Más allá del firewall: la amenaza interna de la IA en la sombra

Más allá del firewall: la amenaza interna de la IA en la sombra

Más allá del firewall: la amenaza interna de la IA en la sombra

⏱ ️ Tiempo de lectura: 15 minutos.

✨RESUMEN EJECUTIVO

La inteligencia artificial (IA) representa una dualidad crítica para el ecosistema FinTech de México: es tanto una herramienta de defensa indispensable como un arma potente para las y los ciberdelincuentes. Mientras las empresas adoptan la IA para innovar y protegerse, un informe de IBM revela un riesgo financiero significativo y a menudo ignorado: la "IA en la sombra". El uso no supervisado de herramientas de IA por parte de las y los empleados incrementa el costo promedio de una filtración de datos en más de 200,000 USD. En un mercado con más de 70 millones de usuarios y usuarias, como lo es el ecosistema FinTech de México, este costo representa una amenaza directa a la confianza del consumidor, así como una fuga de capital.

📌 TAKEAWAYS CLAVE

●      La carrera armamentista de la IA: las y los atacantes ya utilizan IA en el 16% de las filtraciones de datos, pero las organizaciones que implementan IA y automatización en sus defensas ahorran en promedio 1.9 millones de USD por incidente. En este contexto, la adopción de IA en ciberseguridad no es opcional, es una necesidad para sobrevivir.

●      El costo de la "IA en la sombra": el uso de herramientas de IA no autorizadas por parte de las y los empleados es uno de los tres principales factores que más encarecen una filtración de datos, añadiendo un costo promedio de 200,321 USD por incidente. Por lo tanto, la falta de políticas internas sobre el uso de IA es un pasivo financiero directo.

●      Gobernanza de IA como la brecha crítica: el 63% de las organizaciones afectadas por una filtración carece de políticas de gobernanza de IA. Esto se conecta directamente con el hecho de que el 97% de las violaciones de seguridad relacionadas con IA ocurrieron en sistemas sin controles de acceso adecuados. Esto permite observar que, la principal vulnerabilidad de la IA es de gestión, no puramente tecnológica.

●      El desafío del ecosistema FinTech de México: confianza y crecimiento. El riesgo de la IA se magnifica en el contexto mexicano, un ecosistema con más de 70 millones de usuarios y donde los casos de usurpación de identidad crecieron un 281% al cierre de 2023 (Reporte FinTech 2025). En este sentido, un ciberataque con IA puede dañar severamente la confianza en un mercado en plena expansión.

 

📊Dato destacado: a pesar de las crecientes amenazas, sólo el 49% de las organizaciones planea invertir en seguridad tras una filtración, una caída drástica desde el 63% del año previo. Esta alarmante tendencia podría indicar una peligrosa complacencia o fatiga presupuestaria en el sector. 

CONTEXTO

El sector FinTech en México vive una expansión acelerada, con un crecimiento anual cercano al 20% y más de 70 millones de usuarios y usuarias. Sin embargo, este dinamismo coexiste con barreras culturales significativas, como una alta preferencia por el efectivo como medio de pago, a la que el 90% de la población es propensa, lo que evidencia que la confianza digital aún es un activo en construcción, de acuerdo con el Reporte FinTech 2025, elaborado por la Asociación FinTech México.

A nivel global, el crecimiento de los servicios financieros digitales trae consigo riesgos crecientes. El costo promedio de una filtración de datos es de 4.44 millones de USD. La inteligencia artificial se ha convertido en un factor central en este panorama, no solo como una herramienta para ataques más sofisticados, sino como una fuente de vulnerabilidad interna cuando su uso no es gestionado, fenómeno conocido como "IA en la sombra".

Esta gráfica ilustra cómo los distintos proveedores de servicios financieros atienden a diferentes segmentos de la población en México, basándose en su nivel socioeconómico y la formalidad de sus ingresos. Las FinTech son el círculo más amplio y el gran conector. La gráfica lo muestra abarcando todos los estratos socioeconómicos y niveles de formalidad. Este gran círculo FinTech incluye también a las empresas de tecnología financiera que operan bajo distintas licencias, incluyendo a las SOFIPOS digitales. Fuente: Reporte FinTech 2025.

