Nos complace presentar la Parte 4 de nuestro análisis en profundidad sobre la utilización de la inteligencia artificial (IA) en el sector financiero, centrada en vincular los hallazgos de la Solicitud de Información (RFI por sus siglas en inglés) del FFIEC con los resultados del análisis realizado por nuestra firma. En esta sección, nos enfocaremos en el riesgo de ciberseguridad asociado con la IA en instituciones financieras (Pregunta 7).
Preocupaciones de Ciberseguridad vinculadas a la IA
El 31% de las organizaciones señaló preocupaciones en torno a la ciberseguridad relacionada con la IA. Este porcentaje relativamente bajo podría indicar que:
- Los riesgos específicos que plantea la IA aún deben comprenderse y experimentarse plenamente (lo más probable).
- Existe una necesidad de mayor concientización o preparación (probable).
- Las medidas actuales de ciberseguridad se consideran suficientes (menos probable).
Las prácticas para gestionar estos riesgos varían, lo que refleja la complejidad y evolución constante de las amenazas cibernéticas vinculadas a la IA. Las barreras y desafíos identificados sugieren que aún queda mucho trabajo por hacer para diseñar e implementar controles de seguridad adecuados y específicos para la IA. Este porcentaje menor subraya la necesidad de una investigación continua, colaboración y difusión de conocimientos entre instituciones financieras, expertos en ciberseguridad y desarrolladores de IA, con el fin de garantizar un uso e implementación seguros de estas tecnologías.
For previous analysis, refer to:
- Strategic Inquiry into AI Adoption: Federal Agencies Seek Stakeholder Insights on AI in Financial Institutions – Part 1 – Mijares Consulting
- Strategic Inquiry into AI Adoption: Federal Agencies Seek Stakeholder Insights on AI in Financial Institutions – Part 2 – Mijares Consulting
- Strategic Inquiry into AI Adoption: Federal Agencies Seek Stakeholder Insights on AI in Financial Institutions – Part 3 (A): Community Institutions – Mijares Consulting
- Strategic Inquiry into AI Adoption: Federal Agencies Seek Stakeholder Insights on AI in Financial Institutions – Part 3 (B): Community Institutions – Mijares Consulting
Resumen Ejecutivo
Las instituciones financieras integran progresivamente tecnologías de IA y ML en sus operaciones, manteniendo una postura atenta velando frente a los riesgos de ciberseguridad. Aunque no se han observado incidentes significativos directamente relacionados con la IA en instituciones financieras desde febrero de 2025, persisten potenciales vulnerabilidades como el envenenamiento de datos (data poisoning), manipulaciones adversarias y exposiciones derivadas de terceros.
Para mitigar estos riesgos, las organizaciones implementan sólidos marcos de gestión de riesgos que incluyen protección de datos, monitoreo continuo y principios de seguridad desde el diseño (security-by-design). Los hallazgos de la RFI del FFIEC y los informes del Foro Económico Mundial destacan la importancia de un enfoque integral y multinivel, que abarque estrictos controles de acceso, una gestión de riesgos durante todo el ciclo de vida y una gobernanza proactiva para salvaguardar la información sensible y mantener la integridad algorítmica.
No obstante, debido a la complejidad y opacidad de los modelos de IA, persisten desafíos que dificultan la detección de vulnerabilidades y la mitigación de riesgos. El ritmo acelerado de la evolución tecnológica y la escasez de talento especializado intensifican estos retos, lo que exige una inversión continua en desarrollo de capacidades y colaboración interdisciplinaria. En este dinámico entorno de amenazas, los controles de ciberseguridad específicos para la IA y las proactivas estrategias de respuesta a incidentes, son fundamentales para equilibrar la innovación con una gestión de riesgos efectiva.
Pregunta 7: ¿Han identificado las instituciones financieras riesgos particulares de ciberseguridad o experimentado incidentes relacionados con la IA?
En caso afirmativo: ¿Qué prácticas están utilizando para gestionar estos riesgos?, ¿Qué barreras o desafíos enfrentan?, ¿Existen controles específicos de ciberseguridad que puedan aplicarse a la IA?.
Riesgos o incidentes de ciberseguridad en relación con la IA
A febrero de 2025, no se han registrado incidentes significativos de ciberseguridad directamente vinculados a modelos de IA/ML en instituciones financieras. Estas tecnologías han contribuido principalmente a mejorar la eficiencia operativa, el servicio al cliente y la gestión de riesgos.
Sin embargo, el sector financiero se mantiene cauteloso ante vulnerabilidades potenciales relacionadas a los datos y algoritmos.
Riesgos relacionados los datos como el envenenamiento de conjuntos de entrenamiento, manipulaciones adversarias o fugas de datos sensibles, pueden disrumpir los sistemas de detección de fraudes y riesgo de crédito. Los datos sensibles utilizados para el entrenamiento están expuestos a riesgos de filtración o mal uso, lo que puede convertirse en pérdida de confianza del cliente. Las vulnerabilidades algorítmicas, presentes principalmente en marcos de código abierto, pueden resultar en graves errores bajo condiciones adversas o escenarios desconocidos, impactando funciones críticas de los Bancos.
La dependencia de terceros externos como proveedores, incluyendo las llamadas “Fintech”, amplían la superficie de exposición requiriendo una supervisión más efectiva. A pesar de los avances tecnológicos, el error humano como el phishing, continúa siendo una amenaza latente, derivando en la necesidad de una capacitación continua.
Para mitigar estos riesgos, las instituciones financieras están implementando una protección robusta de datos, marcos de gobernanza de IA, pruebas de seguridad periódicas, y una gestión más estricta de riesgos de terceros.
Aunque no se han registrado incidentes graves, la industria permanece en estado de alerta y responde de manera proactiva a la evolución de estos riesgos.
¿Qué prácticas están utilizando las instituciones financieras para gestionar los riesgos de ciberseguridad vinculados a la IA?
Las instituciones financieras adoptan un enfoque comprensivo y multinivel para gestionar de manera efectiva los riesgos de ciberseguridad relacionados con la IA. Este enfoque incluye medidas de seguridad robustas, prácticas más estrictas de protección de datos y marcos regulatorios de la gestión de riesgo.Ellos se encuentran reforzando de los controles de acceso, la protección de la infraestructura, la respuesta ante incidentes así como el cumplimiento con marcos regulatorios como el FFIEC y NIST. Esta estrategia proactiva asegura la integridad y seguridad de los sistemas de IA y los datos sensibles que procesan.
Establecer límites claros en los marcos de IA es crucial para evitar que los sistemas de IA consideren combinaciones imprevistas de factores atípicos. Estos sistemas pueden apoyarse en límites tradicionales, fácilmente verificables, como las calificaciones de buró y las relaciones préstamo-valor (loan-to-value ratios), para mitigar el riesgo de explotación adversaria. La apropiada identificación y validación de casos de uso apropiados de IA, asegurando los datos de alta calidad, el desarrollo de técnicas eficaces de reducción de sesgos y el mantenimiento de un inventario preciso de datos de entrenamiento limpios son elementos esenciales para gestionar los riesgos relacionados con la IA.
Los riesgos de terceros son mitigados mediante evaluaciones de proveedores, auditorías, controles de acceso de usuarios y gestión cifrada de datos. Los marcos de gobernanza garantizan la transparencia algorítmica y la rendición de cuentas a través de políticas, auditorías e inventarios de modelos de IA.
La gestión de riesgos del ciclo de vida incluye el seguimiento de cambios en modelos y datos, así como el monitoreo continuo del model drift, (la degradación gradual del rendimiento de un modelo de aprendizaje automático con el tiempo), anomalías o amenazas adversarias. Al adoptar estas prácticas, las instituciones financieras protegen los datos sensibles, mantienen la integridad de los sistemas de IA y permiten una adopción segura y eficiente de estas tecnologías.
Barreras o desafíos del uso de la IA asociados con la ciberseguridad
Un problema clave es la complejidad y la falta de transparencia en los modelos de IA, lo que dificulta la identificación de vulnerabilidades y la implementación de medidas de seguridad. Esta complejidad exige contar con experiencia especializada para mitigar eficazmente las amenazas potenciales. Garantizar la calidad e integridad de los datos constituye otro desafío crucial, ya que los datos comprometidos o alterados pueden generar resultados poco fiables. La rápida evolución de la IA complica aún más la aplicación constante de protocolos de seguridad, lo que requiere de una sólida gobernanza de datos.
