El despliegue sin control de agentes de inteligencia artificial (IA) es un riesgo latente para las entidades financieras de América Latina que están automatizando sus respuestas ante incidentes de seguridad cada vez más frecuentes.
La adopción de IA en el sector financiero latinoamericano está creciendo, especialmente en el ámbito de la prevención de fraudes. El 52 % de los líderes financieros en Brasil planeaban implementar IA para la detección de fraudes en el corto plazo, según una encuesta de 2024.
Este vuelco hacia la automatización está dando paso al desarrollo de agentes autónomos capaces de ejecutar acciones sin intervención humana (IA Agéntica). Aunque su potencial es alto, su gobernanza aún está en construcción.
“Todavía estamos en una etapa de crecimiento donde tenemos controlado cuáles son los agentes que se vienen creando y a qué base de conocimiento tienen que estar, a qué sharepoints, a qué repositorios de información tienen acceso”, dice a iupana Aura Ludeña, gerente de Riesgo y Cumplimiento en Niubiz, un adquirente peruano.
“Lo que no tenemos que pasar es que este manejo se nos salga de control. Debemos tener claramente identificado para qué sirve el agente, a qué base de conocimiento, si tiene integrado algún tipo de API. […] Si decidimos disponibilizarlo a los clientes externos y realmente tiene una vulnerabilidad o no incluimos algún mecanismo de seguridad, realmente puede ser peligroso, comenta.
Se espera que la IA Agéntica transforme el manejo de información en ciberseguridad. Combinada con machine learning y automatización, permite analizar grandes volúmenes de datos en tiempo real y ejecutar protocolos de respuesta inmediatos, una toma de decisión que pueda enviar alertas o bloquear accesos, sin intervención humana.
La fintech regional emisora de tarjetas, Pomelo, mantiene una alianza con Falcon, una plataforma especializada en prevención de fraudes. La capacidad de suspender o investigar transacciones en tiempo real representa un primer paso hacia decisiones autónomas, aunque aún bajo supervisión humana.
La responsabilidad sobre cómo se entrena el modelo, las instrucciones que sigue y los elementos para su toma de decisión es algo que todavía está en discusión en la industria.
“Es importante el gobierno de cómo estamos controlando cada uno de los agentes que se está haciendo”, comenta Ludeña.
Phishing y ramsonware: la lucha diaria de Niubiz
Niubiz enfrenta dos frentes de ciberataques. El phishing dirigido a sus clientes y los intentos de ransomware, que buscan vulnerar su infraestructura.
Los intentos de fraude por ingeniería social a sus usuarios son recurrentes. Los atacantes buscan que se entregue datos sensibles, como números de tarjeta o contraseñas. Niubiz tiene protocolos de detección para evitar que estas operaciones se concreten.
“No es que yo identifique específicamente si un cliente ha sido vulnerado por un phishing, pero sí me llega cantidad de transacciones o cantidad de reintentos de determinadas URL”, comenta Ludeña.
«Si veo que un cliente, con una misma tarjeta, está de tres URL o de tres páginas distintas queriendo hacer consumos de manera incisiva, mis sistemas se dan cuenta con IA para reconocer este tipo de transaccionalidad y paran la operación”, asegura la ejecutiva.
La empresa también esta acechada. Ludeña revela que enfrentan ataques que buscan afectar la disponibilidad de sus sistemas, conocidos como ramsonware, y que la prevención es a nivel tecnológico y cultural.
Una estrategia por capas, con protocolos técnicos y humanos, que incluye equipos especializados en rastrear amenazas en espacios de comercialización ilícita.
“Tenemos una estructura de seguridad robusta, basada en estándares internacionales como ISO, PCI y SOC. Además, contamos con un equipo de inteligencia que monitorea la dark web en busca de amenazas asociadas a nuestro negocio”, sentencia Ludeña.
