Kiteworks

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Sin categorizar > Los servicios financieros se convierten en el caso de prueba para demostrar si la gobernanza de IA es real

Los servicios financieros se convierten en el caso de prueba para demostrar si la gobernanza de IA es real

by Patrick Spencer updated mayo 20, 2026 Gestión de Riesgos de Ciberseguridad
Reading Time: 9 minutes

Puntos clave

  1. Altos costos de filtraciones en finanzas. El costo promedio de una filtración de datos en el sector financiero alcanzó los $5.56 millones por incidente en 2025, el segundo más alto entre las industrias.
  2. Motivaciones financieras dominan los incidentes. Aproximadamente el 90% de las filtraciones contra bancos y aseguradoras tuvieron una motivación financiera, divididas entre robo de datos y ransomware.
  3. Shadow AI impulsa la pérdida de datos. Herramientas de IA no autorizadas representaron el 20% de las filtraciones relacionadas con IA, impulsadas por una gran brecha entre la adopción de empleados y los controles de gobernanza.
  4. Deepfakes y riesgos de terceros en aumento. Los ataques con deepfakes afectaron al 59% de las organizaciones, mientras que las vulneraciones en la cadena de suministro generan largos retrasos en la divulgación y nuevas vías de ataque.

Todas las industrias tendrán que responder por su postura de gobernanza de IA. Los servicios financieros ya lo están haciendo. El sector gestiona los datos más codiciados por los atacantes, opera bajo la normativa más estricta y ha sido el más rápido en implementar IA tanto en operaciones de cara al cliente como en el back office.

El sector financiero es donde la gobernanza de IA triunfa o fracasa primero

Un nuevo informe de amenazas en el sector financiero cuantifica dónde está impactando esa combinación actualmente. Los ataques con motivación financiera siguieron impulsando la mayoría de los incidentes cibernéticos contra bancos, aseguradoras y procesadores de pagos en 2025. Aproximadamente el 90% de las filtraciones tuvieron una motivación financiera: el 64% fueron filtraciones de datos y el 36% ransomware. El costo promedio de una filtración de datos en el sector financiero llegó a $5.56 millones por incidente, posicionando a las finanzas como el segundo sector más costoso.

Los datos personales aparecieron en el 54% de los registros comprometidos. Los datos internos de la organización representaron el 35%. Las credenciales constituyeron el 22%. Nada de esto es nuevo. Lo novedoso es el papel que ahora juega la IA en cómo los ataques acceden a datos regulados y cómo los datos salen cuando las defensas fallan.

5 puntos clave

1. Servicios financieros es ahora la segunda categoría de filtración más costosa de la economía.

El costo promedio de una filtración de datos en el sector financiero alcanzó los $5.56 millones por incidente en 2025. Los datos personales estuvieron presentes en el 54% de los registros comprometidos, las credenciales en el 22% y los datos internos de negocio en el 35%. El sector gestiona los datos más buscados por los atacantes, opera bajo la regulación más estricta y ha sido el más rápido en implementar IA, convirtiéndolo en el caso de prueba donde la gobernanza de IA triunfa o fracasa primero.

2. Las motivaciones financieras impulsan el 90% de los incidentes.

Aproximadamente el 90% de las filtraciones que afectan a bancos, aseguradoras y procesadores de pagos tuvieron una motivación financiera: 64% filtraciones de datos y 36% ransomware. La concentración de registros financieros (90% de las organizaciones), datos de tarjetas de pago (83%) y credenciales (79%) hace que el sector esté sobrerrepresentado como objetivo de los atacantes. El informe IBM Cost of a Data Breach 2025 sitúa el costo por incidente en $5.56 millones, el segundo más alto de cualquier industria.

3. Shadow AI es ahora el principal impulsor de riesgo.

Aproximadamente el 20% de las filtraciones relacionadas con IA en 2025 se originaron en shadow AI, es decir, herramientas de IA no autorizadas usadas fuera de los programas de gobernanza. El 92% de las organizaciones afirma que la IA generativa cambió la forma en que los empleados comparten información, pero solo el 13% ha integrado la IA en su estrategia de seguridad. Esa proporción de 92 a 13 es la brecha de pérdida de datos que crea el shadow AI: el comportamiento ha cambiado a nivel de empleado; la gobernanza no ha cambiado a nivel institucional.

