News | 22 Abril 2026
Detectando el fraude de última generación
Annette Vivoni, Managing Director, Global CM Product Sales en BBVA.
Dentro de un panorama financiero que no para de evolucionar en 2026, la intersección entre la inteligencia artificial (IA) y la prevención del fraude se ha convertido en la primera línea de defensa de la tesorería corporativa y la seguridad de los datos. La IA dota a los equipos de tesorería de capacidades predictivas sin precedentes, pero también proporciona a los estafadores herramientas sofisticadas para eludir las defensas tradicionales.
Para las operaciones de tesorería, comprender esta dinámica es esencial para salvaguardar la liquidez global.
La IA es un “arma de doble filo” en las operaciones de tesorería. Por un lado, actúa como un poderoso guardián; por otro, alimenta una nueva generación de estafas muy convincentes. Por ello, las operaciones de tesorería deben adaptarse y actualizar sus competencias para prevenir y detectar posibles fraudes en sus procedimientos diarios.
La IA puede ser un escudo para la protección predictiva. Al analizar cantidades ingentes de datos de sus sistemas de tesorería, la IA puede utilizarse para detectar anomalías. Los algoritmos de IA pueden analizar años de datos de transacciones para establecer una línea de base de comportamiento de las transacciones de su empresa. De este modo, puede señalar al instante un pago que se desvía de los patrones comunes, como un importe inusual, un nuevo destino o una hora del día poco habitual. Además, al aprovechar los formatos CAMT de la norma ISO 20022, la IA puede capturar y analizar los datos detallados de sus extractos bancarios para identificar inconsistencias que el ojo humano podría pasar por alto.
La IA también se ha convertido en un arma eficaz para los estafadores. Con el auge de los deepfakes que utilizan la IA generativa para realizar ataques de ingeniería social que resultan casi imposibles de detectar mediante el escepticismo habitual, tácticas como el vishing o el phishing de voz han evolucionado. Los atacantes ahora pueden utilizar la IA para clonar la voz de un ejecutivo o incluso crear videollamadas deepfake para autorizar transferencias “urgentes” o “confidenciales”. Los delincuentes también están utilizando el phishing hiperpersonalizado mediante el uso de la IA para recopilar datos públicos y perfiles profesionales con el fin de redactar correos electrónicos que imitan a la perfección el tono y el contexto de sus proveedores reales o compañeros de trabajo.
Para adelantarse a estas amenazas en 2026, los departamentos de tesorería deben revisar y reforzar constantemente sus protocolos internos, adaptándolos a las últimas estafas. Por ejemplo, establecer políticas como la de no atender ninguna solicitud urgente recibida a través de canales digitales (ni siquiera por vídeo) sin una confirmación secundaria a través de un canal externo previamente acordado, creando de esta forma un protocolo de “cortafuegos humano” que sirva para señalar y detectar posibles intentos de phishing mediante IA.
Además, el acceso a las plataformas y sistemas de banca electrónica debe ir más allá de las simples contraseñas y basarse en una combinación de herramientas avanzadas y procesos rigurosos para acceder, validar y habilitar los procesos de pago. La aplicación de una estricta política de doble control, en la que la persona que crea un pago y la que lo aprueba son siempre diferentes, combinada con un proceso de validación independiente, también ayuda a detectar y neutralizar cualquier posible intento de BEC (Business Email Compromise, un tipo de fraude financiero).
Otra línea de defensa es la adopción de nuevas herramientas de Verificación del Beneficiario (VoP por sus siglas en inglés). La VoP es una nueva medida de seguridad que tiene como objetivo principal verificar la coincidencia entre el nombre del titular de la cuenta y el número IBAN antes de que se finalice una transferencia, lo que ayuda a prevenir el fraude y los pagos erróneos accidentales. La VoP se introdujo como parte del Reglamento de Pagos Instantáneos de la SEPA, que entró en vigor en octubre de 2025. Aunque forma parte del reglamento de pagos instantáneos, las entidades financieras de la zona del euro están obligadas a prestar este servicio para todos los tipos de pago, no solo para los instantáneos. Para el pagador, el uso de la VoP es obligatorio en las transacciones individuales, aunque las empresas pueden tener la opción de excluirse en el caso de los pagos masivos mediante archivos.