La escasez de profesionales capacitados tanto en IA como en ciberseguridad agrava estos desafíos, poniendo a las instituciones con dificultades para asegurar sus sistemas. Las técnicas de IA adversaria, como el envenenamiento de datos (data poisoning), y la evasión de modelos, introducen amenazas sofisticadas que requieren monitoreo continuo y contramedidas avanzadas. Además, la necesidad de protocolos de seguridad personalizados incrementa la carga de recursos, particularmente para las instituciones más pequeñas, lo que ralentiza la innovación y la entrada al mercado.
Los retos regulatorios surgen debido a que la IA avanza más rápido que los marcos existentes, generando vacíos e inconsistencias que obstaculizan una gestión de riesgos efectiva. El error humano sigue siendo un problema persistente, ya que el phishing y el manejo inadecuado de datos pueden comprometer incluso a los sistemas más avanzados. Los programas de capacitación y concienciación continua son esenciales para enfrentar esta vulnerabilidad.
En los últimos cuatro años, los enfoques coordinados entre instituciones y reguladores han aumentado para mejorar la efectividad de las respuestas a las amenazas emergentes (Ej.: la RFI sobre IA del FFIEC en 2021, la RFI sobre IA del Departamento del Tesoro en 2024 y la RFI de investigación en IA de la OCC en 2024). Abordar y superar estas barreras requiere de marcos integrales de gestión de riesgos, inversión en el desarrollo de capacidades del personal y una colaboración público-privada más sólida para garantizar un uso seguro y responsable de la IA en los servicios financieros.
¿Existen controles específicos de seguridad de la información o de ciberseguridad que puedan ser aplicados a la IA?
Las instituciones deben implementar controles integrales de ciberseguridad para proteger los sistemas de IA en los servicios financieros, incluyendo protección de datos, monitoreo de modelos, control de acceso de los usuarios, gestión de cambios, monitoreo avanzado, prácticas de seguridad desde el diseño, cumplimiento normativo y colaboración.
Protección de datos: el cifrado, el almacenamiento seguro y la gestión de accesos garantizan la seguridad de los datos en todas las etapas, creando una base sólida contra las vulneraciones.
Monitoreo y técnicas avanzadas: el monitoreo continuo de datos y modelos, las pruebas de penetración periódicas y técnicas como la privacidad diferencial y el aprendizaje federado protegen a los sistemas de IA frente a ataques adversarios y vulnerabilidades.
Seguridad desde el diseño: integrar la seguridad en el desarrollo de la IA mediante revisiones de código fuente, SDLC incluyendo gestión de cambios, evaluaciones de vulnerabilidades y registros estrictos de entrenamiento de modelos evita que los riesgos surjan durante el desarrollo.
Cumplimiento normativo: la adhesión a estándares como el Gramm-Leach-Bliley Act (GLBA) y asegurarse de que los proveedores cumplan con las regulaciones, protege la integridad y equidad de los datos. Las auditorías periódicas refuerzan la rendición de cuentas.
Controles específicos de IA: mantener inventarios de los modelos de IA, controles de versionado de modelos, auditorías de cambios, uso de conjuntos de datos de referencia (golden datasets) y monitoreo de amenazas internas mejora la confianza y seguridad de los modelos.
Colaboración: asociaciones como MITRE ATLAS fomentan el intercambio de conocimientos para enfrentar amenazas en evolución.
Capacitación de empleados: la formación periódica minimiza el error humano, un riesgo significativo de ciberseguridad, mientras que los programas de concientización aseguran la vigilancia frente a amenazas.
Resiliencia de TI: los planes de recuperación ante desastres (DRP) y de continuidad del negocio (BCP), permiten una rápida recuperación tras incidentes, minimizando las interrupciones operativas.
Informe del Departamento del Tesoro de EE. UU.
Gestión de riesgos de ciberseguridad específicos de la IA
En respuesta a la Orden Ejecutiva sobre el Desarrollo y Uso Seguro, Confiable y Responsable de la Inteligencia Artificial (octubre de 2023), el Departamento del Tesoro de los Estados Unidos publicó en marzo de 2024 el informe “Gestión de riesgos de ciberseguridad específicos de la inteligencia artificial en el sector de servicios financieros”.