4. El fraude impulsado por deepfakes es la nueva estafa de transferencias bancarias.

El 59% de las organizaciones ha experimentado ataques con deepfakes y el 97% reporta algún tipo de daño por información falsa generada por IA. El informe Thales Data Threat 2026 documenta que el 77% de los encuestados observa un aumento del fraude habilitado por ciberataques. La autenticación por voz, la verificación de identidad por video y la autenticación de documentos se construyeron sobre supuestos que los deepfakes han invalidado, y servicios financieros es el sector donde el fraude con deepfakes genera el mayor beneficio por ataque.

5. El riesgo de terceros es la factura pendiente.

Las vulneraciones en la cadena de suministro a través de proveedores que manejan datos transaccionales aumentan junto con shadow AI y el fraude con deepfakes. El informe Black Kite 2026 sobre filtraciones de terceros documentó un retraso medio de divulgación de 73 días y 26,000 empresas afectadas no identificadas en 2025. Cada integración de terceros—SaaS de analítica, socio de detección de fraude, procesador externo—es ahora candidata a revisión de gobernanza de proveedores, no solo un trámite contractual.

Confías en que tu organización es segura. Pero ¿puedes verificarlo?

Leer ahora

Shadow AI es el punto ciego de más rápido crecimiento en el sector financiero

Shadow AI está funcionando en servicios financieros exactamente igual que lo hizo el shadow IT hace una década. Comienza como experimentación para mejorar la productividad, se expande por adopción entre pares y se convierte en un canal de exfiltración de datos antes de que los equipos de seguridad sepan que existe.

La exposición del sector es estructural. Los equipos de detección de fraude usan IA para correlacionar patrones de transacciones. Los equipos de atención al cliente emplean IA para redactar respuestas. Los equipos de analítica usan IA para generar resúmenes. Cada caso de uso es defendible por separado. Pero, al agregarse entre miles de empleados y decenas de flujos de trabajo, el resultado es un flujo no monitoreado de datos financieros sensibles hacia servicios de IA de terceros.

Según el DTEX 2026 Insider Threat Report, el shadow AI es ahora el principal impulsor de incidentes internos negligentes, superando al uso compartido de archivos no monitoreado y al correo web personal. El 92% de las organizaciones afirma que la IA generativa ha cambiado fundamentalmente cómo los empleados acceden y comparten información, pero solo el 13% ha integrado formalmente la IA en sus estrategias de negocio. Esa brecha—92% contra 13%—es el problema del shadow AI en una sola cifra. El comportamiento ha cambiado a nivel de empleado. La gobernanza no ha cambiado a nivel institucional.

El impacto financiero es medible. El informe IBM Cost of a Data Breach 2025 encontró que el shadow AI añade aproximadamente $670,000 al costo promedio de una filtración, y el 97% de las organizaciones que reportaron una filtración relacionada con IA carecían de controles adecuados de acceso a IA. El informe del sector financiero sitúa al shadow AI en aproximadamente el 20% de todas las filtraciones relacionadas con IA, y servicios financieros supera consistentemente el promedio en adopción de IA.

Los deepfakes están superando los controles que los bancos construyeron hace décadas

La clonación de voz, el video sintético y los documentos falsificados por IA son ahora herramientas operativas en los arsenales de los atacantes, no solo demostraciones de laboratorio.

El informe Thales Data Threat 2026 indica que el 59% de las organizaciones ha experimentado ataques con deepfakes y el 97% ha sufrido algún tipo de daño organizacional por información falsa generada por IA, incluyendo compromiso de correo electrónico empresarial y suplantación de marca. El WEF Global Cybersecurity Outlook 2026 documenta que el 77% de los encuestados reporta un aumento del fraude habilitado por ciberataques, con phishing, fraude de pagos y robo de identidad como las tres categorías principales.

