Black Friday 2025: fraude acelerado y a gran escala en el sector de los pagos

Madrid, 20 de noviembre de 2025 – A medida que los consumidores se adentran en la temporada alta de compras, el fraude en los pagos está aumentando en velocidad y magnitud. Los nuevos datos de los bancos centrales y del último estudio sobre fraude de identidad de Signicat muestran que, si bien la Autenticación Reforzada de Clientes (SCA) ha contribuido a reducir el riesgo de fraude con tarjetas dentro del Espacio Económico Europeo, los delincuentes están desplazando sus esfuerzos a otros ámbitos y atacando el sector de los pagos.

En su más reciente informe, el Banco Central Europeo (BCE) y la Autoridad Bancaria Europea (ABE) informan de que el fraude en los principales instrumentos de pago del EEE alcanzó los 2000 millones de euros solo en el primer semestre de 2023. El riesgo de fraude con tarjetas es ahora notablemente menor para las transacciones dentro del EEE, donde se aplica la SCA, lo que sugiere que una mayor seguridad funciona, pero también que los atacantes están buscando otros puntos débiles.

El informe sobre fraude de identidad «The Battle in the Dark» (2025) de Signicat, elaborado en colaboración con la empresa de ciberseguridad Red Goat Cyber Security, revela cómo se está desarrollando esta situación en la práctica. Los líderes en materia de fraude de toda Europa informan de que:

• Se estima que 1 de cada 5 altas de clientes es fraudulenta.
• El 22 % de los ingresos anuales de las empresas encuestadas se ve afectado por el fraude de identidad y el coste de prevenirlo.
• El 59 % ha observado un aumento de los intentos de fraude de identidad exitosos en el último año.
• Sin embargo, el 74 % sigue creyendo que está ganando la lucha contra el fraude.

«El Black Friday y la temporada navideña son períodos clave para el fraude en los pagos», afirma Pinar Alpay, Chief Product Officer de Signicat. «El volumen de transacciones se dispara, los clientes esperan decisiones instantáneas y los estafadores llegan con tácticas industrializadas y basadas en la inteligencia artificial. Las organizaciones que mejor se adaptan son aquellas que tratan la identidad digital como la columna vertebral de su estrategia contra el fraude, y no como algo secundario».

Transacciones rápidas, fraude rápido

Los pagos instantáneos, los monederos móviles y los modelos BNPL han transformado la experiencia de pago. Las decisiones que antes llevaban minutos ahora se toman en segundos. Durante el Black Friday, esos plazos de decisión se reducen aún más, ya que los departamentos de riesgos tienen que hacer frente a un tráfico extremo.

Esta aceleración también beneficia a los estafadores. Con scripts automatizados e ingeniería social asistida por IA, pueden lanzar y adaptar ataques en tiempo real. En el estudio «The Battle in the Dark» de Signicat, las empresas de pagos y fintechs encuestadas revelan lo siguiente:

• El 67 % informa de más intentos de fraude en el último año.
• El 54 % informa de más fraudes exitosos.
• Alrededor de la mitad de los ataques (40 %) se concentran ahora en la fase de transacción, y no solo en el alta de clientes.

Estas presiones se producen en un contexto global de aumento del fraude online. Juniper Research prevé que las pérdidas por fraude en ecommerce pasarán de 44 300 millones de dólares estadounidenses en 2024 a 107 000 millones en 2029, lo que supone un aumento del 141 %.

Tácticas y exposición en 2025

El informe de Signicat muestra que los estafadores están combinando técnicas clásicas con nuevos ataques centrados en la identidad cuando se dirigen a los sectores de pagos y las fintechs. Algunos datos clave:

• Ataques más comunes en la actualidad
  • Apropiación de cuentas (ATO): 36 %
  • Falsificación de documentos de identidad: 35 %
  • Ingeniería social: 32 %

• Se espera que aumenten más rápidamente
  • Falsificación de documentos de identidad: 33 %
  • Ingeniería social: 29 %

• Más costosos de remediar
  • Falsificación de documentos de identidad: 31 %
  • Ingeniería social: 31 %

Los sistemas de identidad digital y las identificaciones electrónicas son tanto una defensa como un objetivo. Los encuestados informan que:

• El 48 % ha sido testigo de apropiaciones de cuentas que implicaban credenciales de identidad electrónica.
• El 40 % ha sido testigo de suplantaciones de identidad o clonaciones de identidad en torno a la identidad electrónica.
• Un tercio de los intentos de fraude ahora se dirigen directamente a la tecnología de identidad electrónica.

«La falsificación de documentos de identidad y la ingeniería social son indicativas de cómo la industria ha construido el alta y la autenticación de clientes», afirma Pinar Alpay, director de producto de Signicat. «Los estafadores han industrializado las identidades falsas y la manipulación programada. Las estrategias y los procesos deben cambiar si queremos detener el aumento de estos ataques. Cualquier empresa que no rediseñe sus sistemas de defensa de varias capas para adaptarse a esta realidad está optando por financiar el fraude con sus propios márgenes».

