Fraude de identidad en cifras 2025

A nivel del cliente, el fraude de identidad se percibe a través de la experiencia personal. Si bien esto hace que los datos sean subjetivos, las encuestas a gran escala entre consumidores aún muestran cómo las personas perciben y reaccionan ante los incidentes de fraude.

Estos hallazgos cumplen dos propósitos. En primer lugar, muestran las posibles consecuencias para las empresas que enfrentan incidentes relacionados con los datos personales o las cuentas de sus clientes. En segundo lugar, revelan qué tan conscientes están las personas de los diferentes riesgos de fraude. En conjunto, ayudan a las empresas a identificar puntos débiles en sus estrategias de prevención del fraude de identidad, especialmente donde el comportamiento del cliente desempeña un papel clave.

Un informe reciente muestra que el 85 % de los clientes en Estados Unidos cree que la IA dificulta la detección de estafas, desde suplantaciones bancarias hasta llamadas telefónicas con clonación de voz y fraude de identidad sintética.

Las expectativas de seguridad también están aumentando: el 97 % de los encuestados incluye la prevención del fraude entre los factores más importantes al elegir un banco. Esto no resulta sorprendente, ya que el 62 % ha sido víctima de estafas impulsadas por IA o conoce a alguien que lo ha sido. Uno de cada cinco perdió más de 5.000 dólares debido a estos incidentes.

El Consumer Impact Report 2025 del Identity Theft Resource Center® (ITRC) refuerza este panorama. Más del 20 % de los encuestados informó pérdidas por fraude superiores a 100.000 dólares, y más del 10 % perdió al menos 1 millón de dólares. Si bien las principales categorías actuales de fraude incluyen la apropiación de cuentas en redes sociales (35 %) y el fraude de préstamos y tarjetas de crédito (14 %), más de dos tercios de los consumidores creen que la IA se convertirá en el principal campo de batalla de la seguridad de la identidad. Además, el 73 % considera que todos — empresas, gobiernos e individuos — comparten la responsabilidad de prevenir las estafas habilitadas por IA.

Esta tendencia se remonta a 2024, cuando los deepfakes se convirtieron en una de las principales herramientas utilizadas en el fraude de identidad. Como reveló la encuesta de Regula, la mitad de todas las empresas ha experimentado fraude que involucra deepfakes de audio y video. Además, el 66 % de los líderes cree que los deepfakes representan una amenaza grave.

La encuesta del ITRC también muestra que el 67,8 % de las víctimas de fraude “consideró seriamente el autodaño como una forma de afrontar el robo de identidad”. Esto apunta a una carga emocional creciente asociada al fraude.

La encuesta global de Mastercard refleja la misma tendencia: el 76 % de las personas está más preocupado por los riesgos cibernéticos que hace dos años, y el 80 % recibió al menos un intento de estafa el año pasado. Lo que resulta aún más alarmante es que casi el 60 % afirma que el fraude está tan extendido que caer en él parece inevitable.

La vergüenza es otro factor crítico: el 59 % afirma que se sentiría avergonzado si fuera víctima de fraude en línea, especialmente de estafas románticas. Además, aproximadamente la mitad de los encuestados dijo que se sentiría incómoda al reportar una transacción fraudulenta.

Para las empresas de comercio electrónico, un hallazgo destaca especialmente: el 66 % de los consumidores dejaría de comprar a un minorista después de experimentar fraude en una transacción. Esto deja algo claro: la confianza digital ahora es imprescindible para cualquier negocio en línea.

La seguridad también moldea las expectativas de los viajeros, una categoría amplia de clientes que vale la pena destacar en este análisis.

La Global Passenger Survey 2025 de IATA muestra que el 78 % de los pasajeros desea gestionar todo su viaje a través del teléfono inteligente, lo que impulsa la adopción de biometría e identidades digitales para procesos aeroportuarios y pagos.

Aun así, la privacidad sigue siendo una barrera. Entre quienes no están dispuestos a compartir sus datos biométricos, el 42 % afirma que reconsideraría su postura si la privacidad estuviera garantizada. En Estados Unidos, donde la biometría ya se utiliza ampliamente, las preocupaciones por la privacidad son las más altas a nivel mundial.

Desde la perspectiva empresarial, la verificación de identidad puede ser al mismo tiempo un procedimiento rutinario, un requisito de cumplimiento normativo y una medida de ciberseguridad. Esto influye en cómo las empresas de distintos sectores responden a los cambios en la industria.

Independientemente de la categoría, todas las empresas enfrentan fraude. Los siguientes hallazgos pueden ayudar a construir defensas más sólidas.

Recognizing two sides of AI — positive and negative — has become a standard approach. Research supports this view. 