Los controles de transacciones de alto valor del sector—verificación por voz, KYC por video, autenticación de documentos—se construyeron sobre supuestos que los deepfakes ya invalidaron. La autenticación por voz asumía que el atacante no podía producir la voz del cliente bajo demanda. La verificación de identidad por video asumía que la inspección visual podía detectar falsificaciones. La autenticación de documentos asumía que los documentos sintéticos tendrían artefactos detectables. La IA está haciendo que esos artefactos desaparezcan, y servicios financieros es el conjunto de objetivos donde el fraude con deepfakes ofrece el mayor beneficio por ataque.

La vulneración de la cadena de suministro es el tercer vector silencioso

El informe Black Kite 2026 sobre filtraciones de terceros documentó 136 eventos de filtración de terceros verificados, 719 víctimas identificadas y aproximadamente 26,000 empresas afectadas no identificadas en 2025. El retraso medio de divulgación fue de 73 días, lo que significa que, para cuando la organización principal se entera de que un proveedor fue vulnerado, los atacantes han tenido más de dos meses dentro de la cadena de suministro de datos.

El incidente de Vercel divulgado el 21 de abril de 2026 ilustra el patrón con precisión. Un empleado utilizó una herramienta de productividad de IA de terceros que fue vulnerada. El atacante pasó de la herramienta a los sistemas internos de Vercel mediante el acceso que el empleado había concedido. Los servicios financieros están llenos de estos caminos de integración: cada SaaS de analítica, cada socio de detección de fraude, cada proveedor de servicios externo es un posible punto de pivote para un ataque en el entorno bancario.

El informe CrowdStrike 2026 Global Threat Report documenta que los adversarios están comprometiendo de forma sistemática a proveedores de software, canales de actualización e integraciones SaaS para acceder a los datos de los clientes a través de canales de confianza. Para servicios financieros, esto implica que la gestión de riesgos de terceros ahora es una disciplina de gobernanza de datos, no solo un trámite contractual.

Por qué la normativa del sector financiero es tanto una carga como una ventaja

El informe Kiteworks 2025 Data Forms encontró que las organizaciones de servicios financieros operan bajo uno de los marcos de cumplimiento más estrictos: el 98% debe cumplir con GDPR, el 90% con PCI DSS, el 62% con CCPA/CPRA, el 52% con SOX y el 41% con leyes de privacidad estatales.

La densidad regulatoria es una carga: aumenta los costos de cumplimiento y la carga de auditoría. Pero también es una ventaja en la conversación sobre gobernanza de IA, porque cada regulación financiera existente ya especifica requisitos para controles de acceso a datos, registros de auditoría, cifrado y acceso mínimo necesario. Ninguna contempla una exención para agentes de IA, shadow AI o fraude habilitado por deepfakes.

El marco de cumplimiento ya está escrito. Lo que falta es la arquitectura de control que lo operacionalice para el intercambio de datos en la era de la IA. Según el informe Kiteworks 2026 Forecast, el 63% de las organizaciones no puede aplicar limitaciones de propósito a los agentes de IA y el 60% no puede desactivar un agente que se comporta de forma indebida. En el sector financiero, esa brecha se traduce directamente en exposición regulatoria bajo el Artículo 32 de GDPR, el Requisito 7 de PCI DSS y los controles internos de SOX.

El enfoque Kiteworks: intercambio de datos gobernado para servicios financieros

La Red de Contenido Privado de Kiteworks aborda los tres vectores que están redefiniendo el riesgo cibernético financiero mediante una arquitectura de gobernanza a nivel de datos que se alinea con las obligaciones regulatorias existentes del sector.

Contención de shadow AI mediante acceso gobernado. Las interacciones de IA con datos financieros regulados pasan por la puerta de enlace de datos IA de Kiteworks, que aplica políticas de acceso basadas en atributos en el momento de la consulta. Los empleados que usan herramientas de IA no autorizadas enfrentan una decisión estructural: trabajar con datos que la organización ha clasificado como aprobados para IA o trabajar sin ellos. La salida de datos hacia servicios de IA arbitrarios se previene a nivel arquitectónico, no solo mediante políticas.