Digital identity schemes and eIDs are both a defence and a target. Respondents report that:

• 48% see account takeover involving electronic identity credentials
• 40% see impersonation or identity cloning around electronic identity
• One-third of fraud attempts now target electronic identity technology directly

IA en ambos lados

La IA ahora forma parte de las operaciones fraudulentas cotidianas. Las identidades sintéticas, el audio y el vídeo deepfake y las campañas de phishing altamente personalizadas ya no son técnicas exóticas, sino herramientas habituales. Según el informe de Signicat: El 73 % de las organizaciones ya utiliza la IA en sus defensas

Y al mismo tiempo, el 71 % cree que los atacantes utilizan la IA en su contra

Esto crea una carrera armamentística. Tan pronto como se bloquea un patrón de comportamiento, los estafadores se adaptan. El 80 % de las empresas encuestadas afirman que los atacantes cambian de táctica cuando se les detiene, a menudo pasando a nuevos canales o explotando a los socios más débiles de la cadena de valor.

Impacto en las empresas y preparación

El coste financiero del fraude de identidad va mucho más allá de las pérdidas directas. Las organizaciones deben financiar investigaciones, devoluciones, reparaciones y trabajo legal, así como invertir en nuevos controles y reparar el daño a su reputación cuando los incidentes llegan a los titulares.

Según el informe «The Battle in the Dark» de Signicat, el impacto financiero del fraude de identidad ya está afectando gravemente a las empresas mucho antes de que comience la fiebre del Black Friday. Los encuestados estiman que el fraude de identidad y las medidas necesarias para combatirlo consumen, de media, más del 16 % de los ingresos anuales en los sectores de pagos y fintechs, porcentaje que asciende al 22 % si se tienen en cuenta todos los sectores y mercados. Al mismo tiempo, casi un tercio de las organizaciones (32 %) señalan las deficiencias de sus partners o proveedores como un riesgo significativo de fraude, lo que pone de relieve lo vulnerable que se ha vuelto el ecosistema de pagos interconectado actual. A medida que el volumen de transacciones aumenta en torno al Black Friday, estas deficiencias estructurales y los ya elevados costes del fraude corren el riesgo de amplificarse aún más, a menos que los comerciantes y los proveedores de pagos inviertan en medidas sólidas de prevención del fraude y de identificación de la identidad, adaptadas a la normativa de la UE.

Sin embargo, el mismo estudio también muestra una brecha de confianza. Mientras que el 84 % afirma que detiene la mayoría de los intentos y el 89 % dice que actualiza su tecnología con regularidad, solo el 45 % mide realmente el impacto total del fraude de identidad.

«Demasiadas organizaciones están actuando a ciegas», comenta Alpay. «Invierten en herramientas y dan por sentado que todo está bajo control, pero tienen una medición limitada del fraude que se produce o de la fricción que están añadiendo a los clientes legítimos. Los equipos de fraude más avanzados tratan los datos de identidad como un activo analítico. Saben dónde están sus puntos débiles y pueden explicar las concesiones que están haciendo».

Prepararse para los EUDI Wallets y abordar los retos actuales en materia de fraude

El reglamento eIDAS 2.0 ya está en vigor, creando el marco legal para los wallets europeos de identidad digital (EUDI Wallets). Para 2027, cada Estado miembro de la UE deberá proporcionar al menos una cartera que los ciudadanos y las empresas puedan utilizar para demostrar su identidad y compartir atributos verificados a través de las fronteras.

«Los wallets europeos tienen un enorme potencial para los pagos», afirma Esther Makaay, VP de Identidad Digital de Signicat. «Pueden proporcionar a los proveedores de servicios de pago y a los comerciantes acceso a datos de identidad y atributos de alta seguridad desde el primer día de la relación con el cliente, lo que resulta extremadamente eficaz para la prevención del fraude. Sin embargo, se necesitarán varios años para que las carteras se implanten y adopten de forma generalizada. Las empresas no pueden esperar a que los wallets solucionen los retos actuales en materia de fraude».

De cara al Black Friday de 2025 y al pico de la temporada navideña, Signicat insta a los proveedores de pagos y fintechs a actuar ahora, en lugar de esperar a que se disparen las pérdidas por fraude. Para ello, lo primero es identificar dónde el fraude de identidad ya está erosionando los ingresos y determinar los recorridos, segmentos y colaboradores más expuestos. A partir de ahí, los proveedores deben modernizar los procesos de verificación de documentos e identidades, prestando especial atención a los recorridos de los clientes de mayor riesgo, y garantizar que las señales de identidad enriquecidas se integren en los mecanismos de riesgo de pago en tiempo real, de modo que se pueda cuestionar cualquier comportamiento sospechoso antes de que se apruebe una transacción.

Al mismo tiempo, deben preparar sistemas y procesos para operar como partes confiables del EUDI Wallet a medida que las carteras se implementan en toda Europa, de modo que puedan aceptar identidades digitales de alta seguridad desde el primer día y convertir un mayor cumplimiento normativo en una ventaja competitiva.