones de los últimos dos años. El Oficial de Cumplimiento pidió una reunión de emergencia. Y el sistema con el que trabaja el equipo de cumplimiento es — en el mejor de los casos — una hoja de cálculo con macros que alguien construyó hace cuatro años y que nadie sabe modificar sin romper. Esa escena no es hipotética. Es la conversación que ocurre hoy en docenas de SOFOMES, fintechs y financieras no bancarias en México. Y la respuesta que la mayoría está dando — más personal, más proveedores externos, más formularios — es la más cara y la más frágil de todas las posibles. Porque el problema no es de personal ni de formularios. Es de datos, de procesos y de secuencia. Y quien entiende esa secuencia lo resuelve en semanas, con los recursos que ya tiene, sin colapsar la operación mientras lo hace.

La presión regulatoria de 2026 no llegó de golpe. Se construyó durante años de marcos que se endurecían gradualmente — la Ley Fintech de 2018, la LFPIORPI y sus reformas, el artículo 115 de la LIC, y ahora la reforma fiscal 2026 que extiende las facultades del SAT a todas las entidades financieras. Las instituciones que reaccionan hoy tienen todavía margen. Las que esperan la visita de inspección para moverse, no.

~800multas impuestas por la CNBV por deficiencias en PLD en 2024 — 162% más que en 2023. SOFOMES y centros de cambio encabezan la listaExpansión · CNBV · marzo 2025

$216Mpesos en sanciones PLD aplicadas por CNBV en 2024 — el monto más alto en los últimos años. Scotiabank y BBVA entre los sancionadosCNBV · Regcheq · Expansión · 2025

$2Mpesos de multa máxima por cada omisión detectada en materia de PLD bajo el CFF — y la UIF puede bloquear cuentas sin orden judicial previaCFF · LFPIORPI · Armor-AML 2026

24 hrsplazo máximo para reportar Operaciones Sospechosas o Inusuales a la UIF desde la reforma LFPIORPI 2025 — exige detección en tiempo real, no en loteLFPIORPI · Acuerdo 77/2025 · Piranirisk 2025

2026SAT extiende su facultad de revisar estados de cuenta a todas las entidades financieras — no solo bancos. Fintech y SOFOMES en el radar directoReforma CFF 2026 · Expansión · Holland&Knight

Lo que cambió — y por qué 2026 es el año que no tiene margen de error

Durante años, la supervisión financiera en México tuvo una arquitectura de facto que las instituciones aprendieron a navegar: la CNBV supervisaba lo regulado, el SAT supervisaba lo fiscal, la UIF recibía reportes que muchas instituciones enviaban con retraso o incompletos, y la CONDUSEF gestionaba quejas de usuarios. Cada ventanilla tenía sus tiempos, sus formatos y sus tolerancias operativas. Esa arquitectura cambió.

La reforma fiscal de 2026 extiende las facultades del SAT para revisar estados de cuenta de cualquier entidad financiera — no solo bancos. SOFOMES, SOFIPOS, fintechs con licencia ITF, plataformas de financiamiento colectivo, procesadores de pago — todos están ahora en el perímetro de revisión directa. El SAT podrá presumir ingresos por depósitos en cuentas financieras salvo prueba en contrario. Las plataformas deben proporcionar información periódica sobre contribuyentes participantes, montos percibidos y naturaleza de operaciones. Y el nuevo Artículo 49 Bis establece visitas domiciliarias expeditas para verificar que los CFDI amparen operaciones existentes y reales.

En paralelo, la LFPIORPI reformada en julio 2025 redujo el plazo de reporte de Operaciones Sospechosas o Inusuales a máximo 24 horas desde que se detectan. Eso no es un ajuste burocrático. Es un cambio arquitectónico: significa que el monitoreo transaccional tiene que ocurrir en tiempo real, no en revisiones semanales o mensuales. Las instituciones que todavía procesan operaciones en lote y revisan alertas cada jueves no pueden cumplir ese plazo con procesos manuales.

Y la consecuencia de no cumplir dejó de ser solo una multa. Sin sello digital, una institución financiera no puede emitir facturas — lo que en la práctica paraliza la operación de inmediato. La UIF tiene facultades para bloquear cuentas bancarias de forma preventiva sin orden judicial. Las multas van desde 200 hasta 65,000 UMAs — equivalente a $23,462 hasta $7.6 millones de pesos en 2026 — por la LFPIORPI. Y el CFF establece hasta $2 millones de pesos por cada omisión individual detectada. El costo de no resolver esto ya no se calcula en multas administrativas. Se calcula en continuidad operacional.

El cumplimiento regulatorio no es un departamento. Es una capacidad organizacional que atraviesa operaciones, tecnología, datos y gobierno. Las instituciones que lo tienen integrado desde el diseño operan con tranquilidad en auditorías. Las que lo tienen como función separada y reactiva siempre están corriendo contra el tiempo de la visita del regulador.