Intercambio de datos con terceros bajo una sola política. Toda comunicación con proveedores, socios y clientes—uso compartido de archivos, SFTP, MFT, correo electrónico, formularios web o API—se rige bajo un motor de políticas unificado con registros de auditoría a prueba de manipulaciones. Cuando ocurra el próximo incidente en la cadena de suministro, las instituciones financieras podrán determinar el alcance en minutos. Esto elimina el retraso medio de 73 días en la divulgación identificado por el informe Black Kite.

Registros de auditoría de calidad probatoria para defensa regulatoria. Cada evento de intercambio de datos genera registros inmutables aptos para los controles internos de la Sección 404 de SOX, el registro de eventos del Requisito 10 de PCI DSS y los registros de procesamiento del Artículo 30 de GDPR. Los paneles de cumplimiento preconfigurados para GDPR, HIPAA y PCI DSS transforman la preparación de auditorías de semanas a horas.

Flujos de trabajo de transacciones de alto valor resistentes a deepfakes. El intercambio seguro de datos para transacciones de alto valor—firmas de contratos, autorización de transferencias, entrega de documentos al cliente—opera por canales autenticados, cifrados y gobernados. El deepfake que logra evadir la verificación por voz aún debe superar la autenticación del canal, lo cual es mucho más difícil.

Qué deben hacer ahora las organizaciones de servicios financieros

Primero, ejecuta un programa de descubrimiento de shadow AI. Escaneos a nivel de red, análisis de gasto en SaaS, revisión de reportes de gastos y análisis de metadatos de correo electrónico revelarán herramientas de IA no autorizadas. El informe DTEX 2026 concluye que bloquear solo las herramientas populares de IA no funciona: los usuarios migran a alternativas. El inventario es el primer paso; la sustitución gobernada es el segundo.

Segundo, integra el acceso a IA en los marcos existentes de administración de riesgos de terceros y de modelos. Cada herramienta de IA que la organización usa o permite es ahora un tercero bajo los estándares de riesgo de proveedores. Los marcos ya existen: aplícalos a la IA.

Tercero, moderniza la autenticación de transacciones de alto valor frente a amenazas de deepfakes. La verificación por voz, el KYC por video y la autenticación de documentos requieren una actualización de supuestos. El informe Thales 2026 documenta encuentros generalizados con deepfakes: la autenticación resistente a deepfakes es una obligación inmediata.

Cuarto, consolida el intercambio de datos con terceros bajo una única plataforma de gobernanza con registros de auditoría unificados. Cada integración de proveedor es un posible punto de ataque en la cadena de suministro. Los registros de auditoría unificados reducen el tiempo de detección y cumplen con las obligaciones regulatorias de reporte al mismo tiempo.

Quinto, vincula las brechas de gobernanza de IA a obligaciones regulatorias específicas para generar urgencia ejecutiva. Cada brecha corresponde a un riesgo concreto de hallazgo bajo GDPR, PCI DSS, SOX o leyes estatales de privacidad. La atención ejecutiva sigue a la exposición regulatoria más rápido que a los informes de amenazas.

Sexto, trata el programa de gobernanza de IA como una ventaja competitiva, no solo como una obligación de cumplimiento. Las instituciones financieras que puedan demostrar gobernanza de IA a clientes, contrapartes y reguladores ganarán negocio frente a quienes no puedan hacerlo. Investigaciones de McKinsey citadas en análisis de la industria muestran que las empresas con gobernanza de IA madura experimentan un 45% menos de incidentes de seguridad: eso es un resultado de desempeño, no solo de cumplimiento.

El sector financiero no eligió ser el caso de prueba de la gobernanza de IA. Lo es porque gestiona los datos, opera bajo las regulaciones y lidera la adopción. El sector que supere la prueba definirá cómo debe ser la gobernanza de IA para el resto de la economía.

Preguntas frecuentes

El costo promedio de $5.56 millones refleja la concentración de objetivos de alto valor en el sector: el 90% de las organizaciones financieras recopilan registros financieros, el 83% gestionan información de tarjetas de pago y el 79% almacenan credenciales, todos datos que alcanzan precios premium y generan fuertes sanciones regulatorias. El informe IBM Cost of a Data Breach 2025 confirma que las finanzas ocupan el segundo lugar entre todas las industrias, con multas regulatorias bajo GDPR, PCI DSS y leyes estatales de privacidad que se suman a los costos directos de robo.