ANÁLISIS PRINCIPAL

 

El auge de la inteligencia artificial generativa ha creado un nuevo paradigma de riesgo y oportunidad para el sector FinTech. El análisis de los datos más recientes, provenientes principalmente del "Informe del costo de una filtración de datos 2025. La brecha en la supervisión de la IA" de IBM y contextualizados con el "Reporte FinTech 2025" de la Asociación FinTech México, revela que la mayor amenaza no proviene necesariamente de ataques externos complejos, sino de una brecha interna y silenciosa: la falta de gobernanza sobre la IA.

  La "IA en la sombra": un pasivo no contabilizado de $200,000 USD

La adopción rápida y no gestionada de herramientas de IA por parte de las y los empleados, conocida como "IA en la sombra", está creando un riesgo financiero cuantificable para las FinTechs. Este desafío trasciende la seguridad informática para convertirse en una amenaza directa a la rentabilidad y la confianza del consumidor, un pilar del ecosistema digital.

Los datos:

a) El costo adicional promedio de una filtración que involucra "IA en la sombra" es de 200,321 USD.

b) El 63% de las organizaciones afectadas no tienen una política de gobernanza de la IA.

c)     El 97% de las violaciones de seguridad relacionadas con la IA implicaron sistemas sin controles de acceso adecuados.

Los datos presentan una cadena causal: la falta de estrategia de gestión conduce a pérdidas financieras concretas. El hecho de que casi dos tercios de las organizaciones (63%) carezcan de políticas formales de gobernanza de IA es la causa raíz que permite la proliferación de sistemas sin supervisión. Esta ausencia de directrices crea el entorno en el que el 97% de las brechas de seguridad relacionadas con la IA pueden ocurrir, precisamente porque los controles de acceso son inadecuados. El resultado final de esta negligencia de gestión no es teórico; se materializa en una pérdida financiera de más de 200,000 USD por incidente, a menudo por la fuga de datos de identificación personal (65% de los casos) y propiedad intelectual (40%). 

Para el sector FinTech mexicano que crece al 20% anual, esta brecha de gobernanza es un pasivo crítico no gestionado. La amenaza no es solo la pérdida financiera directa, sino la erosión de la confianza en un mercado donde el 90% de la población aún prefiere el efectivo. Un incidente derivado de una mala gestión de IA puede tener un impacto desproporcionado en la reputación y capacidad de una FinTech para retener clientes.

●      La carrera armamentista de la IA: de víctima a defensor

La inteligencia artificial no debe ser vista únicamente como una amenaza emergente, sino como el mecanismo de defensa más eficaz contra los ataques que ella misma potencia. Para las FinTechs, invertir en capacidades de seguridad impulsadas por IA ya no es una opción, sino una condición necesaria para mantener la paridad con las y los ciberdelincuentes y proteger sus operaciones.

Los datos:

a)    En el 16% de las filtraciones de datos, las y los atacantes utilizaron IA, principalmente para phishing y suplantación de identidad.

b)    Los equipos de seguridad que utilizan ampliamente la IA y la automatización redujeron sus costos promedio por filtración en 1.9 millones de USD, en comparación con las empresas que no utilizan estas tecnologías.

c)    El uso extensivo de IA y automatización acortó en 80 días el tiempo del ciclo de vida de una filtración.

Los datos demuestran una clara dualidad. Por un lado, las y los atacantes aprovechan la IA generativa para escalar y perfeccionar sus campañas de ingeniería social, como el phishing, reduciendo el tiempo de creación de un correo malicioso de horas a minutos. Por otro lado, las organizaciones defensoras que adoptan la misma tecnología obtienen una ventaja decisiva. El ahorro de 1.9 millones de USD no es una cifra abstracta; es el resultado directo de acortar el ciclo de vida de la brecha en 80 días, lo que reduce drásticamente los costos de contención, notificación y negocio perdido. La IA defensiva permite una detección y respuesta más rápidas, automatizando tareas que sobrecargarían a los equipos de seguridad. 

Por otra parte, en México, donde los ataques de ingeniería social y la usurpación de identidad son una amenaza creciente y localizada, las tácticas de phishing potenciadas por IA son particularmente peligrosas. Las FinTechs que no inviertan en defensas automatizadas e inteligentes se encontrarán en una desventaja estratégica, siendo más vulnerables a ataques que pueden destruir la confianza de sus clientes y afectar su viabilidad en un mercado altamente competitivo.