Es importante distinguir el servicio VoP de otros servicios similares, como la solución que ofrece Iberpay en España, que lleva varios años en funcionamiento. Mientras que el servicio VoP se centra en la correspondencia entre nombres e IBAN, la solución de Iberpay valida el CIF (NIF) con el IBAN, lo que ofrece un mayor nivel de seguridad en los resultados de la verificación. El Reino Unido también cuenta con un servicio similar ya consolidado conocido como Confirmation of Payee (CoP), que imita el servicio VoP de la UE y da soporte a sistemas como Faster Payments, BACS Direct Credits y CHAPS.
Para los equipos de Purchase-to-Pay (P2P), los principales obstáculos para adoptar los servicios de Verification of Payee (VoP) incluyen la preparación del ERP, la validación del flujo de trabajo y la mayor complejidad de los procesos internos. Sin embargo, al integrar estas validaciones de cuentas en los procedimientos diarios, las empresas pueden añadir una capa de seguridad fundamental al proceso de pago a proveedores, neutralizando de forma eficaz los intentos de Business Email Compromise (BEC).
En Estados Unidos, los cheques siguen siendo uno de los objetivos preferidos de los estafadores debido a su naturaleza física y a sus vulnerabilidades. Los cheques tienen 16 veces más probabilidades de ser robados por correo y alterados mediante el “lavado de cheques” que las transferencias electrónicas. Por lo tanto, abandonar los instrumentos físicos y pasar a los pagos electrónicos a través de ACH o transferencias bancarias facilita un rastro digital que es mucho más difícil de manipular para las herramientas de falsificación basadas en IA. Las empresas también pueden implementar bloqueos de cheques y débitos en sus cuentas corporativas para restringir y rechazar automáticamente cualquier salida de fondos no autorizada, obligando así a que todos los pagos se realicen mediante transferencias electrónicas seguras.
En 2026, la prevención del fraude ya no consistirá en buscar errores ortográficos en un correo electrónico, sino en verificar la identidad y la intención que hay detrás de cada transacción. Al combinar los informes generados por IA de los sistemas de tesorería y ERP con controles internos rigurosos, la organización podrá disfrutar de las ventajas de la liquidez global al tiempo que minimiza los riesgos de la frontera digital moderna.
En última instancia, los departamentos de tesorería más resilientes serán aquellos que consideren la seguridad como un diálogo dinámico y continuo entre la supervisión humana y la inteligencia automatizada en vez de como una defensa estática. A medida que los sistemas de verificación como VoP se convierten en el estándar global, el objetivo de cualquier líder empresarial es claro: crear un entorno de pagos de “confianza cero” en el que la rapidez nunca se consiga a expensas de la certeza. En esta nueva era, el cortafuegos más sólido ya no es solo código, es la integración estratégica de la tecnología, las políticas y una cultura de formación y verificación incesantes.
Para las operaciones de tesorería, comprender esta dinámica es esencial para salvaguardar la liquidez global.
La IA es un “arma de doble filo” en las operaciones de tesorería. Por un lado, actúa como un poderoso guardián; por otro, alimenta una nueva generación de estafas muy convincentes. Por ello, las operaciones de tesorería deben adaptarse y actualizar sus competencias para prevenir y detectar posibles fraudes en sus procedimientos diarios.
La IA puede ser un escudo para la protección predictiva. Al analizar cantidades ingentes de datos de sus sistemas de tesorería, la IA puede utilizarse para detectar anomalías. Los algoritmos de IA pueden analizar años de datos de transacciones para establecer una línea de base de comportamiento de las transacciones de su empresa. De este modo, puede señalar al instante un pago que se desvía de los patrones comunes, como un importe inusual, un nuevo destino o una hora del día poco habitual. Además, al aprovechar los formatos CAMT de la norma ISO 20022, la IA puede capturar y analizar los datos detallados de sus extractos bancarios para identificar inconsistencias que el ojo humano podría pasar por alto.
La IA también se ha convertido en un arma eficaz para los estafadores. Con el auge de los deepfakes que utilizan la IA generativa para realizar ataques de ingeniería social que resultan casi imposibles de detectar mediante el escepticismo habitual, tácticas como el vishing o el phishing de voz han evolucionado. Los atacantes ahora pueden utilizar la IA para clonar la voz de un ejecutivo o incluso crear videollamadas deepfake para autorizar transferencias “urgentes” o “confidenciales”. Los delincuentes también están utilizando el phishing hiperpersonalizado mediante el uso de la IA para recopilar datos públicos y perfiles profesionales con el fin de redactar correos electrónicos que imitan a la perfección el tono y el contexto de sus proveedores reales o compañeros de trabajo.