Shadow AI incluye cualquier herramienta de IA utilizada sin aprobación formal de gobernanza: chatbots públicos LLM usados para resumir documentos, extensiones de navegador con IA que retienen contexto, herramientas de productividad de IA de terceros con acceso a sistemas corporativos y funciones de IA integradas en aplicaciones SaaS que no fueron evaluadas durante la adquisición. El informe DTEX 2026 Insider Threat identifica al shadow AI como el principal impulsor de incidentes internos negligentes, convirtiéndolo en un vector clave de pérdida de datos en entornos regulados.

Los atacantes usan clonación de voz generada por IA para superar la verificación por voz en transacciones de alto valor, video sintético para evadir procesos de KYC por video y documentos falsificados por IA para autorizar transferencias fraudulentas. El informe Thales 2026 encontró que el 59% de las organizaciones ha experimentado ataques con deepfakes. El sector financiero es un objetivo desproporcionado porque el beneficio por ataque—transferencias fraudulentas, desembolsos de préstamos no autorizados—es mayor en este sector.

Todas las regulaciones existentes de servicios financieros aplican a sistemas de IA que acceden a datos regulados. El 98% de las organizaciones financieras están sujetas a GDPR, el 90% a PCI DSS y el 52% a SOX, según el informe Kiteworks 2025 Data Forms. Ninguna contempla exenciones para IA. Las brechas de gobernanza—el 63% no puede aplicar limitaciones de propósito a los agentes—se traducen directamente en hallazgos bajo el Artículo 32, el Requisito 7 y los controles internos de SOX.

La primera fase—descubrimiento, inventario y clasificación de herramientas de IA como insiders no humanos—suele completarse en cuatro a ocho semanas. La segunda fase—implementación de acceso gobernado a datos de IA mediante una plataforma de gobernanza a nivel de datos como la puerta de enlace de datos IA de Kiteworks—requiere normalmente de tres a seis meses. Las organizaciones con gobernanza de IA madura resuelven filtraciones aproximadamente 70 días más rápido según el informe 2026 Forecast, por lo que la inversión reduce tanto el riesgo como el costo de una filtración.

Recursos adicionales

  • Artículo del Blog
    Estrategias Zero‑Trust para una protección de privacidad de IA asequible
  • Artículo del Blog
    Cómo el 77% de las organizaciones está fallando en la seguridad de datos de IA
  • eBook
    Brecha de gobernanza de IA: por qué el 91% de las pequeñas empresas juega a la ruleta rusa con la seguridad de datos en 2025
  • Artículo del Blog
    No existe un «–dangerously-skip-permissions» para tus datos
  • Artículo del Blog
    Los reguladores ya no preguntan si tienes una política de IA. Quieren pruebas de que funciona.

Preguntas frecuentes

El sector gestiona los datos más codiciados por los atacantes, opera bajo la normativa más estricta y ha sido el más rápido en implementar IA tanto en operaciones de cara al cliente como en el back office, convirtiéndolo en el terreno de prueba donde la gobernanza de IA triunfa o fracasa primero.

Shadow AI se refiere a herramientas de IA no autorizadas usadas fuera de los programas de gobernanza. Representa aproximadamente el 20% de las filtraciones relacionadas con IA y añade cerca de $670,000 al costo promedio de una filtración, con el 97% de las organizaciones que reportan una filtración relacionada con IA careciendo de controles adecuados de acceso a IA.

La clonación de voz elude la verificación por voz, el video sintético supera el KYC por video y los documentos falsificados por IA socavan la autenticación de documentos. El 59% de las organizaciones ha experimentado ataques con deepfakes, y servicios financieros enfrenta el mayor beneficio por ataque de estas amenazas.

Ejecuta un programa de descubrimiento de shadow AI, integra el acceso a IA en los marcos de administración de riesgos de terceros y de modelos, moderniza la autenticación de transacciones de alto valor, consolida el intercambio de datos con terceros bajo una gobernanza unificada y vincula las brechas de gobernanza de IA a obligaciones regulatorias específicas como GDPR, PCI DSS y SOX.

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks