Qué verticales pierden más por fraude, y por qué los patrones difieren
Un desglose de los cinco verticales que pierden el mayor porcentaje de ingresos por fraude —iGaming, Cripto/Web3, FinTech, AdTech y comercio electrónico— y los factores estructurales que convierten a cada uno en objetivo.
No todas las industrias se enfrentan al mismo panorama de fraude. Algunas se asientan sobre superficies de ataque que son intrínsecamente más atractivas para las operaciones de fraude profesionales; otras tienen características que limitan el volumen de ataque incluso cuando las defensas son débiles.
Este artículo recorre los cinco verticales que de forma consistente pierden el mayor porcentaje de ingresos por problemas relacionados con el fraude —iGaming, Cripto/Web3, FinTech/préstamos, AdTech y comercio electrónico— y explica los factores estructurales que hacen atractivo cada vertical para los atacantes. Escrito para responsables de producto, operaciones y riesgo que intentan entender si las cifras de pérdida por fraude que ven son típicas para su categoría o si algo va mal.
Por qué el fraude no se distribuye de forma uniforme
Los atacantes operan con economía unitaria. Las cuentas de cualquier operación de fraude son: coste del ataque < valor extraído. Los verticales que maximizan el lado derecho de esta desigualdad atraen la mayor atención profesional.
Tres factores estructurales determinan la extracción de valor:
Factor 1: velocidad de monetización. ¿Con qué rapidez puede el atacante convertir el éxito del fraude en dinero? El iGaming tiene una monetización rápida (reclamar bono, cumplir el requisito de apuesta, retirar). El comercio electrónico tiene una monetización más lenta (pedir artículo, recibir artículo, revender). Las criptomonedas pueden tener una monetización extremadamente rápida (reclamar airdrop, vender en un DEX). Una monetización más rápida atrae operaciones más sofisticadas.
Factor 2: valor por unidad. ¿Cuál es el valor financiero de un único evento de fraude exitoso? El fraude de préstamos con identidad sintética podría extraer 15K-25K $ por cada bust-out exitoso. El abuso de bonos podría extraer 50-500 € por cuenta. El fraude de clics podría extraer céntimos por clic pero a un volumen masivo. Un mayor valor por unidad atrae ataques más focalizados; las categorías de alto volumen y bajo valor atraen más automatización industrial.
Factor 3: dificultad de detección. Los verticales donde el fraude se mezcla con el comportamiento legítimo son más difíciles de defender. La identidad sintética es difícil porque los documentos parecen reales y el comportamiento parece normal durante 12-18 meses. La colusión es difícil porque cada jugador parece legítimo de forma individual. El fraude de clics es difícil porque los clics individuales parecen comportamiento normal de usuario.
Los cinco verticales de abajo puntúan alto en al menos dos de estos tres factores. No son los únicos verticales con problemas de fraude —toda plataforma de cara al consumidor afronta alguno—, pero son aquellos en los que las cuentas favorecen con más fuerza a los atacantes.
iGaming: 8-20% del GGR
La industria donde más se discuten las cifras en dólares porque los reguladores exigen su divulgación. Los mercados de iGaming maduros en jurisdicciones reguladas suelen perder el 8-15% de los ingresos brutos de juego por problemas relacionados con el fraude. Los mercados menos maduros y los operadores con defensas más débiles pueden perder hasta el 20%.
Los factores estructurales:
- Los altos presupuestos de bonos atraen el abuso de bonos. Los operadores gastan el 5-15% de los ingresos en bonos de bienvenida, apuestas sin riesgo y ofertas promocionales. El presupuesto de bonos es un objetivo. Los atacantes crean multicuentas para reclamar estas ofertas repetidamente.
- Monetización rápida a través de la apuesta y la retirada. Reclamar el bono, apuesta mínima, retirada: el tiempo total desde el fraude hasta el dinero suele ser de horas, no de días. Esto hace que las operaciones sean económicamente eficientes incluso con un valor por cuenta moderado.
