La agencia de protección al consumidor de Chile, SERNAC, reportó 19.834 denuncias de fraude en 2024, un aumento del 109% en comparación con 2023, mientras que la tasa de respuesta favorable de los bancos cayó a aproximadamente el 7% después de la reforma de mayo de 2024.

Esto no se suponía que pasara.

Chile aprobó la Ley 21.673 en mayo de 2024 específicamente para combatir el fraude y proteger tanto a los consumidores como a las instituciones financieras. La ley aclaró los procedimientos y fortaleció la capacidad de los bancos para combatir el "autofraude" (fraude amistoso), y puso mayor responsabilidad en los clientes para asegurar sus cuentas, incluyendo la presentación de una declaración jurada y una denuncia criminal para recuperar fondos perdidos.

Sin embargo, en lugar de mejorar el panorama del fraude, la ley ha introducido nuevos desafíos, aumentando inevitablemente la fricción entre los bancos y sus clientes.

Este artículo examina los factores que impulsan el aumento de reportes de fraude en Chile, los desafíos que enfrentan las instituciones financieras al resolver disputas, los tipos de fraude que requerirán mayor atención en 2026, y cómo los bancos pueden cumplir efectivamente con los requisitos regulatorios mientras previenen el fraude, en lugar de solo detectarlo.

Los consumidores chilenos están altamente conectados, pero siguen siendo vulnerables al fraude

Chile tiene una de las poblaciones más inclusivas financieramente y digitalmente nativas de América Latina.

En enero de 2025, el 94,1% de la población de Chile estaba en línea, y casi el 75% de los chilenos usa activamente redes sociales. La confianza en las instituciones financieras chilenas también es relativamente alta para la región, situándose alrededor del 46%.

Pero un mercado digitalmente maduro también trae expectativas maduras sobre cómo debería funcionar la prevención del fraude, mientras expone a los consumidores a más fuentes de fraude potencial a través de canales digitales. El 9% de la población chilena fue víctima de fraude a través de correo electrónico, en línea, llamadas telefónicas o mensajes de texto entre agosto y diciembre de 2024.

Los consumidores digitales de hoy acceden a su  banca desde dispositivos móviles, usan aplicaciones de pago instantáneos y demandan experiencias que sean tanto seguras como sin fricciones, un equilibrio que está resultando cada vez más difícil de lograr.

3 tipos de fraude que los bancos chilenos deben vigilar en 2026

Basándonos en los últimos datos de SERNAC y otras fuentes regionales y globales, predecimos que los siguientes tres tipos de fraude generarán un gran volumen de pérdidas relacionadas con fraude para los bancos chilenos e instituciones financieras en 2026.

1. Phishing telefónico (vishing)

El vishing es un tipo principal de fraude reportado en Chile, con el 28% de los chilenos que fueron objetivo de intentos de fraude indicando que la estafa ocurrió mediante vishing. Algunos estudios estiman que 1 de cada 4 llamadas spam hechas a números chilenos involucran un intento de estafa o actividad fraudulenta, y una porción significativa de ellas están relacionadas con la banca.

En un caso reciente, una persona en Coyhaique recibió una llamada de alguien que decía ser un representante bancario sobre "actividad inusual". Después de seguir las instrucciones de la persona que llamaba, perdieron $1,37 millones a través de transferencias no autorizadas.

Para los bancos chilenos, el vishing representa un desafío único. Bajo los nuevos requisitos de autenticación introducidos por la NCG 538, los clientes ahora reciben más notificaciones de seguridad legítimas y solicitudes de verificación. Como hay más puntos de contacto para que los atacantes imiten, se está volviendo cada vez más difícil para los consumidores chilenos distinguir entre comunicaciones bancarias genuinas e intentos de vishing.

2. Fraude por robo de cuenta

Según el informe de fraude de TransUnion para Chile, el 2,2% de todas las transacciones en 2023 fueron marcadas como sospechosas de fraude digital. En la etapa de inicio de sesión de cuenta, esa cifra salta al 9,7%.

Esto significa que casi 1 de cada 10 intentos de inicio de sesión de cuenta muestra características consistentes con fraude, incluyendo ataques de relleno de credenciales, bots automatizados, credenciales comprometidas o intentos de robo de cuenta.

En un ejemplo del mundo real reportado por BioBioChile, un individuo recibió un mensaje de texto no solicitado diciendo que su SIM sería portada. Asumiendo que era spam, lo ignoraron. Más tarde, su teléfono perdió señal, y se descubrió que el número había sido portado sin autorización. Usando el número robado, los criminales accedieron a la app bancaria de la víctima, restablecieron su contraseña e hicieron compras que superaron los $1,3 millones.

Casos como este destacan un dilema de autenticación creciente para las instituciones financieras chilenas: los proveedores de servicios no pueden desafiar cada inicio de sesión sospechoso sin crear una fricción insoportable para el usuario final.

3. Ataques de fraude multi-canal

El fraude multi-canal ocurre cuando los estafadores atacan múltiples puntos de contacto del cliente simultáneamente, buscando el eslabón más débil.

Un estafador podría reunir información a través de un correo de phishing, usar esa información para hacer ingeniería social con un agente del centro de llamadas, y luego completar transacciones no autorizadas a través de la app móvil una vez que hayan evadido la autenticación.

En un incidente, un estafador que se hacía pasar por un tarjetahabiente llamó a un centro de llamadas de tarjetas de crédito y, usando solo un nombre, RUT y dirección, solicitó un avance en efectivo de aproximadamente $1,3 millones. El operador aceptó la información y aprobó la transacción, transfiriendo los fondos a otra cuenta bancaria. Dos meses después, el verdadero tarjetahabiente disputó el cargo. Al revisar las grabaciones de llamadas, la empresa descubrió que la persona que llamó inicialmente había suplantado al cliente.

