Deepfakes, fraude avanzado y sistemas agénticos: cómo prepararse para la nueva frontera del riesgo#
Durante años, cuando en el sector financiero se hablaba de ciber-riesgo, la conversación giraba sobre amenazas relativamente conocidas: phishing, ransomware, robo de credenciales, vulnerabilidades explotables, fraude transaccional clásico o errores internos. Todo eso sigue importando. Pero en 2026 el mapa cambió de forma cualitativa: el problema ya no es solo que los atacantes engañen mejor. El problema es que ahora pueden engañar con contenido sintético más convincente, automatizar fraudes a mayor escala y conectar IA con acciones de software cada vez más autónomas.
Como documenta el World Economic Forum en su Global Cybersecurity Outlook 2026, 87% de los encuestados identificó las vulnerabilidades relacionadas con IA como el riesgo cibernético de crecimiento más rápido durante 2025.
En servicios financieros, esa combinación importa mucho porque ataca tres cosas a la vez: identidad, confianza y velocidad de respuesta. FS-ISAC destacó en 2025 el aumento de fraudes y estafas habilitados por IA generativa, junto con ataques a proveedores que afectan operaciones críticas. ENISA añadió que, a inicios de 2025, las campañas de phishing apoyadas por IA ya representaban más de 80% de la actividad observada de ingeniería social a nivel mundial.
¿Cómo prepararse para deepfakes, fraude avanzado y sistemas agénticos en servicios financieros?#
Prepararse exige tratar esta nueva frontera del riesgo como un problema de identidad, confianza, gobernanza y control operacional, no solo como un tema de detección de contenido falso. En la práctica, eso implica reforzar verificación fuera de banda, autenticación robusta, monitoreo de fraude, revisión de casos de uso de IA por nivel de impacto y controles específicos para sistemas agénticos que pueden tomar acciones sobre datos o servicios.
NIST advirtió en 2026 que los sistemas agénticos presentan riesgos distintos cuando combinan salidas de modelos con funcionalidades de software, incluyendo indirect prompt injection, uso de modelos inseguros y acciones dañinas incluso sin entradas abiertamente adversariales.
El problema ya no es solo que algo falso parezca real#
Los deepfakes importan, por supuesto. Pero si me preguntan qué cambió de fondo, diría que lo más importante no es solo el realismo del contenido sintético. Lo más importante es que el engaño ahora puede insertarse mejor en procesos reales de negocio, de atención, de autenticación y de operación.
El World Economic Forum colocó el fraude habilitado digitalmente y el phishing entre los riesgos que más aumentaron en el último año, mientras ENISA subrayó que los LLM se están usando para hacer más convincentes los correos y campañas de ingeniería social. Eso significa que el problema ya no se limita a “reconocer una voz falsa” o “detectar una cara sintética”. El problema es que el atacante puede construir una cadena de persuasión mucho mejor adaptada al contexto humano y operativo.
Cuando el fraude se acelera con IA, la respuesta no puede seguir siendo artesanal#
Muchas instituciones todavía responden al fraude avanzado con una mezcla de monitoreo, reglas heredadas, validaciones manuales y capacitación genérica. Eso no basta cuando el atacante puede generar mensajes más creíbles, personalizar mejor sus intentos y adaptarse con rapidez.
FS-ISAC sostuvo en 2025 que el sector financiero enfrenta un aumento de fraudes y estafas habilitados por IA generativa. Además, su centro de conocimiento ya contiene materiales específicos sobre taxonomías de amenaza relacionadas con deepfakes y controles de detección. El simple hecho de que el sector financiero organizado esté produciendo este tipo de materiales muestra que el problema ya dejó de ser teórico.
Lo agéntico cambia la categoría del riesgo#
Aquí aparece el punto de inflexión más serio. Durante un tiempo, mucha IA aplicada en empresas operaba como apoyo a productividad, recomendación o generación de contenido. Eso ya tenía implicaciones. Pero cuando avanzamos hacia sistemas capaces de planear, decidir y ejecutar acciones sobre correos, calendarios, código, compras, tickets, flujos o integraciones, el riesgo cambia de categoría.
