Bancos ajustan límites, reguladores miran la biometría
La expansión del retiro sin tarjeta es parte del viraje de la banca hacia experiencias móviles y contactless. Pero la misma arquitectura que otorga velocidad se vuelve crítica cuando un tercero controla la app: con token, QR o NFC, el efectivo sale del cajero sin rastro del plástico.
Para el sector, el costo no es solo el monto robado: hay daño reputacional, presión de reintegros y margen erosionado por controles adicionales. A la par, los reguladores estudian exigencias de autenticación por transacción y telemetría obligatoria en cajeros con contacto sin tarjeta.
La raíz del problema está en el vinculado de dispositivos. Cuando un atacante logra el secuestro de cuenta (phishing, malware, SIM swap), puede agregar su equipo como confiable, emitir códigos y operar en cajeros compatibles. El sistema lo ve como un uso legítimo desde un “nuevo dispositivo”.
Una respuesta regulatoria probable es exigir biometría fuerte en el dispositivo primario para autorizar cada retiro sin plástico, además de caducidad ultra corta (30–60 s) de tokens y confirmaciones fuera de banda (por ejemplo, en el equipo original o un llamado automatizado).
También gana terreno el análisis de comportamiento: patrones de geolocalización, modelo de tecleo, sistema operativo, ID de hardware y señales de riesgo que disparen límite cero cuando aparece un perfil anómalo intentando retirar efectivo.
En términos de negocio, los bancos equilibran fricción y fuga. Subir la fricción (biometría por transacción, segundos factores) puede bajar la conversión de operaciones legítimas; bajarla expone a fraude oportunista. La solución pasa por fricción adaptativa: más barreras solo donde el riesgo sube.
Respecto al ecosistema, los fabricantes de ATM aceleran el endurecimiento de lectores contactless, y los procesadores publican guías para mitigar relay y mejorar logs. La coordinación con fintech (billeteras) es clave para alinear estándares y tiempos de token.
Para el usuario final, el impacto es inmediato y visible: pérdida de fondos y trámite de reverso. Para la industria, el efecto es sistémico: aumento de costos de cumplimiento, seguros y provisiones. De ahí que se prioricen campañas masivas de educación sobre no compartir códigos y auditar dispositivos.
Algunas entidades implementan geocercas que invalidan retiros si el teléfono primario no se encuentra cerca del cajero o si la IP de sesión carece de historial. Otras fijan límites más bajos para retiros sin tarjeta y piden aprobación adicional para subirlos.
La discusión pública se concentra en si el retiro sin plástico debe venir desactivado por defecto y habilitarse solo con biometría y prueba de posesión del equipo. Esto reduciría el ataque por ingeniería social, sin matar la conveniencia.
La adopción seguirá creciendo, pero la seguridad debe madurar al mismo ritmo.
About the Author