- Infraestructura de atacantes madura. El iGaming ha sido un objetivo principal durante más de una década. Existen operaciones profesionales de farmeo de bonos a escala. Los servicios de elusión de KYC son una industria madura. Los mercados de adquisición de documentos están consolidados.
- Las regulaciones de protección del jugador crean una ventaja para el atacante. Los operadores afrontan fricción al cuestionar agresivamente a los usuarios (los falsos positivos generan quejas y atención regulatoria). Los atacantes afrontan menos fricción al iterar contra las defensas.
Las categorías de fraude que impulsan las pérdidas: abuso de bonos y multicuentas (el mayor volumen), colusión en formatos de póker, explotación de apuestas sin riesgo, robo de cuentas para cuentas con depósitos. Cada una requiere contramedidas distintas.
La valoración honesta: la mayoría de los operadores inframide su tasa de fraude. Cuentan lo que atrapan y se les escapa lo que no. La tasa real suele ser 1,5-2 veces más alta que la cifra reportada.
Cripto y Web3: 50-80% en distribuciones vulnerables a Sybil
La entrada más reciente en la lista de alto fraude y, sin duda, la más extrema. Los lanzamientos de tokens, los minteos de NFT, los airdrops y otros mecanismos de distribución ven de forma rutinaria que el 50-80% de la distribución va a operaciones de farmeo en lugar de a participantes legítimos.
Los factores estructurales:
- Los eventos de distribución son grandes, rápidos y de alto valor. Un lanzamiento de token podría distribuir 50-500M $ de valor en horas. La ventana para atacar es estrecha, pero el valor en juego es enorme.
- La componibilidad favorece la automatización. La filosofía de diseño de Web3 enfatiza el acceso sin permisos. La misma propiedad que hace potente a Web3 lo hace atractivo para los atacantes: pueden interactuar con los protocolos sin la fricción que exigen las finanzas tradicionales.
- La resistencia a Sybil es estructuralmente difícil. Distinguir una entidad que controla 1,000 wallets de 1,000 entidades separadas que controlan cada una una wallet es un problema criptográfico fundamental. Los enfoques estándar (prueba de actividad, grafos sociales, reputación on-chain) tienen todos evasiones conocidas.
- Infraestructura de navegadores anti-detección adaptada para Web3. Las mismas herramientas usadas en el farmeo de bonos de iGaming funcionan para el farmeo de distribución de Web3, a menudo con más eficacia porque las plataformas Web3 tienden a tener defensas más débiles.
Las categorías de fraude: ataques Sybil sobre distribuciones de tokens, farmeo de airdrops con wallets precalentadas, elusión de KYC en exchanges centralizados, volumen de trading falso en los DEX, atribución de wallets de estafa. Cada uno es un problema distinto; cada uno requiere contramedidas distintas.
La valoración honesta: la tasa de farmeo del 50-80% en los airdrops está ampliamente reportada y es consistente con los datos que Tracio ve en los despliegues de sus clientes. Los protocolos que no se defienden activamente pueden esperar que la mayor parte de su distribución llegue a los farmers. Los protocolos que se defienden correctamente pueden darle la vuelta hasta un 90%+ de distribución legítima.
FinTech y préstamos: 3-10% de la cartera
Una categoría amplia que incluye préstamos al consumo, BNPL, neobancos, plataformas de pago y puentes cripto-FinTech. Las pérdidas varían mucho por subcategoría, pero la media consolidada de la industria se sitúa en torno al 3-10% de la cartera.
Los factores estructurales:
- El valor por incidente es alto. El fraude de préstamos con identidad sintética extrae 15K-25K $ por cada bust-out exitoso. El robo de cuentas en cuentas con métodos de pago puede extraer cantidades similares. El valor por incidente justifica operaciones de ataque sofisticadas.
