El sistema financiero
que falla — y solo se
reporta una parte
En el primer semestre de 2025, los mexicanos presentaron 2.48 millones de reclamaciones por fraude con pérdidas de $10,714 millones de pesos. Las instituciones reembolsaron el 10% de lo reclamado. BBVA lidera quejas por caídas. Banco del Bienestar acumula 65,235 reclamaciones por fraude. Las empresas no reguladas no reportan nada. Y los huecos entre la CNBV, Banxico y la CONDUSEF los paga el usuario. Esto tiene solución. Y alguien tiene que decirlo con datos.
Hay una escena que ocurre miles de veces al día en México. Una persona intenta hacer una transferencia SPEI en quincena, la app cae, intenta de nuevo, el cobro se hace pero el dinero no llega, llama al banco y espera cuarenta minutos en la línea, y termina el día sin saber si su dinero está en tránsito, si fue robado, o si la institución simplemente no funcionó. Esa escena no es un accidente. Es la consecuencia de sistemas financieros que crecieron rápido sin crecer bien, de una regulación que cubre partes del problema sin integrar el todo, de empresas que prefieren no reportar incidentes porque reportar tiene costos y silenciar tiene precio de mercado. Y del usuario que termina pagando — con su tiempo, con su dinero, con su confianza erosionada — el costo de una industria que no se ha exigido los estándares que el volumen de dinero que maneja merecería.
El fraude financiero digital en México ya no es un riesgo marginal. Es un riesgo sistémico que el sector no ha tratado como tal. 10 denuncias por minuto. $10,714 millones reclamados en seis meses. Y las instituciones reembolsan el 10%. Esa ecuación no es un accidente de mercado — es el resultado de incentivos que favorecen la opacidad sobre la rendición de cuentas.
Las caídas que todos viven y nadie publica
Banxico publica en su sitio una lista de "principales incidentes cibernéticos" del sistema financiero mexicano. Es un documento útil — y profundamente incompleto. En 2024 reportó dos incidentes cibernéticos por un monto de $140.5 millones de pesos. En 2023, $89.08 millones. Los montos son reales. El problema es lo que no está ahí.
Las caídas de servicio — apps bancarias que no funcionan, SPEI que no procesa en quincena, portales que colapsan en horarios de alta demanda — no son "incidentes cibernéticos" y por lo tanto no entran en ese reporte. Las quejas por cargos no reconocidos van a la CONDUSEF, no a Banxico. Los hackeos que las instituciones detectan internamente sin afectación a clientes quedan fuera del umbral de reporte obligatorio. Y las empresas financieras que operan fuera del perímetro regulado — prestamistas digitales sin licencia, departamentales con modelos de crédito propios, plataformas de inversión sin supervisión adecuada — simplemente no reportan nada porque no tienen a quién reportarle.
BBVA México: lidera las quejas por fallas en 2025 según Downdetector y reportes CONDUSEF, con múltiples incidentes documentados en enero, febrero, julio y agosto. El 17 de julio se registraron más de 3,600 reportes simultáneos de problemas en la app. El banco tiene más usuarios digitales que cualquier otra institución en México — lo que amplifica el impacto de cada falla.
Santander y Banco Azteca: fallas recurrentes en fechas de quincena — el 1 y 15 de cada mes — que CONDUSEF ha documentado como pico de quejas. Banco Azteca, con presencia masiva en segmentos de bajos ingresos, tiene una base de usuarios para quienes una falla en quincena no es inconveniencia: es una crisis.
SPEI: desde las elecciones de junio 2024, múltiples intermitencias documentadas por usuarios y medios. Banxico no publica reportes detallados de estas fallas en su sitio web — las que se conocen provienen de Downdetector, redes sociales y publicaciones de medios. El 74% de las quejas reportadas están relacionadas con banca móvil: inicios de sesión fallidos o transacciones no procesadas.
Banco del Bienestar: 65,235 reclamaciones ante CONDUSEF en 2025 — el 63% de todas las quejas de la banca de desarrollo. Principalmente fraudes y posibles suplantaciones de identidad sobre cuentas de beneficiarios de programas sociales. Población vulnerable, dependiente de esos recursos, con mínimas herramientas para defenderse.
Incidentes cibernéticos formales 2024: Banxico reportó dos — uno en una SOFIPE, otro en un banco. Afectaciones totales declaradas: $140.5 millones de pesos. El gap entre ese número y las pérdidas reales por fraude del mismo período no se explica solo por eficiencia: se explica por los umbrales de reporte y por lo que queda fuera del marco.
El 74% de las quejas por fallas bancarias en México en 2025 provienen de la banca móvil. La app que no carga en quincena no es un inconveniente técnico menor. Es el punto de falla de un sistema financiero que migró a lo digital sin construir la resiliencia operacional que esa migración requería.