Este informe destaca las áreas críticas en las que las instituciones financieras deben adaptarse a los riesgos únicos que plantean las tecnologías de IA, especialmente la IA generativa, al mismo tiempo de aprovechar las oportunidades para fortalecer sus marcos de ciberseguridad.
Los modelos tradicionales a menudo no logran abordar los riesgos específicos de la IA, como el data poisoning y los ataques a la integridad, lo que hace necesarias actualizaciones a marcos existentes como el NIST Cybersecurity Framework y/o MITRE ATLAS.
La complejidad y las vulnerabilidades de la IA generativa han disminuido su velocidad de adopción, lo que resalta la importancia de la colaboración interfuncional. La tecnología introduce amenazas sofisticadas, como ataques de phishing avanzado e identidades sintéticas, que requieren una gestión de riesgos proactiva.
Las instituciones más pequeñas enfrentan una desventaja significativa debido a su acceso limitado a datos de fraude, lo que hace más importante contar con un mecanismo centralizado de intercambio de datos.La creciente dependencia de proveedores externos también genera preocupaciones sobre la integridad y transparencia de los datos, lo que enfatiza la necesidad de una supervisión robusta de los proveedores. Finalmente, una gobernanza efectiva y experiencia humana especializada son esenciales para gestionar sesgos, garantizar el cumplimiento y alinear a la IA con los estándares éticos y regulatorios.
Mejores prácticas para mitigar riesgos de ciberseguridad en IA
Para mitigar los riesgos únicos de ciberseguridad que plantean las tecnologías emergentes de IA, como la IA generativa, las instituciones financieras deben adoptar marcos sólidos y adaptados a sus necesidades y fomentar la colaboración entre las distintas áreas de la organización, incluyendo modelaje, tecnología, legal y cumplimiento).
El Tesoro recomienda incorporar protocolos específicos de IA dentro de los sistemas de gestión de riesgos empresariales, guiados por el enfoque de las “tres líneas de defensa”, para garantizar una supervisión eficaz en todas las funciones. Las instituciones deben desarrollar marcos personalizados de IA alineados con estándares como el NIST AI RMF, a la vez que deben priorizar mecanismos colaborativos de intercambio de datos que apoyen a organizaciones más pequeñas. Requiere también fortalecer la gestión de identidades y accesos, integrando métodos de autenticación avanzada y principios de seguridad desde el diseño. Deben realizar la de manera proactiva la debida diligencia (Due Dilligence) en proveedores, evaluando sus capacidades de IA con énfasis en la transparencia de modelos y la integridad de los datos.Al integrar consideraciones de ciberseguridad desde la fase de diseño y reforzar la rendición de cuentas de los proveedores, las instituciones pueden abordar de manera más eficaz los riesgos específicos de la IA y asegurar operaciones con mayor grado de resiliencia.
Desafíos y oportunidades de la IA para las instituciones financieras
Las instituciones financieras enfrentan el desafío dual de gestionar los riesgos inherentes a la IA mientras aprovechan su potencial transformador para mejorar operaciones, ciberseguridad, detección de fraudes y resiliencia de sistemas. Abordar estos desafíos requiere cerrar la brecha de talento en experiencia de IA, armonizar los enfoques regulatorios y adoptar un lenguaje común de IA que facilite la comunicación.
La integración de la IA demanda requiere de actualizaciones frecuentes, reentrenamiento de modelos y de una inversión sustancial en capacitación de personal, tanto en roles de TI como no técnicos (legal y cumplimiento), para garantizar competencias específicas en cada función.
Generalmente limitadas por los recursos, las instituciones más pequeñas suelen depender de proveedores externos, lo que refuerza la necesidad de mejorar el intercambio de datos y de contar con repositorios centralizados de datos de fraude. Además, la falta de comprensión de los modelos de IA, en particular de la IA generativa, resalta la importancia de marcos integrales de pruebas y auditoría para soluciones de “caja negra”. La supervisión humana, aunque esencial, debe estar reforzada con revisores expertos para evitar la complacencia y asegurar una toma de decisiones informada. Las instituciones financieras pueden enfrentar proactivamente estas complejidades alineando las innovaciones en IA con sus objetivos estratégicos y los requisitos regulatorios, allanando el camino hacia un futuro más seguro y eficiente.
