La transformación digital ya no es una ventaja competitiva en banca, retail y fintech, es su modelo de negocio. Hoy, la relación con el cliente es mayoritariamente digital: apertura de cuentas, pagos, crédito, inversiones, promociones, atención al cliente. Todo ocurre en aplicaciones web y APIs.
Y ahí está el problema, mientras en el consejo de administración siguen hablando de crecimiento, expansión y experiencia de usuario, los ciberdelincuentes están hablando de otra cosa: automatización, evasión, scraping, apropiación de cuentas y explotación a escala. El campo de batalla ya no es “la red”. son los aplicativos web.
Las cifras no engañan, según el Informe sobre amenazas de Fastly del tercer trimestre de 2025, basado en el análisis de más de 6.5 billones de solicitudes mensuales inspeccionadas por soluciones de NG-WAF y gestión de bots , el 29% de todo el tráfico hacia aplicaciones corresponde a bots, y 25% es tráfico de bots no deseados . Es decir, uno de cada cuatro accesos a tus aplicaciones no es humano y no tiene buenas intenciones.
En servicios financieros la situación es aún más crítica: el 77% de la distribución de tráfico de bots en este sector corresponde a bots no deseados. No es casualidad. Donde hay datos sensibles, dinero y transacciones en tiempo real, hay incentivos para atacar.
Estamos ante una tormenta perfecta: ataques humanos más sofisticados, automatización masiva mediante bots y una nueva capa de intrusión impulsada por inteligencia artificial.
Veamos los tres vectores de ataque más importante:
Primero, los ataques ejecutados por humanos.
Los actores humanos siguen siendo responsables de intrusiones dirigidas, explotación de vulnerabilidades en aplicaciones, inyección de código, abuso de APIs y fraudes complejos. Estos ataques buscan vulnerabilidades lógicas en procesos de negocio: límites de transferencia mal configurados, validaciones débiles, secuencias de autenticación mal diseñadas. Atacan modelos de negocio.
En fintech y banca digital, una vulnerabilidad en una API puede significar acceso a datos personales, manipulación de saldos o fraude masivo. Un solo fallo lógico puede escalar a miles de cuentas comprometidas en cuestión de horas.
Segundo, la explosión de los bots maliciosos.
Los bots ya no son simples scripts. El informe documenta la amenaza de los llamados bots sin interfaz (headless en ingles), que son navegadores automatizados completamente funcionales capaces de ejecutar JavaScript e imitar comportamiento humano. Solo en el tercer trimestre de 2025 se observaron miles de millones de solicitudes provenientes de este tipo de automatización.
Estos bots pueden realizar apropiación de cuentas (ATO), scraping de precios, fraude publicitario, ataques DDoS y pruebas masivas de credenciales robadas. El 89% del tráfico de bots sin interfaz se dirigió a sectores con alto volumen transaccional, principalmente comercio y servicios financieros; están probando tus defensas 24/7, a escala industrial.
El problema no es solo el volumen, sino la sofisticación. El 94% del tráfico de bots sin interfaz corresponde a “automatización común sin interfaz” , herramientas ampliamente utilizadas que pueden tener usos legítimos internos. Eso complica la detección: no puedes bloquear todo sin afectar operaciones. Pero tampoco puedes permitir todo sin abrir la puerta al fraude.
Tercero, la intrusión impulsada por inteligencia artificial.
Aquí muchos directivos bajan la guardia porque asocian la IA únicamente con innovación. Error. El 75% de los bots deseados corresponden a rastreadores y buscadores, incluidos bots de IA. El tráfico de bots en general creció aproximadamente 2% trimestre contra trimestre, pasando de 26.56% a 28.89% del total. Parece poco, pero en entornos que procesan billones de solicitudes, ese 2% equivale a miles de millones de interacciones adicionales.
La empresa Meta solamente representa el 60% del tráfico de rastreadores de IA, y ChatGPT concentra una porción significativa del tráfico de buscadores. ¿Qué significa esto para banca y fintech?
