Cuando un escáner facial ya no es un escáner (pero siguen cayendo bancos)
En Camboya, dentro de un centro de lavado de dinero con pinta discreta pero tecnología criminal de punta, alguien abre una app bancaria vietnamita. El móvil pide una foto para corroborar la identidad, y el empleado virtualmente trampa: sube la de un hombre asiático de 30 años, pero para la prueba “de vida” —esa que el banco usa para saber si no eres un deepfake— muestra la imagen estática de una mujer sin relación alguna con el dueño de la cuenta. El sistema se queda en modo espectador durante noventa segundos, mientras el sujeto (o algo que no es sujeto) se ajusta al cuadro, y voilà, la aplicación da luz verde. Así funciona el último truco que los cyberscammers venden por Telegram para violar los controles KYC (Know Your Customer) en bancos y criptomonedas.
Este no es un caso aislado ni una rareza exótica, sino el síntoma avanzado de un negocio tecnológico criminal que crece y perfecciona sus herramientas, desde China hasta Vietnam, pasando por el inglés global del cibercrimen. El truco usa cámaras virtuales, que no graban lo que pasa en el lugar, sino que transmiten vídeos o fotos ficticias, deepfakes o imágenes robadas, para engañar el reconocimiento biométrico. Y mientras las instituciones financieras intentan elevar su guardia, el gato (los hackers) y el ratón (los bancos y exchanges) juegan una partida que se ha vuelto cada vez más sofisticada y peligrosa.
Telegram: el mercado negro de la identidad digital
No es tontería: en sólo dos meses, el MIT Technology Review identificó 22 grupos en Telegram ofreciendo kits de hackeo para pasar escáneres faciales KYC, junto con bases de datos de biometría robada. Estos paquetes «profesionales», como se autodenominan, prometen abrir cuentas en bancos y plataformas de criptomonedas de altísimo perfil —Binance, BBVA, Revolut— y tejado con emojis de pulgar arriba, como si fuera un servicio legítimo de limpieza en seco. Algunos de estos canales tienen miles de seguidores, con videos que muestran «pruebas de éxito” y bullet points para convencer hasta al más escéptico: «Todas las verificaciones KYC superadas sin problemas»; «Servicio 100% fluido y sin interrupciones»; «Especialistas en bancos, manejo de dinero sucio.»
Obvio que Telegram acabó borrando varios canales por violar sus términos, pero basta con buscar para ver que a pesar de la censura es un ecosistema que se regenera fácil, con canales clones y cuentas nuevas que renacen sin que nadie termine de ponerle un freno real.
Pig-butchering, lavado exprés y la banalización del fraude
Llaman pig-butchering a la escandalosa modalidad de ciberestafa que revienta el ingreso de fondos ilícitos. Hablamos de robos multimillonarios en criptomonedas y dinero legal, con cifras locas: Chainalysis cuantificó que en 2025 se perdieron alrededor de 17 mil millones de dólares por scams y fraude en cripto, cuando en 2024 eran 13 mil. La ONU advierte que escuadrones asiáticos de estafadores ahora operan en África y el Pacífico a lo grande, catapultando las ganancias hasta el infinito.
La clave para mover ese dinero sin ser detectado: abrir cuentas mule (de mulas financieras) mediante la pirueta del bypass KYC. Detrás están estas redes (llamadas “water houses” o casas de agua) que usan los kits del Telegram para hacer aparecer un cliente que en realidad no existe. Entonces el dinero se mete, se pasa a cripto como stablecoins (Tether es el favorito), y listo, podemos ponerle etiqueta limpia a fondos totalmente manchados.
La trampa se vuelve aún más efectiva al combinar tecnología y humanos entrenados en esquivar sistemas sofisticados, que se revisan en segundos y usan bases de datos biométricas robadas o deepfakes en serie. La velocidad para trocar fondos entre cuentas es tal, que el fraude se parece menos a un robo y más a un lavado en tiempo real, tan sincronizado que parece operado por inteligencia artificial (pero es gente temeraria con mucho tiempo y recursos).