Principales Conclusiones del Informe 2025 del Foro Económico Mundial sobre Ciberseguridad e IA
La adopción segura de la IA permite a las organizaciones innovar mientras gestionan los riesgos de manera efectiva. A medida que la IA se vuelve más integral en las operaciones empresariales, su mal uso o compromiso puede generar impactos severos. El informe más reciente del Foro Económico Mundial (WEF) sobre ciberseguridad e IA presenta las siguientes prácticas clave que las organizaciones deben adoptar para lograr una integración segura de la IA:
✔️ Enfoque basado en riesgos: evaluar y gestionar los riesgos de la IA con una metodología estructurada y enfocada en el riesgo.
✔️ Colaboración interdisciplinaria: involucrar a distintos equipos, incluyendo legal, cumplimiento, recursos humanos, ciberseguridad, ética y áreas de negocio de primera línea, para una gestión integral de riesgos.
✔️ Inventario de aplicaciones de IA: mantener un registro actualizado de los sistemas de IA para abordar la “IA en la sombra” (shadow AI) y las vulnerabilidades en la cadena de suministro.
✔️ Disciplina en la transición: aplicar controles adecuados al pasar de pruebas experimentales al uso operativo de la IA, especialmente en funciones críticas.
✔️ Inversiones en ciberseguridad: comprometerse con medidas sólidas de ciberseguridad para proteger los sistemas de IA y garantizar su resiliencia.
✔️ Seguridad del ciclo de vida: integrar la seguridad en el diseño de la IA (shift left) y monitorear continuamente las operaciones (expand right) a lo largo de todo el ciclo de vida.
✔️ Controles técnicos y de procesos: combinar técnicas de salvaguarda con revisiones humanas y procedimientos organizativos para asegurar las interacciones entre la IA y los procesos de negocio.
✔️ Gobernanza de la información: aplicar una estricta gobernanza de datos para asegurar que la IA se alinee con las políticas organizacionales y los estándares de protección de datos.
Los principales líderes deben definir parámetros claros para la toma de decisiones relacionadas con la IA, asegurando que la tolerancia al riesgo de la organización esté alineada, las evaluaciones de beneficios y las políticas generales. Debe existir preguntas clave que guíen a la alta dirección en la evaluación de las estrategias de IA, la comprensión de las vulnerabilidades y el establecimiento de procesos adecuados para su aseguramiento. Al priorizar estas medidas, las organizaciones pueden fortalecer su resiliencia, gestionar los riesgos cibernéticos y fomentar una innovación sostenible con IA.
Principales Conclusiones del Informe 2025 del Foro Económico Mundial sobre IA en los Servicios Financieros
De acuerdo con el informe WEF_Artificial_Intelligence_in_Financial_Services_2025.pdf, una de las preocupaciones más importantes es el potencial de la IA para amplificar la desinformación, facilitando la manipulación de mercados y las transacciones fraudulentas. Una amenaza particularmente alarmante es el uso indebido de la IA generativa (genAI) para crear contenido realista pero fabricado, como los deepfakes. Este problema se ha intensificado rápidamente: el comercio de herramientas relacionadas con deepfakes en foros de la dark web aumentó un 223% en los primeros meses de 2024 en comparación con el año anterior.
Los deepfakes permiten generar imágenes, videos y voces con gran realismo, lo que facilita estafas sofisticadas. Por ejemplo, delincuentes se hicieron pasar por un director financiero y colegas durante una videollamada, convenciendo a un empleado de transferir 25 millones de dólares a una cuenta fraudulenta (Scammers siphon $25M from engineering firm Arup via AI deepfake ‘CFO’ | CFO Dive). Este incidente demuestra cómo estas tecnologías pueden desestabilizar los mercados financieros y afectar a la economía global.
Aunque estos riesgos están creciendo, la IA también es un aliado poderoso para combatirlos. Herramientas avanzadas de IA se utilizan cada vez más para detectar y prevenir amenazas, mediante:
- Tecnología de autenticación: marcas de agua digitales y metadatos incrustados durante la creación del contenido ayudan a confirmar su autenticidad, reduciendo el riesgo de manipulación.
- Tecnología de detección: algoritmos avanzados analizan grandes volúmenes de datos para localizar amenazas potenciales, a veces actuando de forma autónoma para neutralizarlas. Por ejemplo, la IA puede identificar contenido falso sin necesidad de acceder al original o analizar rápidamente el código de una aplicación para determinar si es malicioso.