El diagnóstico real: por qué las respuestas habituales no funcionan

Cuando la presión regulatoria sube, la reacción más común en las instituciones financieras medianas y pequeñas es predecible y comprensible: contratar más analistas de cumplimiento, externalizar la validación de clientes con un proveedor de KYC, pedir al área de TI que genere más reportes, y preparar un plan de acción para presentar al regulador que muestre "estamos trabajando en ello".

Esas respuestas no son incorrectas. Son insuficientes. Y en el contexto de 2026, pueden ser activamente peligrosas si se ejecutan en el orden equivocado.

El error más caro — y el más frecuente

Una empresa que implementa un sistema de validación automatizada sin antes validar que sus datos históricos son confiables puede automatizar errores a escala. En el contexto regulatorio de 2026, eso es peor que el problema original. El SAT puede presumir que un ingreso existió basándose en el depósito. Si la conciliación de ese depósito está mal clasificada en el sistema — porque los datos históricos no eran limpios cuando se migró al nuevo sistema — la institución tiene una operación con registro incorrecto ante el regulador, generada automáticamente por el mismo sistema que se implementó para resolver el problema.

El volumen de operaciones en fintech y SOFOMES crece más rápido que la capacidad humana de revisarlas. Eso es real. Pero la solución no es agregar tecnología encima de datos que no están en condiciones. Es, primero, verificar la calidad de la base de datos sobre la que va a operar esa tecnología. Si esa base no está en condiciones, la inversión tecnológica no resuelve el problema — lo desplaza y lo escala.

Lo mismo aplica para PLD. La LFPIORPI exige la identificación del Beneficiario Controlador — la persona física detrás de la persona moral — en todos los clientes. Muchas instituciones tienen en su base de clientes personas morales cuyo expediente solo tiene el RFC y la denominación social. Agregar un sistema de monitoreo transaccional sobre una base de clientes con expedientes incompletos no cumple la regulación. La generará alertas que nadie puede resolver porque el expediente que las contextualiza no existe.

El mapa completo de lo que hay que resolver — y en qué orden

La buena noticia — y es una buena noticia real, no un eufemismo — es que quien entiende bien el problema lo resuelve en semanas, no en años. Con el equipo correcto, con la secuencia correcta y con la claridad de que el objetivo no es impresionar al regulador con un plan de acción de 80 páginas. Es tener los datos, los procesos y los sistemas en condiciones reales de cumplimiento. Eso es más simple de lo que parece cuando se aborda con orden.

1

Diagnóstico de calidad de datos — antes de cualquier tecnología

¿Qué porcentaje de expedientes de clientes actuales tiene la información completa para cumplir KYC según las DCG? ¿Cuántos clientes personas morales tienen identificado al Beneficiario Controlador? ¿Cuántas operaciones de los últimos 24 meses tienen trazabilidad completa — origen, destino, CFDI asociado, clasificación? Ese diagnóstico toma días, no semanas. Y su resultado determina el tamaño real del problema — que frecuentemente es más manejable de lo que parece antes de medirlo.

2

Saneamiento de la base de clientes — KYC y KYB en paralelo con la operación

Los clientes con expedientes incompletos se segmentan por nivel de riesgo y por actividad reciente. Los de alto riesgo y actividad reciente se atienden primero. El proceso de actualización se diseña para ejecutarse en paralelo con la operación normal — no como un proyecto aparte que detiene el negocio. KYC correcto significa identificar al Beneficiario Controlador real, cruzar contra listas restrictivas (UIF, OFAC, ONU, PEPs) y documentar con trazabilidad que esa verificación ocurrió. KYB para personas morales significa ir más allá del RFC: composición accionaria, actividad económica real, fuente de recursos, coherencia entre lo declarado y lo operado.

3

Trazabilidad de operaciones — conciliación limpia que el SAT puede auditar

Cada operación necesita una cadena completa: quién ordenó, con qué propósito declarado, qué CFDI la ampara, cómo fue clasificada contablemente y qué conciliación existe entre lo registrado en el sistema interno y lo que el banco o el SPEI reportan. Eso no requiere un sistema nuevo en todos los casos. Requiere que el sistema existente esté operado correctamente — con catálogos limpios, con clasificaciones consistentes y con el proceso de conciliación ejecutado de forma sistemática. La diferencia entre una institución que supera una auditoría SAT y una que no lo hace frecuentemente no está en el sistema que usan. Está en cómo lo usan.