- El KYC crea una falsa sensación de seguridad. La verificación de documentos atrapa a los defraudadores ocasionales y se le escapan los sofisticados. La industria del KYC es madura, pero también lo es la industria de la elusión de KYC. Los mercados de adquisición de documentos y las operaciones de identidad-como-servicio derrotan la verificación estándar.
- Los datos de los burós van con retraso respecto al tiempo real. Los burós de crédito se actualizan en ciclos de 24-72 horas. Los atacantes explotan esta ventana para el loan stacking: enviar solicitudes a varios prestamistas en menos de una hora, aprobándolas todas porque ninguno ve aún a los demás.
- Fraude amistoso y abuso de contracargos. Una porción no trivial del fraude en FinTech es iniciado por el consumidor: clientes legítimos que disputan transacciones para obtener reembolsos mientras conservan la mercancía, o que reclaman fraude en compras legítimas.
Las categorías de fraude: robo de cuentas (el mayor volumen), identidad sintética (el mayor valor por incidente), loan stacking (específico de los productos de préstamo), fraude sin presencia de tarjeta (card-not-present), fraude amistoso y abuso de contracargos. La mezcla de categorías varía drásticamente según el tipo de producto: el panorama de fraude de un prestamista al consumo se ve distinto del de un procesador de pagos.
La valoración honesta: los operadores de FinTech tienden a medir el fraude con más rigor que otros verticales porque los reguladores lo exigen. Las cifras publicadas son más fiables que en el iGaming. El rango del 3-10% refleja una medición honesta; las pérdidas subyacentes no suelen superar este rango de forma significativa ni siquiera en operadores mal defendidos, porque los límites de producto, los controles de fraude a nivel de cuenta y la coordinación con los burós ponen un tope a la exposición por cuenta.
AdTech: 15-30% del gasto publicitario
El vertical donde la cifra absoluta en dólares es mayor porque el mercado subyacente es el mayor. Las pérdidas globales por fraude publicitario se estiman en 84,000M $ en 2025, y se espera que superen los 100,000M $ en 2026. Distintos estudios sitúan el porcentaje de gasto publicitario perdido por fraude en cualquier punto entre el 15% y el 30%.
Los factores estructurales:
- El tráfico de bots parece tráfico legítimo en las señales pre-puja. El 49,6% del tráfico de internet que es automatizado, según Imperva, es una línea de base; en el inventario monetizado con anuncios en concreto, el porcentaje suele ser mayor porque los atacantes atacan específicamente los destinos monetizados con anuncios.
- Múltiples partes en la cadena de valor crean brechas de responsabilidad. Anunciante → ad exchange → SSP → publisher → usuario. Cuando ocurre el fraude, cada parte tiene un incentivo para culpar a las demás. Las responsabilidades de detección no están claras.
- El análisis post-puja atrapa el fraude después del pago. El modelo de verificación dominante (MOAT, IAS, DV) analiza las impresiones después de que se sirven y se cuentan. Para cuando se confirma el fraude, el presupuesto ya se ha gastado. La detección pre-puja es la capa infrainvertida.
- El domain spoofing explota la confianza de los SSP. Comprar inventario en dominios premium a través de los SSP es cómodo, pero crea una superficie de ataque. Los suplantadores tergiversan el inventario; los SSP a veces tienen una verificación débil; los anunciantes pagan precios premium por impresiones en destinos sombríos.
Las categorías de fraude: fraude de clics (bots haciendo clic en anuncios pagados), fraude de impresiones (visualizaciones falsas), fraude de conversiones (conversiones falsas en redes de afiliados), domain spoofing, ad stacking, pixel stuffing. Cada uno requiere enfoques de detección distintos.
La valoración honesta: AdTech es el vertical donde la brecha entre compradores sofisticados y compradores poco sofisticados es mayor. Los grandes anunciantes con equipos dedicados de brand safety atrapan la mayor parte del fraude. Los anunciantes pequeños y medianos que operan a través de agencias a menudo pierden más del 25% del gasto sin llegar a verlo. La media de toda la categoría es alta en parte porque la larga cola está débilmente defendida.