En 2026, se espera que herramientas de IA generativa cada vez más sofisticadas habiliten una nueva ola de estos ataques coordinados multi-canal.

Al igual que sus contrapartes en todo el mundo, los bancos chilenos operan a través de apps digitales, plataformas web, centros de llamadas y sucursales físicas, cada una con sus propios protocolos de seguridad y capas de autenticación. Las brechas entre estos canales crean vulnerabilidades sistémicas que los estafadores sofisticados están cada vez más listos para explotar.

Las nuevas normas de autenticación añaden más presión

En junio de 2025, el regulador financiero de Chile (CMF) emitió la NCG 538, que establece estándares mínimos de seguridad, autenticación y registro para emisores de medios de pago e instituciones financieras supervisadas.

La normativa entra en vigencia en agosto de 2025 en general.

Sin embargo, a partir de agosto de 2026, se requerirá el uso obligatorio de "autenticación reforzada de cliente" (ARC), es decir, autenticación fuerte del cliente (dos factores independientes entre conocimiento, posesión e inherencia), en casos de uso designados de alto riesgo (por ejemplo, transferencias de fondos, incorporación de clientes y registro de dispositivos).

Además, la NCG 544 (agosto 2025) extendió la eliminación gradual de las tarjetas de coordenadas impresas hasta agosto de 2026. La intención es impulsar a las instituciones a alejarse de métodos débiles de secreto compartido (por ejemplo, preguntas de seguridad simplistas) y hacia esquemas de autenticación más modernos y fuertes.

El desafío para las empresas de servicios financieros chilenas es que los pasos adicionales de autenticación añaden fricción. Cada desafío de seguridad adicional aumenta el riesgo de frustrar a clientes legítimos o bloquear transacciones válidas. Los bancos deben lograr un equilibrio cuidadoso entre cumplir con los requisitos regulatorios y mantener una experiencia fluida para el cliente.

Mientras que las regulaciones asumen que más autenticación equivale a mayor seguridad, la realidad es más compleja. Cuando la autenticación es visible y predecible, los estafadores adaptan sus tácticas para tenerla en cuenta. Los guiones de vishing se personalizan para incluir instrucciones para pasar la autenticación de dos factores, el malware puede interceptar códigos SMS y los deepfakes pueden vencer el reconocimiento facial.

Cumplir con los requisitos de la NCG 538 y la Ley 21.673 sin destruir la experiencia del cliente

El desafío central para los bancos chilenos en 2026 es cumplir con los requisitos regulatorios mientras mantienen la experiencia sin fricciones que los clientes exigen.

Esto es lo que realmente significa:

Autenticación basada en riesgo que sea invisible para el cliente

La NCG 538 requiere autenticación escalonada para transacciones de alto riesgo. Pero "escalonada" no tiene que significar interrumpir al cliente con códigos SMS o preguntas de seguridad.

A través de la autenticación de comportamiento continua, los bancos pueden detectar anomalías, evaluar el riesgo y verificar la identidad en segundo plano, todo sin agregar fricción visible o ralentizar la experiencia del usuario.

Confianza en dispositivos y vinculación segura

La normativa exige "identificación de dispositivos de confianza" y procesos de inscripción seguros para asegurar que el acceso provenga de dispositivos conocidos.

Cómo los bancos implementen esto determinará si mejora la seguridad o socava la experiencia del cliente. Un proceso de vinculación de dispositivos bien diseñado puede mantener la seguridad mientras permite a los clientes migrar de forma segura a nuevos dispositivos sin reinscripción repetitiva o experiencia degradada.

Recopilación de evidencia de fraude que cumpla con los estándares de la Ley 21.673

La Ley 21.673, junto con las actualizaciones de la CMF a la NCG 487 y la introducción de la NCG 538, eleva el estándar de cómo los bancos deben registrar, preservar y demostrar eventos de autenticación en disputas relacionadas con fraude.

Las instituciones financieras ahora están obligadas a mantener registros rastreables y auditables que puedan mostrar cuándo, cómo y por quién fue autenticado cada transacción o intento de acceso.

Prevención de fraude para reducir rechazos falsos

La NCG 538 no requiere altas tasas de rechazo. Requiere una gestión de riesgo apropiada. Con una validación más avanzada y continua de la identidad e intención del usuario, los bancos pueden cumplir con los requisitos regulatorios mientras aprueban más transacciones legítimas y mejoran la experiencia general del cliente.

IronVest ActionID™ ayuda a los bancos chilenos a cumplir con los requisitos de la CMF NCG 538 y prevenir el fraude

IronVest ActionID™ entrega autenticación continua e invisible a través de todos los canales bancarios: apps móviles, web, centros de llamadas e incluso interacciones en sucursal.

El sistema valida continuamente el comportamiento y la intención del usuario sin interrumpir a los clientes legítimos. No hay códigos SMS para interceptar, no hay momentos de autenticación para que los estafadores los incluyan en sus guiones, y no hay fricción de la que los clientes se quejen.

Ya estamos ayudando a bancos en toda América Latina a reducir las pérdidas por fraude mientras mejoran las tasas de aprobación sobre transacciones legítimas.

Conoce más sobre cómo IronVest ActionID™ ayuda a los bancos chilenos a cumplir con los requisitos de la NCG 538, construir registros de evidencia para disputas de la Ley 21.673, y reducir los rechazos falsos que alejan a los clientes.