La naturaleza de doble uso de la IA destaca la necesidad de que las instituciones financieras se mantengan atentas. Al aprovechar las capacidades de protección de la IA, las instituciones pueden mitigar los riesgos asociados con la desinformación y los deepfakes, al mismo tiempo que protegen los mercados financieros y mantienen la confianza pública en la economía global.
En conclusión, si bien no se han registrado incidentes graves de ciberseguridad directamente relacionados con la IA que hayan afectado a las operaciones bancarias, los riesgos potenciales, desde el data poisoning y los ataques adversarios hasta las vulnerabilidades introducidas a través de alianzas con terceros, resaltan la necesidad de una estrategia proactiva y de defensa multinivel. Las instituciones financieras están adoptando cada vez medidas más sólidas de protección de datos, monitoreo continuo y marcos de gobernanza integrales que incorporan principios de seguridad desde el diseño (security-by-design) para mitigar estos riesgos. Asimismo, los hallazgos de la RFI del FFIEC sobre IA y de los informes del WEF destacan la importancia de la colaboración interdisciplinaria, la gestión de riesgos durante todo el ciclo de vida y la experiencia especializada para navegar la complejidad de los sistemas de IA. En última instancia, las instituciones financieras pueden proteger los datos sensibles, garantizar la resiliencia operativa y fomentar la confianza en sus innovaciones impulsadas por IA al incorporar controles de ciberseguridad adaptados y mantener una postura atenta y flexible.
En Mijares Consulting, recomendamos a las instituciones financieras fortalecer el desarrollo de su fuerza laboral para abordar la escasez de experiencia especializada en IA y ciberseguridad, mediante las siguientes estrategias:
Programas de formación y desarrollo de habilidades: implementar programas integrales de capacitación en IA y ciberseguridad. Estos programas pueden incluir talleres, cursos en línea y certificaciones que brinden a los empleados el conocimiento necesario sobre las tecnologías de IA y los riesgos de ciberseguridad asociados.
Colaboración interdisciplinaria: crear un entorno que fomente la colaboración entre profesionales de ciberseguridad, científicos de datos y desarrolladores de IA. Al integrar estas disciplinas, las instituciones financieras pueden aprovechar la diversidad de conocimientos para comprender y gestionar mejor los riesgos relacionados con la IA.
Alianzas con instituciones educativas: colaborar con universidades e institutos de investigación para crear planes de estudio y programas de prácticas enfocados en IA y ciberseguridad. Estas alianzas ayudan a cerrar la brecha entre la formación académica y las necesidades de la industria, asegurando que los egresados estén mejor preparados para ocupar roles en este campo.
Iniciativas de aprendizaje continuo: fomentar una cultura de aprendizaje continuo, mediante el acceso a recursos como seminarios web, conferencias del sector y artículos de investigación, que permitan al personal mantenerse actualizado sobre las últimas tendencias, herramientas y técnicas en IA y ciberseguridad.
Estrategias de atracción y retención de talento: desarrollar estrategias de contratación específicas para atraer profesionales con experiencia en IA y ciberseguridad. Ofrecer salarios competitivos, oportunidades de desarrollo profesional y una cultura laboral positiva, puede ayudar a retener a los expertos en estas áreas.
Programas de mentoría: establecer programas de mentoría en los que profesionales experimentados en ciberseguridad guíen a los nuevos empleados. Esto facilita la transferencia de conocimientos y acelera el desarrollo de habilidades del personal junior.
Gracias por leer nuestro artículo sobre ciberseguridad e inteligencia artificial en instituciones financieras.
Si le resultó útil esta información, lo invitamos a dar “Me gusta” y “Compartir” para difundir este conocimiento dentro de su red profesional. Su participación es fundamental para promover una comprensión más amplia de estos temas relevantes.
No olvides seguirnos para recibir actualizaciones continuas y análisis sobre la intersección entre finanzas y tecnología. Tu participación es clave para construir una comunidad a la vanguardia de las tendencias e innovaciones de la industria.
Agradecemos tu apoyo y esperamos continuar este camino juntos. ¡Mantengamos activa la conversación!
Síguenos, mantente informado, mantente seguro y naveguemos juntos el panorama de riesgos.