Que la superficie de exposición digital crece sin que muchas organizaciones tengan claridad sobre qué datos están siendo recolectados, cómo se están utilizando y bajo qué condiciones. Además, los mismos mecanismos de IA que se usan para rastrear información pública pueden ser replicados por atacantes para analizar patrones de autenticación, flujos de transacción y comportamiento de APIs. La IA es una herramienta de negocio y a la vez, una herramienta de ataque.
El impacto real es financiero y reputacional: Cada apropiación de cuenta impacta en fraude directo y costos de remediación. Cada caída de aplicación por DDoS significa pérdida de transacciones. Cada filtración de datos se traduce en multas regulatorias, pérdida de confianza y caída en valuación.
En sectores regulados como banca y fintech, el costo de no proteger adecuadamente aplicaciones puede convertirse en una crisis existencial.
Frente a este escenario, muchas organizaciones siguen operando con firewalls tradicionales diseñados para un mundo perimetral que ya no existe. Las aplicaciones modernas viven en arquitecturas híbridas, multi nube, distribuidas y orientadas a API. El tráfico es cifrado, dinámico y altamente variable.
Aquí es donde entra el concepto de Next Generation Web Application Firewall (NG-WAF por sus siglas en ingles, que no es solo un filtro de reglas estáticas. Es una plataforma capaz de Analizar comportamiento en tiempo real para distinguir entre usuarios legítimos y automatización maliciosa, Integrar inteligencia de amenazas global, Proteger tanto aplicaciones web como APIs, Adaptarse a arquitecturas nativas de nube, y, Gestionar bots con granularidad, permitiendo los deseados y bloqueando los dañinos.
En entornos donde 25% del tráfico es de bots no deseados y donde sectores financieros concentran la mayor proporción de automatización maliciosa , no contar con capacidades avanzadas de detección y mitigación ya no es una omisión técnica. Es una negligencia estratégica.
La conversación que los líderes empresariales deben tener no es si invertir en seguridad, sino cómo alinear la seguridad con el modelo de negocio digital.
Algunas recomendaciones claras para consejos directivos y CEOs de banca, retail y fintech:
1) Exijan métricas de tráfico real diferenciando humano, bots deseados y bots no deseados. Si no lo pueden ver, no lo pueden gestionar.
2) Evalúen el nivel de exposición de sus APIs. En fintech, las APIs son el corazón del negocio. Son también el objetivo principal.
3) Adopten soluciones NG-WAF y gestión avanzada de bots que combinen análisis conductual, machine learning y protección en el edge.
4) Integren seguridad en el ciclo de desarrollo (DevSecOps). Los bots sin interfaz pueden parecer tráfico legítimo interno . Sin coordinación entre desarrollo y seguridad, bloquearlos puede afectar el negocio; permitirlos indiscriminadamente puede abrir la puerta al fraude.
5) Entiendan que la IA es un arma de doble filo. Deben tener una estrategia explícita sobre qué bots de IA permitir, bajo qué condiciones y con qué límites.
El crecimiento digital de México en servicios financieros es una gran oportunidad. Pero también es un imán para el cibercrimen. Los atacantes no están improvisando. Están industrializando.
La pregunta que cada líder debe hacerse es simple: ¿mi infraestructura de aplicaciones está preparada para enfrentar miles de millones de solicitudes automatizadas, distinguir intención en tiempo real y proteger ingresos digitales sin fricción para el cliente?
Si la respuesta no es un “sí” contundente, el momento de actuar es ahora.
Este 26 de febrero, en el Fintech Mexico Festival en el Museo del Niño en la Ciudad de México, más de 3,000 profesionales de la industria estarán profundizando en estos retos y en cómo las soluciones de nueva generación pueden convertirse en un habilitador de negocio, no solo en un mecanismo de defensa.
Porque en la economía digital, proteger la aplicación es proteger la empresa.
Manuel Rivera (manuel@nektgroup.com @mriveraraba) es CEO y Socio fundador de NEKT Group, empresa especializada en servicios de ciberseguridad. www.nektcyber.com