4

Monitoreo transaccional en tiempo real — la capa que opera sobre los datos sanos

Con la base de clientes saneada y la trazabilidad de operaciones en condiciones, el monitoreo transaccional puede implementarse correctamente. Las reglas de alertas se calibran sobre el comportamiento real de la cartera — no sobre parámetros genéricos de mercado que generan falsos positivos masivos. Las alertas tienen un proceso definido de atención, con responsable, plazo y criterio de clasificación entre Operación Inusual y Operación Sospechosa. El reporte a la UIF en 24 horas deja de ser una carrera contra el tiempo y se convierte en un proceso con pasos definidos.

5

IA con datos limpios — el paso que multiplica todo lo anterior

Con los cuatro pasos anteriores completados, la inteligencia artificial deja de ser un proyecto de innovación y se convierte en un acelerador operacional real. Modelos de detección de anomalías entrenados sobre el comportamiento real de la propia cartera. Scoring de riesgo de clientes actualizado con cada nueva operación. Generación automática de reportes para CNBV, UIF y SAT en los formatos requeridos. Alertas preventivas 15 días antes del vencimiento de obligaciones de reporte. Todo esto existe, funciona y está disponible hoy — sobre datos que estén en condiciones de recibirlo.

"La secuencia correcta no empieza por elegir tecnología. Empieza por entender qué tan confiable es la base de datos sobre la que va a operar esa tecnología. Si esa base no está en condiciones, la inversión no resuelve el problema. Lo desplaza."— Jorge Mercado · #JMCoach · CTO · Arquitectura Empresarial en Sectores Financieros Regulados

La diferencia entre una institución que supera una auditoría de la CNBV o del SAT y una que no lo hace raramente está en el sistema que usa. Está en la calidad de los datos que ese sistema procesa, en la coherencia de los procesos que alimentan esos datos y en la claridad del equipo sobre qué hace cada paso de la operación. Esa claridad es construible. En semanas, no en años.

Lo que las instituciones que resuelven esto bien tienen en común

He trabajado en banca, en fintech regulada bajo CNBV, en SOFOMES y en financieras no reguladas. En todos esos contextos, el patrón de las instituciones que salen bien de las auditorías — de PLD, de SAT, de CNBV — es el mismo. No es el presupuesto más grande. No es el sistema más sofisticado. Es la combinación de tres cosas que suenan obvias y que la mayoría no tiene integradas:

El patrón de las instituciones que cumplen bien

Datos que se mantienen limpios por proceso, no por proyecto. El expediente del cliente se actualiza en el flujo normal de la operación — no en un proyecto de limpieza de datos cada vez que viene una auditoría. La conciliación se hace al cierre de cada día, no a fin de mes. Las clasificaciones contables tienen catálogos controlados que no se modifican sin proceso de cambio documentado.

Responsables claros con autoridad real. El Oficial de Cumplimiento no es el abogado que también hace contratos y también atiende las disputas con proveedores. Es alguien certificado, dedicado, con acceso a la información que necesita y con la autoridad para detener una operación que no cumple los criterios — sin necesitar autorización del director general para hacerlo.

Tecnología que soporta procesos que ya funcionan. El monitoreo transaccional automatizado se implementó sobre un proceso de revisión manual que ya funcionaba correctamente. El reporte a la UIF está automatizado porque el proceso de clasificación de alertas estaba documentado y probado antes de automatizarse. La IA detecta anomalías sobre una base de comportamiento normal que estaba bien definida porque los datos históricos eran confiables.

Esas tres cosas no son costosas. Son disciplinadas. Y la diferencia entre tenerlas y no tenerlas es la diferencia entre una visita de inspección que se cierra en una semana y una que resulta en sanciones, en planes de corrección con seguimiento trimestral y en conversaciones que el consejo directivo no quería tener.

El valor adicional que nadie menciona — pero que es real

El cumplimiento regulatorio bien implementado no es solo un costo de operar. Es una ventaja competitiva documentada. Las instituciones con procesos de KYC robustos tienen menor tasa de fraude por suplantación de identidad — porque el mismo proceso que verifica al cliente para PLD también detecta intentos de apertura con identidades robadas. Las que tienen monitoreo transaccional en tiempo real tienen menor tasa de cartera vencida — porque las alertas de comportamiento inusual frecuentemente preceden los impagos en semanas. Las que tienen trazabilidad de operaciones limpia tienen menor costo de cobranza — porque pueden documentar cada contacto, cada promesa de pago y cada evento del expediente sin buscar información en cuatro sistemas distintos.

Y hay un beneficio que los fondeadores institucionales empiezan a evaluar explícitamente: las instituciones con cumplimiento regulatorio demostrable tienen acceso a tasas de fondeo menores. La CNBV y la UIF publican las sanciones. Los fondos y los bancos corresponsales las leen. Una institución que no ha tenido sanciones PLD en los últimos tres años negocia sus líneas de crédito desde una posición distinta a la de una que tiene dos multas registradas en el buró. Ese diferencial de tasa, calculado sobre una cartera de cientos de millones de pesos, paga varias veces el costo de implementar el cumplimiento correctamente.

Las cinco preguntas que el consejo debería poder responder hoy — sin buscar la información

¿Qué porcentaje de nuestra base de clientes activos tiene expediente KYC completo con Beneficiario Controlador identificado? Si la respuesta requiere más de 24 horas para calcularse, el área de cumplimiento no tiene visibilidad en tiempo real de su propia cartera.

¿Cuándo fue la última operación sospechosa reportada a la UIF — y cuántos días pasaron entre que se detectó y que se reportó? Si el plazo supera 24 horas, hay un proceso que revisar antes de la próxima inspección.

¿Puede el área de contabilidad producir, en menos de dos horas, una conciliación completa entre los depósitos del último mes en todas las cuentas bancarias de la institución y los ingresos registrados en el sistema? Esa es exactamente la información que el SAT puede requerir ahora.

¿El Oficial de Cumplimiento puede detener una operación sin aprobación del director general? Si no, la función de cumplimiento no tiene la independencia que las DCG requieren.

¿Tiene la institución un inventario actualizado de todas sus obligaciones de reporte — SAT, UIF, CNBV — con fecha de vencimiento y responsable asignado? Las instituciones que pierden sanciones por omisión frecuentemente no las perdieron por incumplimiento intencional. Las perdieron porque nadie tenía el calendario.

La regulación de 2026 no tiene vuelta atrás. El SAT tiene más facultades. La CNBV tiene más herramientas y más apetito de usarlas. La UIF opera con plazos que requieren tecnología, no personas adicionales. Y los cárteles catalogados como organizaciones terroristas por EE.UU. han elevado la presión sobre México para demostrar que su sistema financiero no es un canal de lavado — lo que se traduce en supervisión más estricta sobre todas las instituciones, reguladas y no reguladas.

Las instituciones que tomen esto en sus manos hoy — con la secuencia correcta, con el equipo correcto y con la claridad de que el objetivo es tener los datos, los procesos y los sistemas en condiciones reales — van a salir de 2026 más fuertes que cuando entraron. Las que esperen la visita de inspección para moverse van a descubrir que el regulador tiene más información sobre sus operaciones de la que ellas tienen sobre sí mismas.

Fuentes: CNBV Sanciones PLD 2024 · Expansión "CNBV impone multas de 216 mdp por deficiencias en PLD" marzo 2025 · Regcheq.com.mx "Regulación y sanciones: el impacto de las multas de la CNBV" 2025 · Holland & Knight "Reforma Fiscal para 2026 en México" noviembre 2025 · Expansion.mx "El SAT quiere vigilar más tus cuentas bancarias y de Sofipos" septiembre 2025 · Consolide.com "CFF 2026: Nuevas Adiciones y Modificaciones de la Reforma Fiscal" diciembre 2025 · ContadorMx "Reforma CFF 2026: Cambios al CFF que no deben ignorarse" noviembre 2025 · Piranirisk.com "LFPIORPI 2025: sanciones, prevención y el papel clave de la tecnología" 2025 · LFPIORPI.com "Guía completa LFPIORPI 2026" · Armor-AML "Qué es PLD: Guía completa" abril 2026 · SAE&CIA "El cumplimiento fiscal y legal en México en 2025" septiembre 2025 · Blog MySuite MEX "CFF 2026: cambios que no deben ignorarse" · Contadores mismo lenguaje "Propuesta Reforma Fiscal 2026" septiembre 2025.

Jorge Mercado · #JMCoach

 

El sistema financiero
que falla — y solo se
reporta una parte

En el primer semestre de 2025, los mexicanos presentaron 2.48 millones de reclamaciones por fraude con pérdidas de $10,714 millones de pesos. Las instituciones reembolsaron el 10% de lo reclamado. BBVA lidera quejas por caídas. Banco del Bienestar acumula 65,235 reclamaciones por fraude. Las empresas no reguladas no reportan nada. Y los huecos entre la CNBV, Banxico y la CONDUSEF los paga el usuario. Esto tiene solución. Y alguien tiene que decirlo con datos.

Hay una escena que ocurre miles de veces al día en México. Una persona intenta hacer una transferencia SPEI en quincena, la app cae, intenta de nuevo, el cobro se hace pero el dinero no llega, llama al banco y espera cuarenta minutos en la línea, y termina el día sin saber si su dinero está en tránsito, si fue robado, o si la institución simplemente no funcionó. Esa escena no es un accidente. Es la consecuencia de sistemas financieros que crecieron rápido sin crecer bien, de una regulación que cubre partes del problema sin integrar el todo, de empresas que prefieren no reportar incidentes porque reportar tiene costos y silenciar tiene precio de mercado. Y del usuario que termina pagando — con su tiempo, con su dinero, con su confianza erosionada — el costo de una industria que no se ha exigido los estándares que el volumen de dinero que maneja merecería.