Comercio electrónico: 3-8% de los ingresos
El vertical más amplio, que va desde grandes marketplaces hasta tiendas Shopify de un solo producto. La pérdida por fraude en toda la industria se estima en el 3-8% de los ingresos de la categoría, con una varianza significativa por subsegmento.
Los factores estructurales:
- Los presupuestos de promociones atraen el abuso. Los descuentos de bienvenida, los créditos por recomendación, los programas de fidelización y las promociones de temporada crean presupuestos que los atacantes atacan. El abuso de promociones sigue el mismo patrón que el abuso de bonos del iGaming, pero con un valor por incidente menor y un volumen mayor.
- El fraude de devoluciones es estructural de la industria. Las políticas de devolución generosas son requisitos competitivos básicos; también son explotables. Wardrobing, devoluciones de caja vacía, contracargos por fraude amistoso. Se estima que el 5-10% de las devoluciones son fraudulentas.
- El pago sin presencia de tarjeta hace atractivo el card testing. Los atacantes prueban números de tarjeta robados contra los checkouts del comercio electrónico a escala, identificando qué tarjetas siguen funcionando antes de usarlas para compras mayores. La mayoría de las plataformas de comercio electrónico ven un tráfico significativo de card testing sin darse cuenta.
- Ataques de acaparamiento de inventario en lanzamientos limitados. Zapatillas, consolas de videojuegos, NFT limitados: allí donde el inventario es escaso y la demanda es alta, la compra automatizada crea un mercado de reventa paralelo.
Las categorías de fraude: abuso de promociones, fraude de devoluciones, fraude de pago sin presencia de tarjeta, card testing, robo de cuentas en cuentas con métodos de pago guardados, bots de acaparamiento de inventario. La mezcla varía drásticamente según el tipo de producto: el panorama de fraude de un minorista de moda de lujo se ve distinto del de una tienda Shopify genérica.
La valoración honesta: la mayoría de los operadores de comercio electrónico no separan de forma limpia la pérdida por fraude de otras categorías de pérdida. Los contracargos se tratan como un coste del negocio. El fraude de devoluciones se mezcla con las devoluciones legítimas. El abuso de promociones se esconde en las métricas de rendimiento de marketing. El rango del 3-8% refleja lo que miden los operadores serios; los operadores menos rigurosos suelen tener pérdidas reales mayores que no pueden ver.
Qué tienen en común estos verticales
A pesar de los distintos mecanismos de ataque, los cinco verticales de alto fraude comparten cuatro características que explican por qué son objetivos:
Factor común 1: movimiento de dinero de alta velocidad. Ya sea monetización rápida (iGaming, Cripto), alto valor por incidente (FinTech) o valor agregado masivo (AdTech, comercio electrónico).
Factor común 2: las multicuentas como vulnerabilidad. Los cinco verticales son vulnerables a ataques en los que una entidad crea múltiples cuentas para extraer valor que estaba pensado por usuario. Bonos de bienvenida, airdrops, pruebas gratuitas, códigos promocionales, nuevas líneas de crédito.
Factor común 3: dificultad de detección frente a la automatización moderna. Ninguno de los cinco verticales puede defenderse solo con KYC ni solo con bloqueo de IP. Todos requieren detección multicapa que incluya inteligencia de dispositivos para atrapar los patrones que las defensas más simples pasan por alto.
Factor común 4: infrainversión en medición. En cada uno de estos verticales, el operador típico mide con menos rigor de lo que la pérdida real justifica. La cifra del panel suele ser el 60-70% de la cifra real. La pérdida oculta se acumula sin llegar a ser nunca visible para la dirección.
