La milanesa Cleafy lleva años insistiendo en una idea que, vista desde fuera, suena casi de sentido común: si esperas a que el fraude “salte” en una transacción para actuar, probablemente llegas tarde. Esa tesis acaba de ganar tracción financiera con una ronda Serie B de 12 millones de euros, que eleva su financiación total a 22 millones. Según la información publicada por The Next Web y las declaraciones de la propia compañía, la operación está co-liderada por United Ventures y la alemana eCAPITAL, ambos inversores que ya habían apostado por el proyecto.
El destino del capital es coherente con su narrativa: acelerar capacidades de seguridad predictiva, ampliar la inteligencia de amenazas global y crecer en mercados bancarios de Europa y Latinoamérica. Traducido a la vida cotidiana, es como pasar de instalar una alarma que suena cuando la puerta ya está forzada a montar un sistema que detecta, días antes, que alguien está merodeando, probando cerraduras y estudiando horarios.
La frustración original: el fraude no llega “en una sola pieza”
Cleafy nació en 2014 de la mano de Matteo Bogana, Niccolò Pastore y Carmine Giangregorio, con un punto en común: su paso por el Politécnico de Milán. El problema que querían atacar era muy específico: muchas herramientas tradicionales de detección de fraude funcionan como compartimentos estancos. Miran una operación concreta, la comparan con reglas estáticas y, si algo encaja con un patrón, lanzan una alerta.
El inconveniente es que el fraude moderno rara vez se presenta como una única “foto” clara. Suele parecerse más a una serie de pequeñas huellas: un dispositivo nuevo que intenta acceder, un cambio de comportamiento en la app móvil, un navegador con señales anómalas, un flujo raro en la red, un comportamiento automatizado que no encaja con una persona real. Si cada señal se queda en su silo, el banco ve piezas sueltas y el atacante ve un camino completo.
Bogana lo resumía con crudeza en su argumento a inversores: cuando el equipo antifraude recibe el aviso, el dinero con frecuencia ya no está. Es el equivalente digital a encontrar el cristal roto después de que el ladrón haya salido por la puerta de atrás.
Qué significa “predecir” un ataque en banca digital
Hablar de defensa predictiva puede sonar a bola de cristal, pero la idea es más terrenal: reconstruir la cadena de un ataque mientras se está formando. Cleafy afirma que su plataforma ingiere señales simultáneas de canales web, móvil, back-end y red, y las cruza con threat intelligence en tiempo real para entender cómo se desplaza un actor malicioso por la infraestructura de una entidad.
La diferencia clave no es solo “ver más datos”, sino conectarlos en una narrativa técnica: qué herramientas usa el atacante, qué método está aplicando, desde qué infraestructura opera y cómo evoluciona la campaña. Si la banca suele reaccionar cuando aparece la transacción fraudulenta, aquí el objetivo es identificar intención maliciosa y preparación del ataque con antelación, incluso “días o semanas” antes de que el fraude se materialice, según la propia empresa.
Un ejemplo sencillo ayuda. Imagina que alguien quiere vaciar una cuenta. Antes de mover dinero, suele tener que conseguir credenciales, sortear autenticaciones, preparar un dispositivo o una sesión que parezca legítima, probar límites, automatizar pasos. Es como preparar un atraco: primero se estudia la zona, luego se consiguen herramientas, se hacen ensayos, se busca un momento de baja vigilancia. La predicción, en este caso, es detectar los ensayos.
Señales cruzadas: del “alerta” a la película completa
Uno de los puntos más interesantes del enfoque es que se centra en la capa de infraestructura y comportamiento, no solo en la transacción final. Para un banco, la transacción es un evento puntual; para un atacante, es el último paso de un proceso. Si solo miras el último paso, intentas detener un tren cuando ya entra en la estación. Si miras el recorrido, puedes bloquear vías antes.
Esta aproximación también encaja con el tipo de amenazas que están creciendo con la IA. Si un defraudador puede automatizar a escala la exploración de cuentas, el testeo de credenciales o la simulación de comportamientos, el volumen de “intentos” se multiplica. Y con más intentos, los sistemas basados en reglas fijas tienden a sufrir: o se vuelven demasiado permisivos para no molestar a clientes legítimos, o se vuelven demasiado estrictos y disparan falsos positivos que saturan equipos.
Cleafy plantea que, si el fraude opera a “velocidad de máquina”, la defensa también debe funcionar con correlación en tiempo real y con señales múltiples, no con una secuencia de tickets que llega tarde.
Tracción comercial y el argumento de la confianza
La compañía asegura que su tecnología protege a más de 250 millones de usuarios en más de 150 instituciones financieras, con nombres como ING, illimity o BPS Suisse. También afirma haber mantenido cero churn histórico, un dato que, si se sostiene en el tiempo, suele ser valioso en ciberseguridad bancaria: cambiar de proveedor de esta clase de sistemas no es solo una compra, es una cirugía en pleno funcionamiento.
En este tipo de soluciones, la confianza no se gana con un demo bonito, sino con meses de integración, calibración y resultados. Por eso el “cero churn” funciona como mensaje de estabilidad: sugiere que, una vez implantado, el sistema se vuelve parte del tejido operativo del banco y no un parche temporal. Aun así, conviene leerlo con cautela y contexto: en seguridad, los contratos suelen ser largos y la comparación entre proveedores no siempre es sencilla.
De proteger al cliente a vigilar el interior: Cleafy for Workforce
El movimiento estratégico de esta ronda no se limita al fraude externo. Cleafy presentó una línea llamada Cleafy for Workforce, que extiende la lógica de detección a amenazas internas, cuentas comprometidas dentro de entornos corporativos e indicios de abuso desde el “lado de dentro”.
Esto importa por una razón práctica: muchas brechas y fraudes no nacen solo del atacante que llega desde fuera, sino de credenciales internas robadas, accesos indebidos o malas prácticas que pasan desapercibidas. Es como reforzar la puerta principal y, al mismo tiempo, mirar quién tiene copia de las llaves y cómo se usan. En banca, donde los permisos y los procesos son complejos, detectar comportamientos anómalos en cuentas corporativas puede marcar la diferencia entre un incidente contenido y una escalada.
DORA y NIS2: cuando la regulación empuja a cambiar el suelo, no el techo
El calendario europeo también juega a favor de este discurso. Normativas como DORA (Digital Operational Resilience Act) y la directiva NIS2 elevan las exigencias sobre cómo las organizaciones demuestran resiliencia operativa y gestión de riesgos de ciberseguridad. Cleafy se está posicionando como infraestructura para sostener cumplimiento y capacidad de respuesta, más que como un módulo aislado.
En la práctica, esto suele traducirse en una presión saludable: no basta con “tener herramientas”, hay que mostrar que se gobiernan, que detectan, que se aprende de incidentes, que se reporta con rigor, que hay trazabilidad. Un enfoque que reconstruye campañas y correlaciona señales puede encajar bien con esa necesidad de evidencias y visibilidad, siempre que el despliegue y la gobernanza estén bien ejecutados.
Patentes, equipo y expansión: el reto latinoamericano
Cleafy dice contar con más de 85 patentes internacionales y un equipo de más de 90 personas repartidas entre Milán, Londres, Barcelona y Bogotá. Esa distribución no parece casual si el objetivo es crecer en Europa y Latinoamérica: tener presencia local ayuda a entender patrones regionales de fraude, integrarse con ecosistemas bancarios distintos y reaccionar con más rapidez.
La gran pregunta, en esta etapa, es si su idea central —parar el fraude en la capa de infraestructura y comportamiento, no en la capa de transacción— viaja igual de bien a mercados con realidades tecnológicas y regulatorias diferentes. Latinoamérica combina banca digital muy dinámica con un panorama de amenazas muy activo. Esa mezcla puede ser terreno fértil para una propuesta predictiva, aunque también exige adaptarse a integraciones, proveedores, hábitos de usuario y marcos normativos que no siempre se parecen a los europeos.
Lo que está claro es que el discurso de “esperar a la alerta” pierde fuerza cada año que pasa. Si el fraude se organiza como una campaña y no como un accidente aislado, la defensa también tiene que pensar como campaña: ver preparación, ver rutas, ver herramientas, ver intención. La Serie B de Cleafy es, sobre todo, una apuesta por esa forma de mirar.