Blindaje de la banca ante los riesgos de la IA (OPINION)

Paylaş

Bu Yazıyı Paylaş

veya linki kopyala

Escuchar artículo

Recientemente la presidenta del Consejo de Supervisión Bancaria del Banco Central Europeo (BCE) envió una carta a los CEOs de las entidades bancarias, en la que apunta que deben mejorar la ciberseguridad, la que es de máxima prioridad para el sector financiero.

En esa misiva dicha funcionaria les otorgó un plazo hasta el 31 de octubre del año 2026 para diseñar un plan de acción detallado con medidas sobre cómo contendrán los riesgos que emergen ante el desarrollo de la Inteligencia Artificial (IA).

Dicha incumbente insta a los bancos a tomar medidas inmediatas y proactivas y, a resolver sin demora cualquier hallazgo de supervisión pendiente en la materia.

La presidenta del Consejo de Supervisión resalta en su misiva que la responsabilidad de abordar el blindaje frente a los riesgos del uso de la IA recae primordialmente en los órganos de gestión (CEOs y juntas directivas), lo cual eleva el tema a prioridad estratégica de alta dirección.

También resalta que los modelos de la IA emergente son capaces de identificar vulnerabilidades de software a una velocidad sin precedentes, comprimiendo el tiempo entre el descubrimiento de la vulnerabilidad y su explotación masiva.

Dicha funcionaria señala que los riesgos derivados de la IA suponen un cambio estructural en el panorama de amenazas, en lugar de un fenómeno temporal o un riesgo vinculado a una sola herramienta.

El plan de acción propuesto por el BCE para proteger a la banca de la IA incluye tres áreas de defensa que se deben reforzar.

El primer paso es evitar que el software presente vulnerabilidades desde su creación o seguridad de diseño, para reducir los puntos débiles que la IA podría explotar.

El segundo aspecto que se debe abordar es corregirla lo más rápido posible a través de parches, es decir, la banca ya no puede permitirse ciclos de subsanación de tres meses y, que deben ser mucho más veloces y enfocados, equilibrando la rapidez con la estabilidad operativa del sistema.

El tercer nivel, es contar con defensas robustas, lo que incluye reforzar la vigilancia para detectar instrucciones y ataques en la infraestructura, estar preparados para reaccionar, cuando haya la desconexión de sistemas impactados, para evitar que el ataque se propague y asegurar la capacidad de restablecer los sistemas de manera oportuna tras una interrupción.

Se plantea que si la banca se retrasa en blindarse ante los riesgos de la IA se aplicaran sanciones o multas o recargos de capital, para presionar que se garantice la estabilidad de los sistemas.

Riesgos nuevos

En la República Dominicana y el resto del mundo, los bancos corren a ponerse armadura porque la IA trae oportunidades gigantes pero también riesgos nuevos.

Los cuatro riesgos principales que la banca está blindando son: Ciberseguridad/Deepfakes (estafas con voz clonada del gerente pidiendo transferencias, Phishing Hiperrealista, Malware), Sesgos y Discriminación, cuando la IA rechaza préstamos solo a persona de una zona, Alucinaciones/Errores o cuando los Chatbots dan información financiera o modelos de riesgo fallidos, Lavado y Fraude o cuando criminales usan la IA para crear identidades falsas y, mover dinero, cuentas sintéticas creadas por la IA para micro préstamos.

Los bancos dominicanos se blindan a través de una efectiva Gobernanza y Gobierno de IA, Ciberseguridad reforzada, Gestión de Riesgo y Cumplimiento, Datos y Proveedores, blindando la data de clientes.

La Superintendencia de Bancos y el Banco Central de la República Dominicana, desarrollan la ruta de hacer pruebas de productos con IA en ambiente controlado (Sandbox regulatorio).

Solicitan a los bancos reportar cómo usar IA en crédito, prevención de lavado y atención al cliente, campañas para que el cliente no caiga en estafas con voz clonada.

La banca dominicana, ha avanzado de forma sostenida en el uso de la IA. Hoy detecta fraude de tarjetas que se bloquean solas si ven compras raras, resuelven el 70% de consultas sin la intervención humana.

Así también, aplica modelos que aprueban préstamos en 5 minutos, autorizando más de 200 variables.

El blindaje de la banca dominicana se focaliza en 3 etapas: tecnología, la IA vigilando a la misma IA mala, el aspecto humano que revisa lo concerniente a los procesos críticos y, el proceso regulatorio mediante reglas claras que aplica la Superintendencia de Bancos y el Banco Central de la República Dominicana.

