“La IA ya ataca”: bancos de EE.UU. en alerta máxima por ciberamenazas
Amenaza silenciosa: Los bancos estadounidenses aceleran blindajes contra hackeos con IA, según advertencia del Tesoro.
El secretario del Tesoro de EE.UU., Scott Bessent, reveló este domingo que las instituciones financieras y tecnológicas del país están implementando medidas de “resiliencia operativa” para contrarrestar los crecientes riesgos de ciberataques potenciados por inteligencia artificial. Entre las mayores preocupaciones figura el uso de modelos avanzados de IA para vulnerar sistemas bancarios y robar datos sensibles de cuentas, un escenario que el funcionario calificó como “una amenaza real e inmediata”.
“Vamos a asegurarnos de que todo se mantenga seguro“, declaró Bessent durante su intervención en el programa Sunday Morning Futures de Fox News, aunque evitó especificar qué protocolos concretos se están desplegando. Su declaración llega en un contexto donde el 93% de los bancos globales ya reportaron intentos de intrusión con herramientas de IA en 2024, según datos de la Asociación Bancaria Americana (ABA).
Reuniones de emergencia con Wall Street
En abril de este año, Bessent y el presidente de la Reserva Federal (Fed), Jerome Powell, convocaron reuniones urgentes y confidenciales con ejecutivos de Wall Street en Washington. El detonante fue el lanzamiento del último modelo de lenguaje de Anthropic PBC, cuya capacidad para generar código malicioso y simular voces humanas con un 98% de precisión encendió las alarmas en el sector. “Lo que vimos en el último mes fue un salto significativo en la potencia de estos sistemas”, advirtió el secretario, quien anticipó que otras empresas de IA podrían alcanzar niveles similares de riesgo en los próximos trimestres.
El desafío, según Bessent, radica en encontrar un equilibrio entre fomentar la innovación privada —que mantiene a EE.UU. a la cabeza en la carrera tecnológica frente a China y actores no estatales— y la intervención gubernamental para “garantizar la seguridad” de los ciudadanos. Históricamente, este tipo de tensiones ha llevado a regulaciones reactivas: en 2020, tras el hackeo masivo a SolarWinds (que afectó a 18,000 empresas), el gobierno tardó 7 meses en implementar protocolos obligatorios de ciberseguridad.
¿Deben preocuparse los ciudadanos?
Consultado directamente sobre si los estadounidenses deberían temer que la IA pueda vaciar sus cuentas bancarias, Bessent respondió con un contundente: “Deberían“. Su advertencia no es aislada: un informe de la OFAC (Oficina de Control de Activos Extranjeros) publicado en marzo reveló que los ciberdelincuentes ya utilizan IA para clonar voces de ejecutivos bancarios y autorizar transferencias fraudulentas por montos superiores a US$500,000 en operaciones individuales.
El secreto del Tesoro no detalló acciones específicas, pero fuentes cercanas a la Cybersecurity and Infrastructure Security Agency (CISA) confirmaron a En Foco Hoy que se están evaluando simulacros de ataques con IA en bancos medianos, similares a los realizados en 2023 con el sector energético. ¿El objetivo? Medir la capacidad de respuesta ante un escenario donde la IA no solo automatice phishing, sino que genere malware adaptativo capaz de evadir los firewalls tradicionales.
Mientras tanto, los expertos recomiendan a los usuarios activar autenticación multifactor (MFA) con tokens físicos —no solo SMS— y revisar mensualmente los registros de acceso a sus cuentas. “La IA ya no es una amenaza futura; está aquí, y los bancos corren contra el tiempo“, sentenció Bessent.
- El 2025 de Bessent: entre el rescate a Argentina y la tensión con la Fed
- Anthropic PBC: el modelo de IA que tiene en jaque a Wall Street
- Ciberseguridad bancaria: ¿qué pueden hacer los clientes para protegerse?
El precedente que asusta: cómo la IA ya robó US$101 millones en 2020 sin dejar rastro
Cuando el secretario Bessent advierte que los ciudadanos «deberían» temer por sus cuentas, no habla de un escenario hipotético. En octubre de 2020, un ciberataque orquestado con herramientas primitivas de IA (en comparación con los modelos actuales) logró desfalcar US$101 millones del Bank of Bangladesh mediante transferencias fraudulentas al sistema SWIFT. Los hackers —vinculados al grupo norcoreano Lazarus— usaron algoritmos para imitar patrones de comunicación bancaria y eludir protocolos de verificación. Lo más alarmante: recuperaron solo US$23 millones, un 23% del total. El caso, documentado por el FBI en su informe «AI-Enhanced Financial Threats (2021)», demostró que la IA no necesita «perfección» para causar daños masivos: bastó con explotar lagunas en la autenticación de mensajes y la falta de sincronización entre bancos centrales.
Ahora, con modelos como Claude 3 de Anthropic —capaz de generar código funcional en 12 lenguajes de programación con un 98% de precisión, según benchmarks de Evaluate AI (2024)— el riesgo se multiplica. En febrero de 2024, un experimento controlado por la Universidad de Cambridge reveló que la IA podía replicar el 87% de las firmas digitales usadas en transacciones bancarias europeas, usando solo 3 muestras de voz del titular. El estudio, aún no publicado pero citado en la reunión de la Fed de abril, llevó a HSBC y JPMorgan a bloquear temporalmente las verificaciones por voz en operaciones mayores a US$100,000.
| Año | Incidente | Pérdidas (US$) | Técnica de IA usada |
|---|---|---|---|
| 2016 | Hackeo a SWIFT (Bangladesh) | 101M | Automatización de mensajes falsos |
| 2022 | Fraude en Deutsche Bank (voces clonadas) | 12.5M | Deepfake de audio (IA generativa) |
| 2024 | Simulacro CISA (bancos medianos) | N/A (prueba) | Malware adaptativo + phishing dinámico |
La cuenta regresiva que nadie menciona
El 15 de julio de 2024 vence el plazo que la Securities and Exchange Commission (SEC) dio a los bancos para implementar «contramedidas de IA contra IA», un concepto técnico que incluye sistemas de «detección de anomalías en tiempo real» entrenados con los mismos modelos que usan los atacantes. Pero según un informe interno de la ABA filtrado a Reuters, solo el 38% de las entidades —principalmente las top 10— cumplirán la fecha. El resto, incluyendo bancos regionales con activos entre US$50,000M y US$250,000M, solicitó una prórroga de 6 meses. La pregunta que evitan en público: ¿cuántos robos masivos ocurrirán en ese lapso? En 2020, el promedio de detección de un ataque con IA fue de 187 días. Hoy, con herramientas como WormGPT (disponible en la dark web desde 2023), ese tiempo podría reducirse a 72 horas.