●       El factor humano: la amenaza interna y el robo de identidad

Más allá de las vulnerabilidades tecnológicas, el eslabón más crítico y costoso en la cadena de seguridad es el humano. Los datos revelan que los ataques de mayor impacto financiero no provienen de complejas brechas de IA, sino de acciones internas maliciosas y del éxito de tácticas de ingeniería social como el phishing. Estas vulnerabilidades humanas son el combustible directo del alarmante crecimiento del robo de identidad en México.

 

Los datos:

a)    Por segundo año consecutivo, los ataques de usuario interno malicioso son el vector de amenaza más costoso, con un promedio de 4.92 millones de USD por incidente.

b)    El phishing, un ataque que explota la psicología humana, es el vector de ataque inicial más frecuente, ocurriendo en el 16% de las filtraciones.

c)    En México, los casos de usurpación de identidad aumentaron un 281% en 2023 en comparación con 2022, según datos de la CONDUSEF consignados en el Reporte FinTech 2025.

d)    Un estudio de Verizon citado en el Reporte FinTech 2025 indica que el 68% de las brechas de seguridad están relacionadas con errores humanos.

 

Por lo tanto, el análisis demuestra que, si bien la IA es usada como una herramienta por las y los atacantes, el punto de entrada sigue siendo, en gran medida, la explotación de la confianza y el error humano. El 68% de las brechas vinculadas a errores humanos es la estadística que une todo, demostrando que tanto los ataques internos maliciosos como el éxito del phishing son síntomas de una misma vulnerabilidad fundamental.

 

La implicación es directa y poderosa: la mayor inversión en ciberseguridad para una FinTech mexicana no debería ser únicamente en tecnología de punta, sino también en la gestión del riesgo humano. Esto incluye desde rigurosos controles de acceso para prevenir actores maliciosos internos, hasta programas de capacitación continua y simulacros de phishing para mitigar el error humano. En un ecosistema que busca ganar y retener la confianza de más de 70 millones de usuarios y usuarias, protegerse contra el robo de identidad —cuya causa raíz es a menudo interna— es una prioridad estratégica para la supervivencia y el crecimiento.

IMPLICACIONES

Impacto en el ecosistema FinTech

La proliferación de la IA en el entorno empresarial exige un cambio de mentalidad. Los datos demuestran que la falta de gobernanza sobre esta tecnología no es un riesgo futuro, sino una realidad presente con un impacto financiero directo y significativo.

●      Reevaluar el riesgo tecnológico

La "IA en la sombra" se ha convertido en uno de los tres principales factores que más amplifican el costo de una filtración de datos. Por lo tanto, las FinTechs deben auditar activamente el uso de herramientas de IA no autorizadas en todos sus equipos.

●      Priorizar la gobernanza interna

Con el 63% de las empresas careciendo de políticas de IA, existe una ventana de vulnerabilidad en el sector. Este déficit normativo expone a las organizaciones a múltiples amenazas: fugas de datos sensibles, costos elevados por filtraciones y ataques sofisticados alimentados por IA.

●      Invertir en defensa proactiva

El uso generalizado de IA y automatización en ciberseguridad genera un ahorro promedio de 1.9 millones de USD por incidente. En este sentido, las FinTechs deben asignar presupuesto específico a herramientas de ciberseguridad que integren capacidades de IA.

Consideraciones regulatorias

El uso de la inteligencia artificial, especialmente sin supervisión, puede tener implicaciones directas y presentes en el cumplimiento normativo de las FinTechs en México. La "IA en la sombra" compromete datos de identificación personal en el 65% de los casos, lo que representa un riesgo potencial de violar la Ley Federal de Protección de Datos Personales. Además, agrava la carga operativa, ya que el 91% de las empresas del sector consideran altos los costos de cumplimiento regulatorio (Reporte FinTech 2025), y la falta de gobernanza sobre IA añade una capa de complejidad y riesgo auditable. Ignorar esta realidad no solo expone a las empresas a sanciones actuales, sino que también las deja vulnerables ante futuras regulaciones, haciendo imperativa la integración de políticas de IA en el marco de cumplimiento general.

●      Oportunidades para stakeholders:

Adoptar un enfoque estratégico y proactivo hacia la seguridad y gobernanza de la IA no sólo mitiga riesgos, sino que también puede generar ventajas competitivas tangibles en el dinámico mercado FinTech.

➔    Reducir costos operativos: la IA y la automatización pueden acortar el ciclo de vida de una brecha en 80 días, minimizando el impacto operativo

Oportunidad práctica: liberar capital al reducir el impacto financiero de los incidentes de seguridad.