2.48Mreclamaciones por fraude en el primer semestre de 2025 — 10 denuncias por minuto, 5.2% más que 2024CONDUSEF · Vanguardia · Xataka MX · 2025

$10,714Mpesos reclamados por fraude bancario solo en el primer semestre de 2025 — el 72% de todos los recursos reclamados ante la bancaCONDUSEF · 2025

10%de lo reclamado fue reembolsado por las instituciones financieras — 90 centavos de cada peso perdido se los queda el fraudeCONDUSEF · Vanguardia · 2025

$634Men fraudes por suplantación de identidad en el primer semestre 2025 — aumento de 24.6% anualCONDUSEF · 2025

60%de todas las quejas CONDUSEF son ya fraudes digitales — phishing, vishing, sitios clonados, SIM swappingCONDUSEF · 2025

El fraude financiero digital en México ya no es un riesgo marginal. Es un riesgo sistémico que el sector no ha tratado como tal. 10 denuncias por minuto. $10,714 millones reclamados en seis meses. Y las instituciones reembolsan el 10%. Esa ecuación no es un accidente de mercado — es el resultado de incentivos que favorecen la opacidad sobre la rendición de cuentas.

Las caídas que todos viven y nadie publica

Banxico publica en su sitio una lista de "principales incidentes cibernéticos" del sistema financiero mexicano. Es un documento útil — y profundamente incompleto. En 2024 reportó dos incidentes cibernéticos por un monto de $140.5 millones de pesos. En 2023, $89.08 millones. Los montos son reales. El problema es lo que no está ahí.

Las caídas de servicio — apps bancarias que no funcionan, SPEI que no procesa en quincena, portales que colapsan en horarios de alta demanda — no son "incidentes cibernéticos" y por lo tanto no entran en ese reporte. Las quejas por cargos no reconocidos van a la CONDUSEF, no a Banxico. Los hackeos que las instituciones detectan internamente sin afectación a clientes quedan fuera del umbral de reporte obligatorio. Y las empresas financieras que operan fuera del perímetro regulado — prestamistas digitales sin licencia, departamentales con modelos de crédito propios, plataformas de inversión sin supervisión adecuada — simplemente no reportan nada porque no tienen a quién reportarle.

Las caídas documentadas · 2024–2025 · Fuentes abiertas

BBVA México: lidera las quejas por fallas en 2025 según Downdetector y reportes CONDUSEF, con múltiples incidentes documentados en enero, febrero, julio y agosto. El 17 de julio se registraron más de 3,600 reportes simultáneos de problemas en la app. El banco tiene más usuarios digitales que cualquier otra institución en México — lo que amplifica el impacto de cada falla.

Santander y Banco Azteca: fallas recurrentes en fechas de quincena — el 1 y 15 de cada mes — que CONDUSEF ha documentado como pico de quejas. Banco Azteca, con presencia masiva en segmentos de bajos ingresos, tiene una base de usuarios para quienes una falla en quincena no es inconveniencia: es una crisis.

SPEI: desde las elecciones de junio 2024, múltiples intermitencias documentadas por usuarios y medios. Banxico no publica reportes detallados de estas fallas en su sitio web — las que se conocen provienen de Downdetector, redes sociales y publicaciones de medios. El 74% de las quejas reportadas están relacionadas con banca móvil: inicios de sesión fallidos o transacciones no procesadas.

Banco del Bienestar: 65,235 reclamaciones ante CONDUSEF en 2025 — el 63% de todas las quejas de la banca de desarrollo. Principalmente fraudes y posibles suplantaciones de identidad sobre cuentas de beneficiarios de programas sociales. Población vulnerable, dependiente de esos recursos, con mínimas herramientas para defenderse.

Incidentes cibernéticos formales 2024: Banxico reportó dos — uno en una SOFIPE, otro en un banco. Afectaciones totales declaradas: $140.5 millones de pesos. El gap entre ese número y las pérdidas reales por fraude del mismo período no se explica solo por eficiencia: se explica por los umbrales de reporte y por lo que queda fuera del marco.

El 74% de las quejas por fallas bancarias en México en 2025 provienen de la banca móvil. La app que no carga en quincena no es un inconveniente técnico menor. Es el punto de falla de un sistema financiero que migró a lo digital sin construir la resiliencia operacional que esa migración requería.

Los huecos regulatorios: lo que la CNBV cubre, lo que Banxico cubre, y lo que nadie cubre

El sistema de supervisión financiera en México está fragmentado por diseño histórico — y cada fragmento tiene lógica en su origen. El problema es que la fragmentación crea espacios donde las instituciones pueden elegir a cuál regulador reportar qué, cuándo y en qué formato. Y donde las empresas que no califican como "institución financiera" bajo ninguna definición regulatoria operan sin obligación de reportar prácticamente nada.