NIST lo expresó con claridad al lanzar en 2026 su AI Agent Standards Initiative y al abrir una consulta sobre seguridad de sistemas agénticos: estos sistemas pueden planear y tomar acciones autónomas que impactan sistemas o entornos reales. La propia institución remarcó la importancia de seguridad, interoperabilidad e identidad para una adopción confiable de agentes, y en su solicitud de información sobre seguridad de agentes detalló riesgos como indirect prompt injection, envenenamiento de datos, specification gaming y la necesidad de restringir y monitorear el alcance del acceso del agente en el entorno de despliegue.
Dicho de otra forma: el problema ya no es solo que una IA te sugiera algo incorrecto. El problema es cuando además puede actuar.
No todo caso de uso tiene el mismo nivel de exposición#
Una organización madura no debería hablar de “riesgo de IA” como si fuera una sola cosa. No es lo mismo usar IA generativa para resumir documentos internos que permitir que un sistema agéntico interactúe con herramientas operativas, datos de clientes, canales de atención o decisiones financieras.
El AI RMF 1.0 de NIST plantea que la gestión de riesgos de IA debe adaptarse al contexto, al propósito y al nivel de impacto del sistema. En paralelo, el trabajo técnico del ecosistema NIST sobre IA generativa y contenido sintético ha reforzado temas como procedencia del contenido, autenticidad y mecanismos como watermarking y metadatos para apoyar evaluación y trazabilidad. Eso refuerza una idea muy práctica: los casos de uso deben segmentarse por criticidad, por posibilidad de daño y por grado de autonomía.
Un ejemplo realista: tres riesgos que suelen mezclarse#
Imaginemos una institución financiera que enfrenta tres iniciativas y amenazas en paralelo:
- llamadas o videos falsos muy convincentes para validar identidad o presionar autorizaciones;
- campañas de fraude hiperpersonalizadas apoyadas por IA para engañar a clientes o colaboradores;
- y pilotos de agentes de IA para automatizar tareas sobre correo, tickets, conocimiento interno o flujos operativos.
Las tres cosas pueden parecer parte del mismo tema, pero no deberían gobernarse igual.
La primera exige reforzar verificación fuera de banda y criterios de identidad más fuertes que una simple voz, imagen o interacción superficial. La segunda exige combinar señales de fraude, monitoreo, entrenamiento contextual y diseño de journeys que reduzcan manipulación. La tercera exige restricciones de acceso, entornos acotados, observabilidad y una gobernanza mucho más seria sobre qué puede hacer realmente el agente. NIST dejó claro en 2026 que el punto crítico en seguridad de agentes está precisamente en la interacción entre las salidas del modelo y la funcionalidad del software.
La mejor defensa no empieza con detección; empieza con identidad y diseño del proceso#
Creo que aquí hay un error frecuente: esperar que el problema de deepfakes se resuelva principalmente con mejores detectores de deepfakes. Esa pieza puede ayudar, pero no debería ser la columna vertebral de la defensa.
La defensa más robusta suele empezar por otro lado:
- verificación fuera de banda para operaciones sensibles,
- autenticación fuerte y contextual,
- confirmaciones adicionales donde el daño potencial es alto,
- segmentación de privilegios,
- y diseño de proceso para que una sola señal persuasiva no sea suficiente.
FS-ISAC ya está tratando deepfakes en términos de riesgos organizacionales y controles, no solo de algoritmos de detección. Y NIST, al hablar de agentes, insiste en restringir y monitorear el acceso del sistema al entorno de despliegue. La lección de fondo es la misma: la mejor defensa es hacer que el sistema confíe menos en un único evento de persuasión.
En México, esta conversación también toca datos personales y confianza en el sistema financiero#
En el contexto mexicano, esta nueva frontera del riesgo no puede separarse del tratamiento de datos personales ni de la estabilidad del sistema financiero. La Ley Federal de Protección de Datos Personales en Posesión de los Particulares establece en su artículo 1 que su objeto es regular el tratamiento legítimo, controlado e informado de los datos personales. Eso importa especialmente cuando una institución usa biometría, perfiles, señales de comportamiento o automatización sobre clientes.