According to Google’s Cybersecurity Forecast 2026, AI will be a normal part of daily attack and defense strategies. 

Reconocer las dos caras de la IA — positiva y negativa — se ha convertido en un enfoque estándar. La investigación respalda esta visión.

Según el Cybersecurity Forecast 2026 de Google, la IA será una parte habitual de las estrategias diarias de ataque y defensa.

Los ciberdelincuentes la utilizarán para escalar la ingeniería social, las operaciones de desinformación y el desarrollo de malware. Otras amenazas relacionadas con la IA incluyen la inyección de prompts (utilizada para eludir protocolos de seguridad y manipular sistemas de IA mediante comandos ocultos) y los ataques directos a modelos de IA.

A su vez, las empresas deberían utilizar la IA para fortalecer sus defensas. Las acciones recomendadas incluyen el uso de autenticación multifactor (MFA) para prevenir accesos mediante credenciales robadas y la integración de agentes de IA como actores digitales para la gestión de identidad y acceso (IAM).

Estas recomendaciones ya están siendo adoptadas por muchas empresas, como revela la encuesta global de Regula a profesionales de prevención de fraude: el 24% de los encuestados utiliza MFA y otro 23% se apoya en la verificación y autenticación biométrica. Además, el 18,6% de las empresas va más allá al utilizar orquestación inteligente de verificación de identidad desde plataformas IDV para mejorar la seguridad y la verificación de clientes o transacciones de alto riesgo.

El Microsoft Digital Defense Report 2025 refuerza la naturaleza dual de la IA y recomienda tratar los riesgos cibernéticos como riesgos empresariales.

Actualmente, los ataques impulsados por IA son especialmente preocupantes para las organizaciones que almacenan información personal identificable (PII). Según el informe, las agencias gubernamentales, las empresas de TI y las instituciones académicas fueron las más afectadas por amenazas cibernéticas este año. Para estos sectores, es fundamental utilizar MFA resistente al phishing (que ayuda a bloquear más del 99 % de los intentos de acceso no autorizado), capacitar al personal y mantener un plan proactivo de respuesta ante brechas.

Cabe destacar que las grandes filtraciones suelen ir seguidas de métodos de baja tecnología, como credenciales robadas y phishing. El estudio de Check Point reveló que el abuso de credenciales (22 %), la explotación de vulnerabilidades (20 %) y el phishing (16 %) fueron los principales métodos de ataque. En 2025, en comparación con 2024, las credenciales filtradas aumentaron un 160 %, y la mayoría de las cuentas comprometidas eran personales, no corporativas, a menudo debido a la reutilización de contraseñas.

No obstante, el 87 % de las organizaciones aún depende de contraseñas u otros métodos de baja seguridad, aunque pocas consideran que estos enfoques funcionen bien, ya sea para la experiencia del usuario o para la seguridad. Y aunque la mayoría de las organizaciones afirma utilizar MFA en alguna parte de su entorno, pocas lo aplican de forma coherente en todas las aplicaciones orientadas al cliente.

Para responder a esto, las empresas deberían implementar un monitoreo continuo de credenciales y detectar y eliminar activamente las cuentas comprometidas que podrían explotarse para campañas de phishing.

La exposición de datos de identidad en línea continúa creciendo. El estudio de SpyCloud de 2025 encontró más de 53.000 millones de registros únicos de identidad en la web, con 7.600 millones recuperados solo en 2024. Estos incluyen credenciales de empleados, consumidores y organizaciones que pueden explotarse para la toma de control de cuentas, ransomware y otros tipos de fraude.

De manera interesante, cuando datos aparentemente aislados, como pares de usuario y contraseña, se combinan con otras filtraciones, el impacto real se vuelve mucho más alarmante.
Un solo activo comprometido puede vincularse con nombres completos, fechas de nacimiento y números de teléfono, así como con números de seguridad social o de identificación, direcciones e incluso datos financieros, recreando la identidad completa de una víctima.

Para abordar este problema, las empresas deberían monitorear todas las identidades digitales dentro de su ecosistema, reforzar la seguridad de terceros para aplicaciones internas y proveedores, mejorar las prácticas de gestión de contraseñas e implementar MFA.

A nivel gubernamental, las organizaciones involucradas en el monitoreo del robo de identidad y el fraude también recopilan amplios datos estadísticos, junto con reportes y quejas de los ciudadanos. Esta información ayuda a las empresas a evaluar el impacto de las filtraciones, las campañas de phishing y otros ataques de fraude. Además, pone de relieve las principales debilidades actuales del ecosistema digital.

Comencemos con una estadística contundente del programa Identification for Development (ID4D) del Banco Mundial. Actualmente, una parte significativa de la población mundial carece de documentos oficiales de identidad, lo que significa que una de cada diez personas en el planeta no puede demostrar quién es. Más de la mitad de ellas son niños cuyos nacimientos nunca fueron registrados. La buena noticia es que esta cifra está disminuyendo. En 2017, más de 1.000 millones de personas se encontraban en esta situación.

