El 12 de mayo de 2026, en su conferencia de prensa anual, la BaFin se sumó a los reguladores financieros internacionales que han comenzado a advertir formalmente sobre los riesgos que los modelos avanzados de inteligencia artificial representan para el sector financiero. La frase de su presidente, Mark Branson, dice mucho con poco. «Los nuevos modelos de IA pueden identificar muchas vulnerabilidades, tanto en sistemas nuevos como en los ya existentes, con una velocidad notable. Y las explotarán cada vez más rápido.»
Lo que ese párrafo dice de forma sobria, en lenguaje regulatorio, es que el reloj cambió. Donde antes el tiempo de respuesta a una vulnerabilidad se medía en meses, ahora se mide en horas. Eso obliga a repensar dónde ponemos la atención cuando hablamos de ciberseguridad bancaria.
¿Qué dijo Alemania y por qué importa al resto de Europa (y más allá)?
La autoridad alemana anunció dos cosas en simultáneo. Una era previsible y conocida; los riesgos cibernéticos son «crecientes y consistentes». La otra es más interesante. Va a crear una nueva división dedicada a hacer inspecciones técnicas, más cortas y más frecuentes, sobre instituciones financieras concretas. Las llamó «IT spotlight».
El razonamiento detrás es lógico. Si los atacantes pueden encontrar y explotar fallas en horas, las auditorías anuales o trimestrales llegan tarde. Branson lo dijo con franqueza. «En el pasado, los ciclos de parche se medían en meses. En el futuro tendrán que completarse en pocos días, si no en horas.» Una inspección que tarda seis meses en cerrar su informe ya no inspecciona el presente. Inspecciona un pasado que el mercado dejó atrás.
Esa misma lógica se está moviendo hacia el resto de Europa. La industria espera que la FCA y la PRA del Reino Unido publiquen en los próximos meses un marco coordinado sobre riesgo cibernético inducido por IA en finanzas, modelado en buena medida sobre BaFin. Italia y España, ya sujetas a DORA y a la Directiva NIS2, van a recibir presión similar desde Banca d’Italia y Banco de España. América Latina, con BCRA en Argentina y CNBV en México como referencias, no opera en otro planeta. Las casas matrices europeas y los procesos de auditoría cruzada van a empujar la misma exigencia.
Qué resuelven las inspecciones «IT spotlight» y qué dejan afuera
Una inspección «IT spotlight» es una revisión técnica acotada en alcance, diseñada para cerrarse en semanas y no en meses. No reemplaza a las auditorías tradicionales; las complementa con una capa más reactiva. La idea es responder mejor a lo que está pasando ahora.
Es un paso en la dirección correcta. También es un paso parcial.
El alcance de la inspección queda en lo que se puede medir desde fuera del usuario. Una revisión técnica chequea configuraciones, parches, segmentación de red, gestión de identidades, controles criptográficos. Puede confirmar que todo el perímetro técnico esté actualizado. No puede confirmar que el empleado que recibirá un correo de phishing el martes a las once y diez sepa reconocerlo, dudar, reportarlo, no hacer clic.
La metáfora del «spotlight» es elocuente sin querer. El reflector ilumina una parte del escenario con mucha intensidad. Lo que queda fuera del haz, sigue oscuro.
Donde miran los reguladores y donde golpean los atacantes
El Verizon Data Breach Investigations Report de 2025 mantiene un dato que se repite, año tras año, con variaciones menores. Alrededor del 60% de las brechas confirmadas involucran un elemento humano: error, ingeniería social, abuso interno. El número no cambia mucho porque el vector no cambió. Lo que cambia es la sofisticación con la que se ejecuta cada intento.
Eso es lo que añade la IA generativa. Hasta hace dos años, un correo de phishing dirigido a un colaborador específico requería tiempo de investigación, ortografía cuidada y conocimiento del contexto de la empresa. Hoy un modelo de lenguaje genera ese correo en segundos, con el tono adecuado para esa industria, con el cargo correcto del destinatario, citando una reunión real visible en LinkedIn, con el formato exacto de comunicación interna que esa entidad usa.
El empleado recibe un correo que parece pensado para él. Si nunca practicó cómo decidir bajo presión en un escenario realista, ningún cortafuegos lo va a salvar del clic. La puerta se abre desde adentro, sin necesidad de forzarla.
Hace un tiempo escribimos en el blog sobre por qué la IA no puede sustituir la guía humana en programas de concienciación, y también sobre cómo integrar el comportamiento humano a las estrategias de detección. Lo señalado entonces se acelera con cada nuevo modelo. Los SIEM no ven lo que pasa en la cabeza del colaborador en los segundos previos al clic.
¿Qué pueden hacer hoy las entidades financieras de España, Italia y América Latina?
La respuesta está en construir un programa que entrene a las personas con la misma frecuencia y precisión con la que los atacantes las ponen a prueba. Duplicar el presupuesto técnico no alcanza.
Para la realidad regulatoria de cada mercado, los pasos prácticos varían. El principio es el mismo.
En Italia, donde Banca d’Italia e IVASS supervisan el cumplimiento de DORA y de las guías del Banco Central Europeo sobre riesgo operacional, el factor humano ya aparece en las pautas. Pero sigue tratado como una variable más, no como el eje del problema. Construir un programa de concienciación medible, segmentado por roles críticos y conectado al esquema de gestión de riesgo es lo que realmente cierra la brecha entre la auditoría y la operación diaria.
En España, donde Banco de España y CNMV replican el marco DORA con sus propias inspecciones, los hallazgos recurrentes apuntan a tres carencias repetidas. Las simulaciones internas existen pero son anuales, los reportes existen pero quedan en lo agregado, y los segmentos de mayor riesgo se identifican tarde. Una capa de simulación realista, distribuida en el tiempo, traduce esos hallazgos en métricas que el supervisor puede leer.
En América Latina, donde BCRA en Argentina y CNBV en México mantienen exigencias específicas para entidades financieras, la lógica es la misma con menos infraestructura previa. El espacio para construir desde el principio un programa moderno de defensa frente al riesgo humano es más abierto que en Europa.
En SMARTFENSE acompañamos a entidades financieras de LATAM, España e Italia con simulaciones contextualizadas por sector, módulos formativos en idioma local y reportes que conectan resultados de campaña con perfiles de riesgo individuales. La plataforma se diseñó para que un equipo de seguridad pueda mantener la cadencia que un regulador atento ya empieza a exigir.
El nuevo desafío: medir la resiliencia humana al ritmo de la IA
Branson cerró con una frase que se va a citar mucho. En el pasado, los ciclos de parche se medían en meses; en el futuro, en horas. Toda la atención mediática se la lleva la velocidad de respuesta técnica, y con razón.
Hay una consecuencia que rara vez se menciona. Si el ciclo de parcheo pasó de meses a horas, el ciclo de medición del factor humano debe moverse en la misma dirección. Una simulación de phishing anual funciona como un evento aislado. Llega tarde frente al riesgo que pretende controlar.
Lo que cambia, entonces, va más allá de los reguladores. Cambia el reloj con el que las áreas de seguridad miden a su propia gente. La regulación es la señal externa. La pregunta interna es otra: ¿con qué frecuencia puedes decirle a tu CEO cómo ha subido o bajado la resiliencia de cada equipo frente a la última generación de ataques, en lugar de mostrarle un dato semestral?
Esa pregunta lleva tiempo dando vueltas. La diferencia es que ahora la respuesta importa más, y la tecnología para responderla está disponible. La defensa activa frente al riesgo humano funciona como superficie operativa concreta. Es donde un programa bien diseñado puede generar mejoras visibles entre una inspección y la siguiente.
Deja una respuesta