Para adelantarse a estas amenazas en 2026, los departamentos de tesorería deben revisar y reforzar constantemente sus protocolos internos, adaptándolos a las últimas estafas. Por ejemplo, establecer políticas como la de no atender ninguna solicitud urgente recibida a través de canales digitales (ni siquiera por vídeo) sin una confirmación secundaria a través de un canal externo previamente acordado, creando de esta forma un protocolo de “cortafuegos humano” que sirva para señalar y detectar posibles intentos de phishing mediante IA.
Además, el acceso a las plataformas y sistemas de banca electrónica debe ir más allá de las simples contraseñas y basarse en una combinación de herramientas avanzadas y procesos rigurosos para acceder, validar y habilitar los procesos de pago. La aplicación de una estricta política de doble control, en la que la persona que crea un pago y la que lo aprueba son siempre diferentes, combinada con un proceso de validación independiente, también ayuda a detectar y neutralizar cualquier posible intento de BEC (Business Email Compromise, un tipo de fraude financiero).
Otra línea de defensa es la adopción de nuevas herramientas de Verificación del Beneficiario (VoP por sus siglas en inglés). La VoP es una nueva medida de seguridad que tiene como objetivo principal verificar la coincidencia entre el nombre del titular de la cuenta y el número IBAN antes de que se finalice una transferencia, lo que ayuda a prevenir el fraude y los pagos erróneos accidentales. La VoP se introdujo como parte del Reglamento de Pagos Instantáneos de la SEPA, que entró en vigor en octubre de 2025. Aunque forma parte del reglamento de pagos instantáneos, las entidades financieras de la zona del euro están obligadas a prestar este servicio para todos los tipos de pago, no solo para los instantáneos. Para el pagador, el uso de la VoP es obligatorio en las transacciones individuales, aunque las empresas pueden tener la opción de excluirse en el caso de los pagos masivos mediante archivos.
Es importante distinguir el servicio VoP de otros servicios similares, como la solución que ofrece Iberpay en España, que lleva varios años en funcionamiento. Mientras que el servicio VoP se centra en la correspondencia entre nombres e IBAN, la solución de Iberpay valida el CIF (NIF) con el IBAN, lo que ofrece un mayor nivel de seguridad en los resultados de la verificación. El Reino Unido también cuenta con un servicio similar ya consolidado conocido como Confirmation of Payee (CoP), que imita el servicio VoP de la UE y da soporte a sistemas como Faster Payments, BACS Direct Credits y CHAPS.
Para los equipos de Purchase-to-Pay (P2P), los principales obstáculos para adoptar los servicios de Verification of Payee (VoP) incluyen la preparación del ERP, la validación del flujo de trabajo y la mayor complejidad de los procesos internos. Sin embargo, al integrar estas validaciones de cuentas en los procedimientos diarios, las empresas pueden añadir una capa de seguridad fundamental al proceso de pago a proveedores, neutralizando de forma eficaz los intentos de Business Email Compromise (BEC).
En Estados Unidos, los cheques siguen siendo uno de los objetivos preferidos de los estafadores debido a su naturaleza física y a sus vulnerabilidades. Los cheques tienen 16 veces más probabilidades de ser robados por correo y alterados mediante el “lavado de cheques” que las transferencias electrónicas. Por lo tanto, abandonar los instrumentos físicos y pasar a los pagos electrónicos a través de ACH o transferencias bancarias facilita un rastro digital que es mucho más difícil de manipular para las herramientas de falsificación basadas en IA. Las empresas también pueden implementar bloqueos de cheques y débitos en sus cuentas corporativas para restringir y rechazar automáticamente cualquier salida de fondos no autorizada, obligando así a que todos los pagos se realicen mediante transferencias electrónicas seguras.
En 2026, la prevención del fraude ya no consistirá en buscar errores ortográficos en un correo electrónico, sino en verificar la identidad y la intención que hay detrás de cada transacción. Al combinar los informes generados por IA de los sistemas de tesorería y ERP con controles internos rigurosos, la organización podrá disfrutar de las ventajas de la liquidez global al tiempo que minimiza los riesgos de la frontera digital moderna.
En última instancia, los departamentos de tesorería más resilientes serán aquellos que consideren la seguridad como un diálogo dinámico y continuo entre la supervisión humana y la inteligencia automatizada en vez de como una defensa estática. A medida que los sistemas de verificación como VoP se convierten en el estándar global, el objetivo de cualquier líder empresarial es claro: crear un entorno de pagos de “confianza cero” en el que la rapidez nunca se consiga a expensas de la certeza. En esta nueva era, el cortafuegos más sólido ya no es solo código, es la integración estratégica de la tecnología, las políticas y una cultura de formación y verificación incesantes.