➔    Fortalecer la confianza del cliente: una postura de seguridad robusta y transparente puede convertirse en un diferenciador de marca clave para atraer y retener clientes.
Oportunidad práctica: comunicar, en lenguaje claro y cercano, las inversiones en ciberseguridad de IA como un compromiso con la protección del cliente, cuyo objetivo es cuidar su dinero y sus datos.


➔    Liderar con gobernanza: dado que la mayoría de las organizaciones aún no tienen políticas de IA, ser un adoptante temprano de una gobernanza sólida es una oportunidad estratégica.
Oportunidad práctica: convertirse en referente del sector en materia de gobernanza de IA al implementar políticas sólidas, auditorías regulares y procesos transparentes. Una adopción temprana no solo reduce riesgos, sino que proyecta confianza hacia inversionistas y profesionales especializados, posicionando a la empresa como modelo a seguir en la industria.

 

  Riesgos:

 

La inacción frente a los desafíos que plantea la IA no es una postura neutral; conlleva riesgos financieros, operativos y reputacionales que pueden comprometer la viabilidad de una FinTech.

➔    Aumento de costos por brecha: las filtraciones que involucran "IA en la sombra" cuestan en promedio 200,321 USD más que las que no la tienen.
Mitigación recomendada: implementar una política clara de uso de IA y un listado de herramientas aprobadas y seguras al interior de la empresa.

➔    Ataques de ingeniería social: el 16% de las filtraciones son impulsadas por IA, principalmente para ataques de phishing y suplantación de identidad
Mitigación recomendada: fortalecer los mecanismos de autenticación, implementando de forma obligatoria el uso de factores múltiples (MFA por sus siglas en inglés) para el acceso a sistemas críticos. Al mismo tiempo, establecer programas permanentes de capacitación que enseñen a identificar intentos de phishing y suplantación de identidad cada vez más sofisticados por el uso de IA, reforzando así la capacidad de respuesta del personal frente a estas amenazas.

➔    Fuga de propiedad intelectual: el 40% de los incidentes de seguridad con "IA en la sombra" comprometieron datos de propiedad intelectual.
Mitigación recomendada: implementar controles técnicos como la Prevención de Pérdida de Datos (DLP por sus siglas en inglés) y una política de uso aceptable de IA, reforzando con capacitación sobre los riesgos.

CONCLUSIÓN

La inteligencia artificial es una fuerza transformadora ineludible en el sector financiero. Sin embargo, su adopción no puede ser indiscriminada. Como demuestra el análisis, el uso no gobernado de la IA, o "IA en la sombra", ha dejado de ser un riesgo teórico para convertirse en un pasivo financiero tangible, con un costo promedio superior a los 200,000 USD por incidente. Para el dinámico ecosistema FinTech de México, la gobernanza proactiva de la IA no es un lujo, sino un imperativo estratégico para proteger el capital, la propiedad intelectual y, sobre todo, la confianza del consumidor. 

Desde la Asociación FinTech México, continuaremos proveyendo a nuestros afiliados los insights y herramientas necesarias para navegar estos nuevos desafíos. El objetivo es claro: asegurar que la innovación tecnológica se traduzca en un ecosistema financiero más robusto, seguro e inclusivo, fortaleciendo el futuro de las finanzas digitales en el país.

RECURSOS ADICIONALES

●      Referencia principal:

○     Informe del costo de una filtración de datos 2025. La brecha en la supervisión de la IA (IBM):

https://latam.newsroom.ibm.com/2025-09-04-IBM-La-seguridad-impulsada-por-IA-y-automatizacion-reduce-los-costos-de-las-filtraciones-de-datos-en-Latinoamerica#:~:text=Ciudad%20de%20M%C3%A9xico%2C%204%20de,los%20US%202%2C51%20millones

○     Reporte FinTech 2025 (Asociación FinTech México):

https://www.fintechmexicofestival.com/reportefmf2025

Anterior

Afíliate a FinTech México

Afiliarse
Menú
NosotrosMembresíaFinTech AcademyBlogNoticiasReporte FinTech 2025
Legal
Aviso de privacidadMarco legal de FinTech MexicoLineamientos de la Asociación FinTech MéxicoFAQs
2024 FinTech México
Aviso de privacidad

Contacto de prensa

contacto@fintechmexico.org
Dirección de Comunicación
Aviso de privacidad
Aviso de privacidad
Desarrollado por Prisma