El acceso a los sistemas de identificación varía según la región. Por ejemplo, en África subsahariana, la cobertura básica de identidad ronda el 80 %, y nueve países reportan tasas inferiores al 70 %. Por otro lado, países como Singapur ya han lanzado sistemas de identidad digital — Singpass, por ejemplo, cuenta con casi 5 millones de usuarios. En regiones como Europa, Asia Central y Oriental y América Latina, la cobertura se acerca al 100%.

Esta disparidad crea grandes barreras para el acceso a muchos servicios. Por ejemplo, las personas sin identificación no pueden comprar una tarjeta SIM, abrir una cuenta bancaria ni utilizar servicios gubernamentales. Al mismo tiempo, quienes carecen de documentos de identidad pueden ser más vulnerables a la explotación por parte de estafadores, especialmente en entornos informales o no regulados.

En 2024, el Internet Crime Complaint Center (IC3) del FBI registró un nuevo máximo histórico en pérdidas reportadas por las víctimas: 16.600 millones de dólares, un aumento del 33% en comparación con 2023. La pérdida promedio ha ido en aumento desde 2020 y alcanzó los 19.372 dólares el año pasado.

El fraude representó la mayor parte de las pérdidas reportadas, y las personas mayores de 60 años fueron las más afectadas, tanto en monto de pérdidas como en número de quejas. Este grupo etario presentó 147.127 quejas, mientras que las personas más jóvenes (de 20 a 29 años) presentaron 71.399. La pérdida promedio para los adultos mayores fue de 83.000 dólares, y las pérdidas totales de este grupo ascendieron a 4.800 millones de dólares, un aumento del 43 % desde 2023.

Otros esquemas rentables incluyen el fraude en pagos y entregas (785,44 millones de dólares), las estafas románticas (672 millones de dólares) y la suplantación de entidades gubernamentales (405,62 millones de dólares).

El informe Consumer Sentinel Network de la FTC respalda las tendencias observadas por el IC3.
En 2024, la organización registró más de 6,47 millones de reportes de víctimas. La mayoría estuvo relacionada con fraude (40%) y robo de identidad (18%).

Los incidentes de fraude costaron a las víctimas más de 12.000 millones de dólares, un aumento de más de 2.000 millones de dólares con respecto a 2023. Los tipos de fraude más comunes incluyeron estafas románticas, suplantación gubernamental y falsas oportunidades de inversión o empleo.

Según la FTC, las personas de entre 20 y 29 años fueron las más propensas a reportar pérdidas económicas debido al fraude (44%). Sin embargo, las personas mayores (de 70 años o más) reportaron la pérdida mediana más alta: 1.000 dólares, en comparación con 417 dólares para las víctimas más jóvenes. 

En 2024, el IC3 recibió 263.455 quejas de empresas, incluidas 4.878 quejas provenientes de infraestructuras críticas, relacionadas principalmente con ransomware, virus y malware, filtraciones de datos y ataques de denegación de servicio (DoS). Estos incidentes resultaron en pérdidas por 1.570 millones de dólares.

Las empresas más afectadas pertenecían a los sectores de manufactura crítica, salud, gobierno, servicios financieros y TI.

• La IA está impulsando una nueva ola de fraude. Tanto los consumidores como las empresas están viendo un aumento de estafas impulsadas por IA: clonación de voz, identidades sintéticas y ataques de inyección de prompts están en crecimiento. Al mismo tiempo, la IA se está convirtiendo en una herramienta de defensa.
• La confianza digital define las relaciones con los clientes. Más personas se sienten ansiosas debido al fraude y las estafas, y muchas dejarían de interactuar con una marca después de un incidente de fraude.
• La mayoría de las organizaciones aún depende de credenciales débiles. A pesar del aumento de ataques basados en credenciales, las empresas siguen utilizando contraseñas u otros métodos de baja seguridad. La adopción de MFA y la orquestación de múltiples herramientas y escenarios de verificación de identidad mediante soluciones basadas en plataformas siguen siendo inconsistentes.
• La exposición de datos de identidad se está disparando. Más de 53.000 millones de registros de identidad se encontraron en línea en 2024. Los datos filtrados suelen incluir nombres, información de contacto, identificaciones gubernamentales y credenciales financieras, suficientes para suplantar completamente a una víctima.
• La adopción de biometría está aumentando, junto con las preocupaciones por la privacidad.
  Los consumidores apoyan la tecnología biométrica para viajes y banca, pero el 42 % solo compartiría sus datos si la privacidad estuviera garantizada.