Banco de México, además, reconoce en su Estrategia de Ciberseguridad que el desarrollo tecnológico del sistema financiero trae beneficios, pero también expone a nuevos riesgos, entre ellos el cibernético, y documenta una estrategia transversal que incluso formaliza la función del CISO dentro del banco central.
Eso significa que, en México, una institución financiera no solo debería preocuparse por “detectar deepfakes”. También debería preguntarse si el diseño de sus procesos, el tratamiento de datos y la gobernanza de sus automatizaciones son defendibles frente a fraude, privacidad, continuidad y confianza pública.
Qué debería hacer una institución hoy#
Yo lo resumiría en cinco movimientos.
1. Tratar deepfakes y fraude avanzado como problema de identidad y confianza#
No solo como problema multimedia. Si una voz o un video bastan para desbloquear una operación sensible, el proceso ya es demasiado frágil. FS-ISAC y NIST apuntan hacia la necesidad de combinar controles organizacionales y técnicos, no solo detectores.
2. Segmentar los casos de uso de IA por impacto#
No todo merece la misma tolerancia al riesgo. Un asistente interno no debería gobernarse igual que una automatización que toca clientes, pagos o decisiones críticas. El AI RMF de NIST insiste en el contexto y el nivel de impacto como parte de la gestión del riesgo.
3. Limitar y monitorear el acceso de los agentes#
Los sistemas agénticos no deberían tener permisos más amplios que los estrictamente necesarios, y sus acciones deberían ser observables y reversibles cuando el caso lo permita. NIST destacó explícitamente la necesidad de restringir y monitorear el alcance del acceso del agente en el entorno de despliegue.
4. Fortalecer inteligencia sectorial y colaboración#
FS-ISAC existe precisamente porque el sector financiero aprende mejor cuando comparte inteligencia, controles y patrones. Frente a amenazas que evolucionan rápido, la colaboración sectorial vale más, no menos.
5. Diseñar respuesta operativa, no solo política#
El problema no se resuelve con una política bonita sobre IA. Se resuelve con playbooks, verificaciones, escalamiento, señales de alerta y pruebas sobre escenarios realistas. El salto de awareness a acción que el World Economic Forum describe para la seguridad de IA apunta exactamente en esa dirección.
Reflexión de Arquitectura#
Cuando una organización mete IA en sus procesos sin rediseñar identidad, autorización, monitoreo y límites de acción, no está modernizando su arquitectura: está abriendo una nueva superficie de riesgo con una narrativa más sofisticada. La arquitectura madura no pregunta solo qué tan inteligente es el sistema. Pregunta qué tan gobernable sigue siendo.
Lo que un CTO debería leer detrás de esta conversación#
Desde dirección tecnológica, esta nueva frontera del riesgo obliga a una conclusión incómoda: ya no basta con tener una postura tradicional de seguridad y una agenda separada de IA. Las dos conversaciones se cruzaron.
Un CTO serio debería poder responder, con bastante precisión:
- qué casos de uso de IA tienen solo valor asistivo y cuáles ya introducen autonomía,
- qué controles adicionales se disparan cuando un sistema puede actuar,
- qué journeys dependen demasiado de señales fáciles de falsificar,
- y qué parte de la organización sigue pensando que esto es solo “otro tema de ciber”.
La señal más importante de madurez no es cuántos pilotos de IA tiene una empresa, sino cuánto criterio tiene para decidir dónde no debe automatizar todavía y qué barreras necesita antes de dar más autonomía. NIST dejó claro que la adopción confiable exige seguridad, interoperabilidad e identidad. Esa es una agenda de dirección, no solo de laboratorio.
Reflexión CTO#
La nueva frontera del riesgo no está solo en ver contenido falso más convincente. Está en permitir que sistemas cada vez más persuasivos y autónomos operen dentro de procesos que todavía fueron diseñados para una amenaza menos rápida, menos personalizada y menos programable. Ahí es donde el liderazgo tiene que volverse mucho más explícito.
Mi opinión: el mayor error sería tratar esto como hype pasajero#
No creo que todas las amenazas asociadas a IA vayan a madurar al mismo ritmo. Tampoco creo que toda referencia a deepfakes o agentes deba disparar pánico. Pero sí creo que sería un error grave tratar esto como una exageración del momento.