Los huecos regulatorios: lo que la CNBV cubre, lo que Banxico cubre, y lo que nadie cubre
El sistema de supervisión financiera en México está fragmentado por diseño histórico — y cada fragmento tiene lógica en su origen. El problema es que la fragmentación crea espacios donde las instituciones pueden elegir a cuál regulador reportar qué, cuándo y en qué formato. Y donde las empresas que no califican como "institución financiera" bajo ninguna definición regulatoria operan sin obligación de reportar prácticamente nada.
CNBV supervisa bancos, SOFIPOS, casas de bolsa, aseguradoras y fintech con licencia ITF. Sus atribuciones incluyen supervisión prudencial, capitalización, y en casos graves, intervención. Lo que no incluye: las fallas operacionales diarias que no alcanzan umbrales de reporte, los hackeos sin pérdida directa de fondos, y todas las entidades que operan en la frontera de lo que técnicamente requiere licencia.
Banxico supervisa la operación del SPEI y la estabilidad del sistema de pagos. Publica incidentes cibernéticos cuando las instituciones los reportan. Las caídas de servicio que no tienen origen en un ataque no son "incidentes cibernéticos". Las fallas de app que generan 3,600 quejas simultáneas no aparecen en el reporte de Banxico.
CONDUSEF recibe las quejas de los usuarios. Puede mediar, puede sancionar en algunos casos, puede publicar el Buró de Entidades Financieras. No tiene facultades de supervisión técnica ni de auditoría de sistemas. Cuando la CONDUSEF documenta 2.48 millones de reclamaciones por fraude, esa cifra es el resultado de lo que los usuarios denuncian — no de lo que las instituciones reportan proactivamente.
El INAI supervisaba en aprte la protección de datos personales — incluyendo los datos financieros que las instituciones manejan. Las brechas de datos que no involucran pérdida de fondos directa frecuentemente no tienen canal claro de reporte cruzado entre INAI y CNBV. El usuario cuya información fue comprometida puede no saber que lo fue.
Las empresas no reguladas — prestamistas digitales sin licencia ITF, plataformas de inversión que operan en zona gris, departamentales con modelos de crédito propio, aplicaciones de "ahorro" sin supervisión — no reportan a ninguna de las entidades anteriores. Sus incidentes, sus tasas de fraude, sus fallas operacionales y sus prácticas de PLD son invisibles para el sistema de supervisión. Y su base de usuarios en México es significativa.
La consecuencia práctica de esta fragmentación es que la información disponible públicamente sobre el estado real de la seguridad y confiabilidad del sistema financiero mexicano es una fracción del problema real. Al menos 3 de cada 10 instituciones financieras globalmente sufren fraude por suplantación de identidad según Regula — y ese número aplica independientemente del tamaño. En México, con 1,004 proveedores de servicios fintech y solo 84 regulados por la CNBV como ITF, el espacio no reportado es estructuralmente grande.
Las empresas no reguladas: el caos que no aparece en ningún reporte
Hay un segmento del mercado financiero mexicano que no aparece en las estadísticas de CONDUSEF, no está en el reporte de incidentes de Banxico y no tiene ficha en el CNBV: las empresas que prestan servicios financieros sin ser instituciones financieras reguladas. La lista es larga y variada: prestamistas digitales que operan bajo modelo de comisionista, plataformas de ahorro e inversión colectiva que no califican técnicamente como SOFIPOS, departamentales que emiten tarjetas de crédito bajo convenios con bancos pero operan sus propios sistemas de gestión, aplicaciones de microcrédito que cobran tasas de interés efectivas que superan el 200% anual sin ninguna obligación de revelarlas en formato estandarizado.
PLD (Prevención de Lavado de Dinero): Las instituciones reguladas tienen obligaciones específicas de identificación de clientes (KYC), monitoreo de operaciones inusuales y reporte a la Unidad de Inteligencia Financiera (UIF). Las entidades no reguladas o parcialmente reguladas tienen obligaciones menores y supervisión prácticamente nula. En junio de 2025, tres instituciones financieras mexicanas fueron sancionadas por el Tesoro de EE.UU. por facilitar lavado de dinero — evidencia de que el problema no es solo de las entidades más pequeñas.
Hackeos no reportados: Una empresa fintech que no es institución financiera regulada no tiene obligación legal de reportar una brecha de datos a la CNBV. Puede tener obligación de notificar al INAI si los datos son personales, pero los umbrales y plazos son distintos. En la práctica, muchas brechas en empresas fintech no reguladas no llegan a ningún regulador — se manejan internamente, se minimizan en comunicación pública o simplemente no se divulgan.
Tasas y condiciones: Las instituciones reguladas tienen obligaciones de revelación de CAT (Costo Anual Total) en formato estandarizado. Las no reguladas frecuentemente revelan tasas de forma fragmentada, con cargos adicionales que no aparecen en la comunicación inicial. El usuario que contrata un "préstamo exprés" con una app no regulada puede descubrir que la tasa efectiva anual es de 200% a 400% solo cuando ya debe el dinero.
La diferencia entre una institución financiera regulada con buen gobierno y una entidad que opera en los márgenes de la regulación no es solo de tamaño o tecnología. Es de accountability: quién responde cuando algo sale mal, ante quién, con qué consecuencias y con qué mecanismo de protección para el usuario. En México, ese accountability existe en papel para una fracción del mercado real.
El costo que paga quien menos puede pagarlo
Hay un patrón documentado en los datos de CONDUSEF que debería generar más debate del que genera: los usuarios más afectados por fraude bancario y por fallas de servicio son los más vulnerables. El 40% de las víctimas de robo de información bancaria documentadas en Sinaloa son adultos mayores. Los beneficiarios de programas sociales que dependen de Banco del Bienestar son los que generaron el 63% de las quejas de banca de desarrollo. Los usuarios de Banco Azteca — con presencia masiva en sectores de bajos ingresos — son los que más sienten las fallas en quincena.
Eso no es coincidencia. Es el resultado de un sistema donde los recursos para proteger a los usuarios están distribuidos de forma inversa a la vulnerabilidad de esos usuarios. Los usuarios de instituciones con mayor inversión en ciberseguridad tienen menor probabilidad de ser defraudados y mayor probabilidad de ser reembolsados cuando lo son. Los usuarios de instituciones con menor inversión técnica — frecuentemente las que atienden segmentos de menores ingresos — tienen la experiencia opuesta.
"Las 10 denuncias por minuto que registra la CONDUSEF no son solo una estadística de fraude. Son el índice de falibilidad de un sistema financiero que creció en usuarios mucho más rápido de lo que creció en responsabilidad."
Lo que puede y debe construirse — ahora
El diagnóstico es severo. La oportunidad es proporcional. Porque cada uno de estos problemas tiene solución documentada, probada en mercados comparables, y económicamente viable para cualquier institución que decida construirla en lugar de posponer la conversación.
Un estándar de reporte unificado para todos los actores del mercado
La fragmentación regulatoria no se resuelve creando una nueva entidad. Se resuelve con un estándar de reporte unificado que todos los actores del mercado financiero — regulados o no — deben cumplir para operar: incidentes de servicio con afectación a usuarios, brechas de datos, tasas de fraude por producto y canal, tiempos de resolución de reclamaciones. Brasil implementó el Pix con obligaciones de reporte y estándares de resiliencia para todos los participantes — regulados y fintechs — desde el primer día de operación. El resultado es documentable: el sistema procesa más de $70 millones de transacciones diarias con índices de disponibilidad superiores al 99.9%. El estándar no mató la innovación. La ordenó.
KYC y KYB reales — no el formulario que nadie verifica
El 24.6% de aumento anual en fraude por suplantación de identidad no es un problema de tecnología inexistente — es un problema de tecnología mal implementada. La verificación biométrica de identidad en tiempo real existe, funciona y reduce el fraude de suplantación de forma documentada. El KYB (Know Your Business) para verificar la legitimidad de personas morales que abren cuentas o solicitan crédito existe. Lo que no existe, en muchas instituciones, es la voluntad de implementarlos a costo y fricción adicional en la etapa de onboarding. 3 de cada 10 instituciones financieras globalmente sufren fraude por suplantación — y la biometría bien implementada puede reducirlo en más del 70%, según Regula 2025. La pregunta no es si la tecnología funciona. Es si la institución está dispuesta a usarla antes de que el regulador la obligue.
Continuidad real — no el plan de contingencia que nadie ha probado
La app bancaria que cae en quincena con 3,600 quejas simultáneas no cayó por un evento imprevisible. Cayó porque nadie probó la capacidad del sistema a la carga máxima predecible — que es exactamente el 1 y 15 de cada mes, siempre. La continuidad operacional real requiere pruebas de carga reales, arquitectura de alta disponibilidad, observabilidad continua con alertas antes de que el usuario sienta la falla, y un SLA (acuerdo de nivel de servicio) que el usuario pueda ver, auditar y reclamar cuando no se cumple. Las instituciones que publican sus índices de disponibilidad mensualmente tienen significativamente menos fallas no gestionadas que las que no lo hacen — porque la visibilidad pública crea el incentivo correcto.
IA aplicada con criterio — no como sustituto del proceso faltante
La detección de fraude con IA puede reducir las pérdidas en un 40% a 60% respecto de sistemas basados en reglas estáticas. Pero ese resultado se obtiene cuando la IA opera sobre datos limpios, procesos definidos y con un equipo que sabe actuar sobre las alertas que el modelo genera. La IA que detecta un posible fraude y envía la alerta a una bandeja de correo que nadie revisa en tiempo real no reduce pérdidas — genera falsa sensación de protección. El proceso correcto es: datos estructurados → modelo entrenado sobre fraude real de esa institución → alerta en tiempo real → proceso definido de respuesta → bloqueo o step-up de autenticación → retroalimentación al modelo. En ese orden. Y la IA agrega valor en cada paso — no como sustituto de los pasos que faltan.
Revenue y engagement con ética — no a costa del usuario
La institución financiera que resuelve los problemas documentados en este artículo no pierde revenue — lo aumenta. El usuario que confía en que su banco lo protege, que sabe que sus datos están seguros, que tiene certeza de que la app funciona cuando la necesita y que sabe que si algo sale mal va a ser resuelto de forma justa — ese usuario no se va. Renueva. Agrega productos. Refiere. El Lifetime Value de un cliente con alta confianza institucional es entre 2.5x y 4x el de un cliente que se queda por inercia pero busca alternativa. Las instituciones que combinan seguridad real, procesos bien definidos e IA aplicada con criterio tienen tasas de retención 30 a 40 puntos porcentuales por encima del promedio del sector, según BCG. La ética en servicios financieros no es filantropía. Es el modelo de negocio más rentable a largo plazo.
Los equipos que construyen el sistema financiero confiable no son los más numerosos ni los más caros. Son los que tienen claridad sobre el problema que están resolviendo, los procesos que lo resuelven, los datos que esos procesos generan y la tecnología que escala todo eso. Esa combinación — no la tecnología sola — es lo que separa a las instituciones que generan confianza de las que la erosionan.
¿Cuál es tu índice de disponibilidad del último trimestre — por producto y por canal? No el promedio anual. El número real, semana a semana, con los picos de quincena incluidos.
¿Qué porcentaje de tus reclamaciones por fraude resultaron en reembolso al usuario — y en cuántos días? Si la respuesta no está disponible en 30 segundos, el sistema de gestión de reclamaciones no está integrado al negocio.
¿Cuándo fue la última vez que probaste tu plan de continuidad operacional con una carga equivalente al día de quincena? No el plan en papel. La prueba real.
¿Qué porcentaje de tus usuarios nuevos pasa por verificación biométrica de identidad en el onboarding? Y de los que no — ¿cuál es su tasa de fraude comparada con los que sí?
¿Cuántos de tus procesos de detección de fraude generan alertas que nadie actúa en tiempo real? Si hay alertas que esperan cola, el modelo de detección está generando costo sin beneficio.
El sistema financiero mexicano tiene capacidad para ser de los mejores de América Latina. Tiene el volumen — 579 billones de pesos procesados anualmente por SPEI. Tiene la penetración — más de 85 millones de usuarios de banca digital. Tiene la regulación base — la Ley Fintech de 2018 fue pionera en la región. Lo que no tiene todavía es la cultura institucional de rendir cuentas sobre lo que falla, con la misma visibilidad con la que promociona lo que funciona.
Ese cambio no requiere nueva legislación ni nuevas entidades supervisoras. Requiere que las instituciones decidan que la confianza del usuario no es un atributo de marketing — es el activo más valioso que tienen, y el más frágil. Y que construirlo requiere exactamente lo que este artículo describe: transparencia, procesos reales, tecnología con propósito y la honestidad de publicar los números que duelen tanto como los que se presumen.
Fuentes: CONDUSEF Informe de Autoevaluación Enero–Junio 2025 · Vanguardia "Crece la estafa digital: más de 2.4 millones de fraudes bancarios en México durante 2025" noviembre 2025 · Xataka MX "Los fraudes bancarios en México ya son un problema alarmante: casi 10 denuncias por minuto" marzo 2026 · Bernezmx.com "Entendiendo SPEI: fallas en aplicaciones bancarias 2025" agosto 2025 · Banco de México "Principales incidentes cibernéticos 2023–2024" sitio oficial · CiberCorp "Incidentes cibernéticos en el sistema financiero mexicano 2024" octubre 2024 · Regula "Factores que están transformando la verificación de identidad en banca y fintech 2026" noviembre 2025 · El Imparcial "Fraudes, cargos indebidos y robo de identidad disparan las quejas contra el Banco del Bienestar" abril 2026 · CONDUSEF Buró de Entidades Financieras 2025 · BCG / QED Fintech Report 2025 · Revista Espejo "Quejas por cargos no reconocidos en Sinaloa aumentan en 20%" abril 2025 · Expansión / Banxico SPEI datos operativos 2024–2025.
No hay comentarios.:
Publicar un comentario
Nota: sólo los miembros de este blog pueden publicar comentarios.