Hackeando la confianza digital: cámaras virtuales y frameworks de hooking
Detrás del “milagro” del bypass KYC hay hackeos de perfil técnico bien avanzado. No es solo subir fotos falsas y esperar que el sistema no se dé cuenta. Los hacks inyectan código en apps bancarias (un framework llamado hooking) para forzar que el proceso utilice una cámara virtual (VCam) en vez de la cámara real. La virtual transmite lo que el scammer quiere –un vídeo falso o una imagen estática que “vive” en loop– y el algoritmo que detecta rostros y movimientos nunca sabe que lo están engañando.
Los mismos servicios venden la modificación de teléfonos para “jailbreakearlos” (romper sus protecciones) y así activar esta cámara virtual cuando les plazca, con control remoto. El combo perfecto para burlar todas las medidas que el banco pueda implementar.
Las víctimas tecnológicas ya no son solo usuarios incautos, sino las propias instituciones financieras, que ven cómo se vulneran sus apps oficiales con ingeniería inversa, inyección de código y manipulación a nivel de sistema operativo. Según Sergiy Yakymchuk, CEO de Talsec, los reportes de hacks con VCam creciendo pasaron de menos de 10 a casi 30 el último año.
Ya no basta con un simple crackeo para robar datos, estos ladrones necesitan toda una orquesta de malware y biométrica robada para evadir controles basados en el “vive y respira” del usuario.
¿Binance, BBVA, Revolut? Sí, pero el problema es del sistema
Que me digan que Binance, BBVA y Revolut están al loro es solo el 50% del cuento. Claro que saben de la movida, porque sus sistemas no son de juguete, y han evadido miles de ataques. Pero “el problema no es que fallen, es que ahora la técnica es tan sofisticada que las brechas se disimulan”, señala Artem Popov, experto en prevención de fraude. Hay una trampa gigante: a veces ni las financieras saben cuándo están siendo burladas.
Y ojo al dato: Binance no oculta que hay intentos y que han bloqueado ataques. Pero también reconoce que servicios que venden estos bypass pueden ser scams internos que atrapan a los mismos criminales, lo que complicaría saber la escala real del problema. Mientras tanto, algunos expertos universitarios en blockchain sostienen que “los agujeros existen y el sistema sigue siendo un colador para los malos”.
Este juego de acusar y defenderse, con datos cruzados, sostiene una verdad incómoda: el modelo entero de verificación biométrica y KYC está siendo cuestionado por la tecnología criminal que se adapta mucho más rápido de lo que los bancos pueden parchar.
Reguladores y gobiernos corren detrás de lagartos digitales
Por suerte, hay leyes sacudiendo el avispero. En países como Tailandia, han endurecido los controles para limitar la cantidad y frecuencia con que las cuentas pueden operar, y potenciaron a sus organismos para suspenderlas al primer indicio de fraude. En EE.UU., la FinCEN lanzó alertas sobre deepfakes y cámaras virtuales, pidiendo a las plataformas cripto que no solo se enfoquen en biometría, sino que usen análisis profundo de patrones de transacción para detectar flujos sospechosos.
La red está atrapada en la tensión entre innovación y fraude. Las regulaciones se actualizan lento mientras los delincuentes mejoran sus kits. Y sin embargo, en la voz del activista y ex hacker vietnamita Hieu Minh Ngo, que pasa a ser también experto en leyes y seguridad, la historia no es optimista: no van a parar estas prácticas, solo se retrasarán un poco. “Es cuestión de tiempo” antes de que encuentren nuevas formas de evadir controles.
Entonces, ¿estamos seguros alguna vez con estos escáneres?
No. No vale consolarse con la promesa de verificación facial en banca o en exchanges, cuando esos métodos son el pan de cada día para que telegramers y scammers vendan hacks a diestro y siniestro. La biometría puede ser precisísima y la tecnología punta, pero cuando un regalo (aquí, el “nivel de confianza” que un banco otorga a un selfie) tiene tantos agujeros que pueden usarse desde una habitación clandestina en Camboya para lavar millones, estamos ante un sistema que se implementó sin pensar en que el enemigo iba a jugar esta carta.
Y mientras se escriben millones en código, en políticas y sanciones, ingresan miles de millones en cuentas que no existen. El problema no es la biometría en sí, sino cómo se gestiona y protege. ¿Se le podrá poner freno efectivo antes de que el próximo agujero irreversible explote? Solo el tiempo, y la habilidad de aprender del fracaso, lo dirán.
¿Crees que los bancos podrán correr más rápido que este cibercrimen que ya parece saber más de ti que tú mismo?