Qué funciona en los cinco
La arquitectura de detección que es eficaz en los cinco verticales comparte elementos comunes independientemente de la categoría de fraude concreta que se esté defendiendo:
Elemento 1: la inteligencia de dispositivos como base. La detección de multicuentas, la defensa contra ATO, la resistencia a Sybil y la prevención del fraude de clics se benefician todas de la capacidad de identificar el mismo dispositivo a través de múltiples sesiones, cuentas o acciones. Este es el bloque de construcción más universal.
Elemento 2: vinculación entre cuentas. Dentro de una sola plataforma, identificar que cuentas "distintas" comparten características subyacentes es crítico. A través de múltiples plataformas (mediante señales anonimizadas entre clientes), el mismo enfoque atrapa campañas coordinadas.
Elemento 3: veredictos en tiempo real. Las defensas que detectan el fraude después de que ocurre son útiles para las reclamaciones de reembolso y los informes a los burós, pero no previenen la pérdida. La detección en tiempo real en el momento crítico de la decisión (registro, reclamación, login, transacción) es lo que realmente mueve las cifras de pérdida.
Elemento 4: arquitectura por capas. Ninguna señal por sí sola resiste a los atacantes modernos. Señales de red, señales de dispositivo, señales de comportamiento, comprobaciones de coherencia, inteligencia entre plataformas: la combinación es lo que funciona.
Elemento 5: código polimórfico del lado del cliente. Los atacantes hacen ingeniería inversa de la detección estática y despliegan evasiones. El código rotativo les niega el tiempo para hacerlo con eficacia.
Qué hacer a continuación
Si opera en cualquiera de estos cinco verticales, tres acciones producen valor inmediato:
Acción 1: medir con honestidad. Audite por muestreo su tasa de fraude a través de los mecanismos específicos de su categoría. El resultado probablemente le sorprenda. La primera medición honesta es la más difícil porque fuerza conversaciones incómodas, pero es la base de todo lo demás.
Acción 2: identificar su punto de defensa de mayor apalancamiento. iGaming: registro y reclamación de bonos. Cripto: verificación del evento de distribución. FinTech: login y solicitud de préstamo. AdTech: evaluación de impresiones pre-puja. Comercio electrónico: checkout y devoluciones.
Acción 3: desplegar detección multicapa en ese punto. Las defensas de una sola capa fallan frente a atacantes sofisticados. La arquitectura que resiste es la de capas, con comprobaciones de coherencia entre capas, código de cliente polimórfico y compartición de señales entre clientes.
La expectativa honesta: el despliegue mejora la pérdida por fraude en un 50-80% en los primeros 90 días para la mayoría de las plataformas. Las plataformas maduras con mejor defensa de base ven mejoras menores; las plataformas menos maduras ven mayores. Las cuentas del ROI funcionan en todos los verticales: los costes de la infraestructura de detección son diminutos en relación con la pérdida por fraude para cualquier plataforma por encima de una escala de ingresos modesta.
Dónde encaja Tracio
Tracio es inteligencia de dispositivos diseñada específicamente para verticales de alto fraude. La arquitectura cubre las señales que resisten en los cinco verticales —red, dispositivo, comportamiento, coherencia, entre clientes— con plantillas de reglas específicas por vertical para iGaming, Cripto, FinTech, AdTech y comercio electrónico.
El despliegue es rápido: un SDK en la página, llamadas de verificación del lado del servidor en los puntos de decisión. La capa de JavaScript polimórfico rota a diario. El veredicto se devuelve en menos de 50 milisegundos.
El plan gratuito cubre 2,500 verificaciones al mes, suficiente para ejecutar un piloto significativo sobre un subconjunto de su tráfico y producir datos que demuestren su tasa de fraude real.
¿Quiere ver cómo es realmente su tasa de fraude?
Empiece su prueba gratuita: 2,500 verificaciones gratis, sin tarjeta de crédito. Reserve una demo para repasar con nuestro equipo los patrones de fraude específicos de su vertical.