La meta que se persigue no es frenar la IA sino usarla para ser más rápido y seguro los procesos, como acompañante de los colaboradores, sin soltar el control.

La forma cómo protege un banco a sus clientes y qué debe de hacer este último, se basa primeramente en reconocer las estafas con la IA. Así también los aspectos que más están atacando los estafadores a los clientes a través de la IA, en el presente año 2026, siendo estos: la voz clonada, lo cual consiste que el delincuente llama al banco con la voz de un gerente y pide clave o transferencia urgente.

Phishing con IA, Correos/whatsApp perfectos, sin falta de ortografía, con el nombre y últimos 4 dígitos de la tarjeta de crédito.

También fingir ser ejecutivo del banco para que autorice alguna operación financiera (Deepfakes en video llamadas).

La banca dominicana como el Banco de Reservas, Popular y Scotiabank ya blindan las operaciones de sus clientes detectando fraude con IA, doble autenticación, palabras de seguridad, monitoreo 24/7 y límite a transferencias nuevas.

La Superintendencia de Bancos obliga a los bancos del sistema financiero dominicano a tener seguro contra fraude electrónico, como escudo personal anti-IA, a los fines de bajar el riesgo en un 90%.

Estos pasos se resumen en aplicar la Regla de Oro, donde ningún banco te pide Clave, Token, PIN o Código por Llamada/WhatsApp, si lo piden colgar la llamada.

Si el banco llama al cliente, éste debe contestar que devolverá la llamada y a la vez marcar el número oficial que se encuentra en el reverso de la tarjeta.

Se deben activar las notificaciones poniendo alertas por cada consumo. Así ves el fraude en el momento.

Frase secreta, preguntando al banco del cliente si puede poner una palabra de seguridad. Si quien llama no se la sabe, es falso.

En caso de que un cliente del banco caiga en la trampa debe llamar sin dilación al *809 del banco y bloquear todo. Solo se dispone de 24 a 48 horas para reportar y el banco debe responder.

En esta etapa de la vida, los bancos usan la IA para cuidar al cliente pero la última etapa del blindaje corresponde al cliente.

Regularmente, los estafadores a través del uso de la IA, tratan de meter miedo. Ahora la cuenta se bloquea automáticamente.

Finalmente el cliente debe seguir el siguiente protocolo para evitar la estafa: 1) el estafador llamará al cliente y le dirá que han detectado un cargo sospechoso y pedirá que le confirmen los datos del cliente para bloquear la tarjeta.

El cliente debe dar las gracias por avisarle, al tiempo de solicitar a quien le llamó que le dé el nombre, la extensión y de qué departamento del banco le llaman.

Nunca se deben dar datos como: fecha de nacimiento, los últimos 4 dígitos de la tarjeta, la clave o token.

Inmediatamente el cliente colgará y comenzará a verificar marcando el número del reverso de la tarjeta o a la App Oficial. Nunca se debe devolver la llamada al número, desde el cual llamaron al cliente.

Si de verdad la llamada proviene del banco se utilizará una palabra de seguridad, si el estafador no conoce la palabra de seguridad, entonces es una estafa.

Entre las palabras claves para desarmar o descubrir al estafador son: este dirá que es urgente, la cuenta hay que bloquearla y la respuesta del cliente debe ser: perfecto, la bloqueo yo mismo desde la app. Muchas gracias.

El estafador pedirá también, dígame el código que le llegó por SMS, pero los códigos del banco no se comparten. Voy a reportar esto.

El estafador le dirá al cliente: soy del departamento de fraude y la respuesta debe ser: genial, espere que entrare a la app del banco y lo valide.

El delincuente también solicitará la confirmación de la cédula para seguridad y el cliente responderá: el banco ya tiene mis datos. Si me llama, dígame los últimos 4 dígitos que tienen registrados.

En resumen, las reglas son: 1) si te llaman, cuelgas y llamas al banco, 2) El banco nunca pide clave, token ni código.

Todos los usuarios de los servicios bancarios deben tener presente las reglas aquí plasmadas.

La IA es sumamente importante como parte del avance de la tecnología eficiencia y efectividad de las operaciones, la ciencia en la calidad de la vida pero se debe tener cuidado con ella. En ese sentido se ha elaborado ya un código de ética para el uso de la IA.

La banca nacional utiliza la IA siempre para proteger a sus clientes.

felix.felixsantana.santanagarc@gmail.com

jpm-am

Compártelo en tus redes: