La seguridad debe diseñarse desde el origen, no como reacción después
En un momento en que el crimen digital ha adoptado la estructura y eficiencia de una multinacional moderna, dos expertos en ciberseguridad españoles advierten que la inteligencia artificial ha disuelto la frontera entre el delincuente aficionado y el profesional. Lo que está en juego no es solo el dinero de los ciudadanos, sino la confianza misma en las infraestructuras digitales que sostienen la vida cotidiana. La respuesta, sostienen, no puede ser individual ni nacional: exige una corresponsabilidad estructural entre bancos, plataformas y reguladores europeos que aún no ha llegado a materializarse.
- La IA ha puesto herramientas de ataque sofisticado al alcance de cualquier persona, convirtiendo el fraude digital en una industria sin barreras de entrada técnica.
- Millones de transacciones diarias conviven con una amenaza que crece más rápido que las defensas, porque los criminales operan sin las restricciones legales que frenan a quienes los persiguen.
- Bancos y plataformas están siendo interpelados para asumir la seguridad como diseño estructural, no como parche posterior, y para acompañar al usuario en cada momento crítico de una operación.
- Europa dispone de regulaciones avanzadas como DORA y NIS2, pero un año después de su entrada en vigor, la compartición operativa de inteligencia de amenazas en tiempo real sigue sin producirse.
- La ventana de oportunidad se estrecha: cada segundo de retraso en la respuesta colectiva es terreno ganado por atacantes que no reconocen fronteras ni jurisdicciones.
Gustavo Lozano, responsable de seguridad de la información en ING para España y Portugal, y Raúl Guillén, presidente del Consejo Asesor de CyberMadrid, se sentaron a examinar una transformación que afecta a millones de personas cada día: la inteligencia artificial ha industrializado el fraude digital hasta convertirlo en algo que cualquier persona puede perpetrar sin conocimientos técnicos. El cibercrimen ya no es artesanal; funciona con la lógica de una multinacional moderna.
El punto de inflexión que ambos subrayan es la responsabilidad. Cuando un ciudadano cae en una estafa, la culpa no puede recaer únicamente sobre él. Lozano lo formula con claridad: quien usa una aplicación bancaria espera que sea segura por diseño, no por instrucción. Guillén lo llama corresponsabilidad estructural: los bancos deben incorporar alertas antes, durante y después de cada operación; las operadoras deben cortar llamadas y mensajes maliciosos; y el ciudadano debe estar formado, no aterrorizado, con un mensaje simple: para, piensa, actúa.
La inteligencia artificial opera en ambos frentes. Los atacantes la usan para clonar voces, detectar vulnerabilidades y construir deepfakes; los defensores, para modelar riesgos y anticipar incidentes. Pero los criminales avanzan más rápido porque no tienen regulación que los frene.
Ahí reside el desafío europeo más urgente. Europa tiene normas excelentes —DORA, NIS2— pero no las está ejecutando operativamente. Se exige reportar incidentes en dos horas, pero no se comparte el modus operandi, los vectores de ataque ni las direcciones IP de origen. Si un banco detecta un ataque, podría proteger a todo el ecosistema en tiempo real. Eso aún no ocurre. Guillén pide pasar de la regulación teórica a la cooperación concreta: compartición dinámica, automatizada y sin miedo a sanciones, con una ventanilla única europea. Lozano lo resume con precisión: cada segundo cuenta, y Europa todavía no ha cruzado ese umbral.
Gustavo Lozano dirige la seguridad de la información en ING para España y Portugal. Raúl Guillén preside el Consejo Asesor de CyberMadrid. Hace poco se sentaron a conversar sobre algo que toca a millones de personas cada día: el fraude digital y cómo la inteligencia artificial lo ha transformado por completo.
El panorama es claro. Cada día se realizan millones de transacciones bancarias, pagos con tarjeta, transferencias por Bizum. Estadísticamente, el fraude representa una fracción pequeña de ese volumen. Pero eso no significa que el problema sea menor. Lo que ha cambiado es la naturaleza del delito. El cibercrimen ya no es cosa de aficionados. Se ha industrializado. Funciona como una multinacional moderna, con estructuras organizadas, objetivos económicos claros y, ahora, con acceso a herramientas de inteligencia artificial que aceleran todo el proceso. Los delincuentes usan la IA para ir más rápido. Pueden construir ataques sofisticados, contextualizados, casi indetectables, sin necesidad de conocimientos técnicos profundos. La tecnología ha democratizado el acceso al conocimiento experto en el delito.
Pero aquí está el punto crucial: la responsabilidad no puede recaer solo en el usuario. Cuando alguien cae en una estafa, cuando sus datos terminan en una página fraudulenta, cuando aparecen cargos extraños en su cuenta, la culpa no es únicamente suya. Lozano lo dice claramente: el ciudadano espera que la aplicación sea segura. Eso obliga a los bancos a incorporar seguridad desde el diseño, no como una capa añadida después, sino como el núcleo mismo de cómo se construye. Guillén lo llama corresponsabilidad estructural. Significa que quienes diseñan los sistemas tienen la obligación de proteger al usuario aunque se equivoque. No se trata de transferir el riesgo al cliente final, porque si eso ocurre, la confianza en las infraestructuras digitales se erosiona.
Esta corresponsabilidad tiene tres pilares. Primero, los bancos y plataformas deben diseñar aplicaciones robustas, con alertas en cada momento crítico: antes de una transacción, durante la operación, después de completarla. ING ha desarrollado funcionalidades como "¿Quién me llama?" para alertar cuando alguien recibe una llamada mientras está operando. Segundo, las operadoras de telecomunicaciones tienen su papel: detectar y cortar llamadas maliciosas, SMS fraudulentos, propagación de ciberamenazas. Tercero, el ciudadano debe estar formado constantemente, pero sin vivir en pánico permanente. El mensaje es simple: para, piensa, actúa. Reflexiona sobre lo que recibes. ¿Realmente esperas ese paquete? ¿De verdad no lo pagaste? Bloquea, llama, notifica.
La inteligencia artificial es el catalizador de todo esto. Los criminales la usan para acelerar detección de vulnerabilidades, para clonar voces en deepfakes, para manipular información. Pero también es un arma defensiva. Las empresas de seguridad la usan para prevenir incidentes antes de que ocurran, para modelar riesgos de forma dinámica, para responder más rápido. Ha cambiado radicalmente las reglas del juego en ataque y defensa. El problema es que los criminales avanzan más rápido que las defensas porque operan sin restricciones legales.
Aquí entra el desafío europeo. Los ataques no tienen fronteras. Pueden venir de cualquier parte del mundo, desde países donde los reguladores son laxos, donde hay granjas de contact centers criminales, donde la persecución del delito es débil. Lozano y Guillén coinciden en algo fundamental: Europa tiene regulaciones excelentes —DORA, NIS2, directivas sobre resiliencia— pero no las está ejecutando operativamente. Hay normas que exigen compartir inteligencia de amenazas en tiempo real. Hace un año que DORA entró en vigor y eso aún no sucede. Lo que sí se exige es reportar incidentes en dos horas. Pero ¿por qué no se comparte el modus operandi, el vector de ataque, las direcciones IP de origen? Si un banco detecta un ataque desde ciertos países, podría configurar reglas defensivas inmediatamente. Todo el ecosistema bancario podría protegerse. Eso es prevención real.
Guillén pide un giro en Europa: pasar de lo teórico a lo operativo. No necesitamos más regulación. Necesitamos que la compartición de inteligencia sea dinámica, automatizada, orquestada, generosa. Necesitamos que las empresas puedan compartir sin miedo a sanciones. Necesitamos una ventanilla única europea para notificaciones, no que cada país transponga las directivas a su manera. Necesitamos que la soberanía sea europea, no solo nacional. Lozano agrega: cada segundo, cada minuto en la reacción ante una ciberamenaza es fundamental. El tiempo es oro. Europa tiene que atravesar la regulación y llevarla a la práctica concreta. No como un requisito que conlleva sanciones, sino como una protección genuina del ciudadano, desde el inicio hasta el fin.
Citações Notáveis
No podemos delegar toda la responsabilidad del incidente en el usuario final. Si eso ocurre, habrá erosión y pérdida de confianza en las infraestructuras digitales.— Raúl Guillén, presidente del Consejo Asesor de CyberMadrid
Los delincuentes usan la IA para ir más rápido. La IA ha cambiado el paradigma de cómo atacan, pero también cómo nos defendemos quienes estamos en el lado del bien.— Raúl Guillén
No se trata de tener al ciudadano permanentemente asustado, sino preparado para reaccionar adecuadamente.— Gustavo Lozano, CISO de ING en España y Portugal
A Conversa do Hearth Outra perspectiva sobre a história
¿Por qué crees que el fraude digital ha crecido tanto si la mayoría de transacciones son seguras?
Porque el cibercrimen se ha profesionalizado. Ahora es una industria con estructura, inversión mínima y máximo retorno. Cualquiera con acceso a herramientas de IA puede lanzar un ataque sofisticado desde cualquier parte del mundo. La rentabilidad es superior incluso a la del narcotráfico.
Entonces, ¿el problema es que la tecnología es demasiado accesible para los criminales?
Exactamente. La IA democratiza el acceso al conocimiento experto. Antes necesitabas ser un hacker especializado. Ahora necesitas poco más que una herramienta y una intención. Los delincuentes usan la IA para ir más rápido, para contextualizar ataques, para clonar voces.
Pero los bancos también tienen IA. ¿No pueden defenderse mejor?
Sí, pero hay un desfase. Los criminales operan sin restricciones legales. Los bancos tienen que cumplir regulaciones, proteger privacidad, reportar incidentes. La defensa es más lenta, más burocrática. Por eso insistimos en que la seguridad debe estar en el diseño desde el inicio, no como una reacción después.
¿Y el ciudadano? ¿Puede hacer algo realmente efectivo?
Puede, pero no debe cargar con toda la responsabilidad. Tiene que desconfiar por naturaleza, pensar antes de actuar, exigir a sus proveedores que cumplan con seguridad desde el diseño. Pero si el sistema está bien diseñado, el usuario no debería sufrir consecuencias graves aunque se equivoque.
¿Cuál es el mayor obstáculo ahora mismo?
Europa. Tenemos regulaciones excelentes pero no las ejecutamos operativamente. No compartimos inteligencia de amenazas en tiempo real entre países y sectores. Cada uno transpone las directivas a su manera. Necesitamos cooperación real, dinámica, automatizada. Sin eso, los criminales siempre van un paso adelante.
¿Qué pasaría si Europa hiciera eso?
Que podríamos prevenir ataques antes de que ocurran. Si un banco detecta un vector de ataque, todo el ecosistema se configura defensivamente en minutos. Ahora somos reactivos. Con cooperación real seríamos preventivos.