Cuando el sector financiero organizado, NIST, ENISA y el World Economic Forum convergen en que la combinación de IA, fraude y nuevas superficies de exposición merece atención prioritaria, lo responsable no es minimizar el problema. Lo responsable es gobernarlo sin espectáculo, pero con seriedad.
La peor reacción sería esperar a que el primer incidente grande obligue a rediseñar procesos que ya debieron haberse endurecido antes.
Conclusión#
Deepfakes, fraude avanzado y sistemas agénticos no son tres conversaciones separadas. Son tres expresiones de una misma realidad: la frontera del riesgo digital se está moviendo hacia formas de engaño más persuasivas, más automatizadas y más accionables.
En servicios financieros, prepararse bien no significa solo comprar detectores ni prohibir toda IA. Significa rediseñar identidad, endurecer procesos sensibles, segmentar casos de uso por impacto, limitar la autonomía donde todavía no hay suficiente control y gobernar esta nueva superficie con mucha más disciplina.
En 2026, la pregunta ya no es si esta frontera llegará. La pregunta es si la organización va a reconocerla a tiempo.
Glosario breve#
Deepfake
Contenido sintético, usualmente audio, video o imagen, generado o manipulado con IA para parecer auténtico.
Fraude avanzado
Fraude que combina mejores señales de engaño, automatización, personalización y, cada vez más, capacidades de IA para aumentar escala y efectividad.
Sistema agéntico / agentic AI
Sistema de IA capaz de planear y ejecutar acciones con cierto grado de autonomía sobre software, datos o servicios.
Indirect prompt injection
Ataque donde un modelo recibe instrucciones maliciosas de forma indirecta, por ejemplo desde contenido externo que procesa, en lugar de recibirlas directamente del usuario principal.
Content provenance
Mecanismos para preservar o verificar información sobre el origen y la transformación de contenido digital.
Watermarking
Técnica para insertar señales o marcas que ayuden a identificar contenido sintético o rastrear su procedencia.
ENISA Agencia de la Unión Europea para la Ciberseguridad, organismo dedicado a mejorar la seguridad informática y la confianza digital en Europa.
FS-ISAC Financial Services Information Sharing and Analysis Center, organización global sin fines de lucro, dedicada a la ciberseguridad y resiliencia del sector financiero.
Referencias#
World Economic Forum, Global Cybersecurity Outlook 2026
https://reports.weforum.org/docs/WEF_Global_Cybersecurity_Outlook_2026.pdfENISA, EU consistently targeted by diverse yet convergent threat groups
https://www.enisa.europa.eu/news/etl-2025-eu-consistently-targeted-by-diverse-yet-convergent-threat-groupsFS-ISAC, Heightened Cyber Threats are Testing the Operational Resilience of the Financial Sector
https://www.fsisac.com/newsroom/heightened-cyber-threats-are-testing-the-operational-resilience-of-the-financial-sectorFS-ISAC, Knowledge
https://www.fsisac.com/knowledgeNIST, CAISI Issues Request for Information About Securing AI Agent Systems
https://www.nist.gov/news-events/news/2026/01/caisi-issues-request-information-about-securing-ai-agent-systemsNIST, Announcing the AI Agent Standards Initiative for Interoperable and Secure Innovation
https://www.nist.gov/news-events/news/2026/02/announcing-ai-agent-standards-initiative-interoperable-and-secureNIST, Artificial Intelligence Risk Management Framework (AI RMF 1.0)
https://nvlpubs.nist.gov/nistpubs/ai/nist.ai.100-1.pdfNIST AI Resource Center, Technical Reports
https://airc.nist.gov/technical-reports/Banco de México, Estrategia de Ciberseguridad del Banco de México
https://www.banxico.org.mx/sistema-financiero/d/%7B1C588DE0-FC6F-5C53-E43B-2A6079957069%7D.pdfCámara de Diputados, Ley Federal de Protección de Datos Personales en Posesión de los Particulares
https://www.diputados.gob.mx/LeyesBiblio/pdf/LFPDPPP.pdf