El mapa de la regulación y sus vacíos · CNBV · Banxico · CONDUSEF · INAI

CNBV supervisa bancos, SOFIPOS, casas de bolsa, aseguradoras y fintech con licencia ITF. Sus atribuciones incluyen supervisión prudencial, capitalización, y en casos graves, intervención. Lo que no incluye: las fallas operacionales diarias que no alcanzan umbrales de reporte, los hackeos sin pérdida directa de fondos, y todas las entidades que operan en la frontera de lo que técnicamente requiere licencia.

Banxico supervisa la operación del SPEI y la estabilidad del sistema de pagos. Publica incidentes cibernéticos cuando las instituciones los reportan. Las caídas de servicio que no tienen origen en un ataque no son "incidentes cibernéticos". Las fallas de app que generan 3,600 quejas simultáneas no aparecen en el reporte de Banxico.

CONDUSEF recibe las quejas de los usuarios. Puede mediar, puede sancionar en algunos casos, puede publicar el Buró de Entidades Financieras. No tiene facultades de supervisión técnica ni de auditoría de sistemas. Cuando la CONDUSEF documenta 2.48 millones de reclamaciones por fraude, esa cifra es el resultado de lo que los usuarios denuncian — no de lo que las instituciones reportan proactivamente.

El INAI supervisaba en aprte la protección de datos personales — incluyendo los datos financieros que las instituciones manejan. Las brechas de datos que no involucran pérdida de fondos directa frecuentemente no tienen canal claro de reporte cruzado entre INAI y CNBV. El usuario cuya información fue comprometida puede no saber que lo fue.

Las empresas no reguladas — prestamistas digitales sin licencia ITF, plataformas de inversión que operan en zona gris, departamentales con modelos de crédito propio, aplicaciones de "ahorro" sin supervisión — no reportan a ninguna de las entidades anteriores. Sus incidentes, sus tasas de fraude, sus fallas operacionales y sus prácticas de PLD son invisibles para el sistema de supervisión. Y su base de usuarios en México es significativa.

La consecuencia práctica de esta fragmentación es que la información disponible públicamente sobre el estado real de la seguridad y confiabilidad del sistema financiero mexicano es una fracción del problema real. Al menos 3 de cada 10 instituciones financieras globalmente sufren fraude por suplantación de identidad según Regula — y ese número aplica independientemente del tamaño. En México, con 1,004 proveedores de servicios fintech y solo 84 regulados por la CNBV como ITF, el espacio no reportado es estructuralmente grande.

Las empresas no reguladas: el caos que no aparece en ningún reporte

Hay un segmento del mercado financiero mexicano que no aparece en las estadísticas de CONDUSEF, no está en el reporte de incidentes de Banxico y no tiene ficha en el CNBV: las empresas que prestan servicios financieros sin ser instituciones financieras reguladas. La lista es larga y variada: prestamistas digitales que operan bajo modelo de comisionista, plataformas de ahorro e inversión colectiva que no califican técnicamente como SOFIPOS, departamentales que emiten tarjetas de crédito bajo convenios con bancos pero operan sus propios sistemas de gestión, aplicaciones de microcrédito que cobran tasas de interés efectivas que superan el 200% anual sin ninguna obligación de revelarlas en formato estandarizado.

El sector sin reporte · Entidades no reguladas · PLD · Hackeos · Prácticas

PLD (Prevención de Lavado de Dinero): Las instituciones reguladas tienen obligaciones específicas de identificación de clientes (KYC), monitoreo de operaciones inusuales y reporte a la Unidad de Inteligencia Financiera (UIF). Las entidades no reguladas o parcialmente reguladas tienen obligaciones menores y supervisión prácticamente nula. En junio de 2025, tres instituciones financieras mexicanas fueron sancionadas por el Tesoro de EE.UU. por facilitar lavado de dinero — evidencia de que el problema no es solo de las entidades más pequeñas.

Hackeos no reportados: Una empresa fintech que no es institución financiera regulada no tiene obligación legal de reportar una brecha de datos a la CNBV. Puede tener obligación de notificar al INAI si los datos son personales, pero los umbrales y plazos son distintos. En la práctica, muchas brechas en empresas fintech no reguladas no llegan a ningún regulador — se manejan internamente, se minimizan en comunicación pública o simplemente no se divulgan.

Tasas y condiciones: Las instituciones reguladas tienen obligaciones de revelación de CAT (Costo Anual Total) en formato estandarizado. Las no reguladas frecuentemente revelan tasas de forma fragmentada, con cargos adicionales que no aparecen en la comunicación inicial. El usuario que contrata un "préstamo exprés" con una app no regulada puede descubrir que la tasa efectiva anual es de 200% a 400% solo cuando ya debe el dinero.

La diferencia entre una institución financiera regulada con buen gobierno y una entidad que opera en los márgenes de la regulación no es solo de tamaño o tecnología. Es de accountability: quién responde cuando algo sale mal, ante quién, con qué consecuencias y con qué mecanismo de protección para el usuario. En México, ese accountability existe en papel para una fracción del mercado real.

El costo que paga quien menos puede pagarlo

Hay un patrón documentado en los datos de CONDUSEF que debería generar más debate del que genera: los usuarios más afectados por fraude bancario y por fallas de servicio son los más vulnerables. El 40% de las víctimas de robo de información bancaria documentadas en Sinaloa son adultos mayores. Los beneficiarios de programas sociales que dependen de Banco del Bienestar son los que generaron el 63% de las quejas de banca de desarrollo. Los usuarios de Banco Azteca — con presencia masiva en sectores de bajos ingresos — son los que más sienten las fallas en quincena.

Eso no es coincidencia. Es el resultado de un sistema donde los recursos para proteger a los usuarios están distribuidos de forma inversa a la vulnerabilidad de esos usuarios. Los usuarios de instituciones con mayor inversión en ciberseguridad tienen menor probabilidad de ser defraudados y mayor probabilidad de ser reembolsados cuando lo son. Los usuarios de instituciones con menor inversión técnica — frecuentemente las que atienden segmentos de menores ingresos — tienen la experiencia opuesta.

"Las 10 denuncias por minuto que registra la CONDUSEF no son solo una estadística de fraude. Son el índice de falibilidad de un sistema financiero que creció en usuarios mucho más rápido de lo que creció en responsabilidad."

Lo que puede y debe construirse — ahora

El diagnóstico es severo. La oportunidad es proporcional. Porque cada uno de estos problemas tiene solución documentada, probada en mercados comparables, y económicamente viable para cualquier institución que decida construirla en lugar de posponer la conversación.

Un estándar de reporte unificado para todos los actores del mercado

Regulación · Reporte · Transparencia · CNBV · Banxico · CONDUSEF

La fragmentación regulatoria no se resuelve creando una nueva entidad. Se resuelve con un estándar de reporte unificado que todos los actores del mercado financiero — regulados o no — deben cumplir para operar: incidentes de servicio con afectación a usuarios, brechas de datos, tasas de fraude por producto y canal, tiempos de resolución de reclamaciones. Brasil implementó el Pix con obligaciones de reporte y estándares de resiliencia para todos los participantes — regulados y fintechs — desde el primer día de operación. El resultado es documentable: el sistema procesa más de $70 millones de transacciones diarias con índices de disponibilidad superiores al 99.9%. El estándar no mató la innovación. La ordenó.

KYC y KYB reales — no el formulario que nadie verifica

KYC · KYB · Biometría · Identidad · PLD

El 24.6% de aumento anual en fraude por suplantación de identidad no es un problema de tecnología inexistente — es un problema de tecnología mal implementada. La verificación biométrica de identidad en tiempo real existe, funciona y reduce el fraude de suplantación de forma documentada. El KYB (Know Your Business) para verificar la legitimidad de personas morales que abren cuentas o solicitan crédito existe. Lo que no existe, en muchas instituciones, es la voluntad de implementarlos a costo y fricción adicional en la etapa de onboarding. 3 de cada 10 instituciones financieras globalmente sufren fraude por suplantación — y la biometría bien implementada puede reducirlo en más del 70%, según Regula 2025. La pregunta no es si la tecnología funciona. Es si la institución está dispuesta a usarla antes de que el regulador la obligue.

Continuidad real — no el plan de contingencia que nadie ha probado

Continuidad · Resiliencia · Observabilidad · SLA

La app bancaria que cae en quincena con 3,600 quejas simultáneas no cayó por un evento imprevisible. Cayó porque nadie probó la capacidad del sistema a la carga máxima predecible — que es exactamente el 1 y 15 de cada mes, siempre. La continuidad operacional real requiere pruebas de carga reales, arquitectura de alta disponibilidad, observabilidad continua con alertas antes de que el usuario sienta la falla, y un SLA (acuerdo de nivel de servicio) que el usuario pueda ver, auditar y reclamar cuando no se cumple. Las instituciones que publican sus índices de disponibilidad mensualmente tienen significativamente menos fallas no gestionadas que las que no lo hacen — porque la visibilidad pública crea el incentivo correcto.

IA aplicada con criterio — no como sustituto del proceso faltante

IA · Detección de Fraude · Modelos Predictivos · Proceso Primero

La detección de fraude con IA puede reducir las pérdidas en un 40% a 60% respecto de sistemas basados en reglas estáticas. Pero ese resultado se obtiene cuando la IA opera sobre datos limpios, procesos definidos y con un equipo que sabe actuar sobre las alertas que el modelo genera. La IA que detecta un posible fraude y envía la alerta a una bandeja de correo que nadie revisa en tiempo real no reduce pérdidas — genera falsa sensación de protección. El proceso correcto es: datos estructurados → modelo entrenado sobre fraude real de esa institución → alerta en tiempo real → proceso definido de respuesta → bloqueo o step-up de autenticación → retroalimentación al modelo. En ese orden. Y la IA agrega valor en cada paso — no como sustituto de los pasos que faltan.

Revenue y engagement con ética — no a costa del usuario

Revenue · Engagement · Lealtad · Productos · Confianza

La institución financiera que resuelve los problemas documentados en este artículo no pierde revenue — lo aumenta. El usuario que confía en que su banco lo protege, que sabe que sus datos están seguros, que tiene certeza de que la app funciona cuando la necesita y que sabe que si algo sale mal va a ser resuelto de forma justa — ese usuario no se va. Renueva. Agrega productos. Refiere. El Lifetime Value de un cliente con alta confianza institucional es entre 2.5x y 4x el de un cliente que se queda por inercia pero busca alternativa. Las instituciones que combinan seguridad real, procesos bien definidos e IA aplicada con criterio tienen tasas de retención 30 a 40 puntos porcentuales por encima del promedio del sector, según BCG. La ética en servicios financieros no es filantropía. Es el modelo de negocio más rentable a largo plazo.

Los equipos que construyen el sistema financiero confiable no son los más numerosos ni los más caros. Son los que tienen claridad sobre el problema que están resolviendo, los procesos que lo resuelven, los datos que esos procesos generan y la tecnología que escala todo eso. Esa combinación — no la tecnología sola — es lo que separa a las instituciones que generan confianza de las que la erosionan.

Las cinco preguntas que cada institución financiera debería poder responder hoy

¿Cuál es tu índice de disponibilidad del último trimestre — por producto y por canal? No el promedio anual. El número real, semana a semana, con los picos de quincena incluidos.

¿Qué porcentaje de tus reclamaciones por fraude resultaron en reembolso al usuario — y en cuántos días? Si la respuesta no está disponible en 30 segundos, el sistema de gestión de reclamaciones no está integrado al negocio.

¿Cuándo fue la última vez que probaste tu plan de continuidad operacional con una carga equivalente al día de quincena? No el plan en papel. La prueba real.

¿Qué porcentaje de tus usuarios nuevos pasa por verificación biométrica de identidad en el onboarding? Y de los que no — ¿cuál es su tasa de fraude comparada con los que sí?

¿Cuántos de tus procesos de detección de fraude generan alertas que nadie actúa en tiempo real? Si hay alertas que esperan cola, el modelo de detección está generando costo sin beneficio.

El sistema financiero mexicano tiene capacidad para ser de los mejores de América Latina. Tiene el volumen — 579 billones de pesos procesados anualmente por SPEI. Tiene la penetración — más de 85 millones de usuarios de banca digital. Tiene la regulación base — la Ley Fintech de 2018 fue pionera en la región. Lo que no tiene todavía es la cultura institucional de rendir cuentas sobre lo que falla, con la misma visibilidad con la que promociona lo que funciona.

Ese cambio no requiere nueva legislación ni nuevas entidades supervisoras. Requiere que las instituciones decidan que la confianza del usuario no es un atributo de marketing — es el activo más valioso que tienen, y el más frágil. Y que construirlo requiere exactamente lo que este artículo describe: transparencia, procesos reales, tecnología con propósito y la honestidad de publicar los números que duelen tanto como los que se presumen.

Fuentes: CONDUSEF Informe de Autoevaluación Enero–Junio 2025 · Vanguardia "Crece la estafa digital: más de 2.4 millones de fraudes bancarios en México durante 2025" noviembre 2025 · Xataka MX "Los fraudes bancarios en México ya son un problema alarmante: casi 10 denuncias por minuto" marzo 2026 · Bernezmx.com "Entendiendo SPEI: fallas en aplicaciones bancarias 2025" agosto 2025 · Banco de México "Principales incidentes cibernéticos 2023–2024" sitio oficial · CiberCorp "Incidentes cibernéticos en el sistema financiero mexicano 2024" octubre 2024 · Regula "Factores que están transformando la verificación de identidad en banca y fintech 2026" noviembre 2025 · El Imparcial "Fraudes, cargos indebidos y robo de identidad disparan las quejas contra el Banco del Bienestar" abril 2026 · CONDUSEF Buró de Entidades Financieras 2025 · BCG / QED Fintech Report 2025 · Revista Espejo "Quejas por cargos no reconocidos en Sinaloa aumentan en 20%" abril 2025 · Expansión / Banxico SPEI datos operativos 2024–2025.

Jorge Mercado · #JMCoach