La tecnología siempre ha avanzado más rápido que las políticas. Sin embargo, en los últimos dos años hemos superado un punto de inflexión: la inteligencia artificial está transformando la ciberseguridad de forma tan profunda como está transformando el mundo empresarial.
Para los responsables financieros, los equipos de viajes y quienes toman decisiones en el negocio, eso significa que las apuestas y las oportunidades son más altas que nunca para garantizar que sus herramientas de IA no se utilicen de forma malintencionada para suplantar identidades, lanzar ataques de phishing o filtrar datos en cuestión de segundos.
En este Mes de Concienciación sobre Ciberseguridad, analizaré cuatro riesgos emergentes y cómo Emburse está evolucionando para mantenerse a la vanguardia.
1. Deepfakes y clonación de voz: cuando «parar y verificar» se convierte en lo mínimo imprescindible
Ahora es posible clonar la voz de una persona con solo unos segundos de audio grabado. Eso significa que una llamada telefónica bien preparada —una táctica conocida como vishing, o “phishing de voz”— puede sonar exactamente como tu CEO o tu director financiero, engañando a los empleados para que aprueben transferencias fraudulentas o compartan información confidencial. En un caso documentado, una empresa de Hong Kong transfirió 25 millones de dólares después de que un estafador cometiera suplantación de identidad haciéndose pasar por el director financiero en una videollamada.
Deloitte también estima que el fraude potenciado por la IA generativa podría provocar pérdidas de 40.000 millones de dólares en EE. UU. para 2027 (frente a los 12.300 millones de 2023).
Cómo responde Emburse
En Emburse, añadimos verificaciones adicionales a nuestros flujos de trabajo financieros de alto riesgo: los umbrales de transacción activan una verificación en tiempo real y las solicitudes por voz (incluso desde cuentas “de confianza”) requieren una confirmación independiente.
Pero las políticas de detección solo llegan hasta cierto punto. También formamos activamente a nuestros equipos para que se detengan a pensar primero—sin importar lo creíble que parezca una solicitud.
2. Inyección de instrucciones y gobernanza de la IA: protegiendo los límites de lo que la IA puede hacer
La IA generativa es una herramienta muy potente, pero también introduce nuevas posibles vulnerabilidades. La principal de ellas es la inyección de prompts, en la que los atacantes diseñan entradas que anulan las instrucciones del modelo, haciendo que revele información confidencial o ejecute acciones no deseadas.
El proyecto OWASP GenAI sitúa la inyección de prompts como el principal riesgo para los modelos de lenguaje de gran tamaño. De hecho, estudios como Systematically Analyzing Prompt Injection Vulnerabilities muestran que el 56% de las estrategias de ataque mediante prompts probadas tuvo éxito en distintas arquitecturas de LLM.
Cómo responde Emburse
Dado que los ciberataques de inyección de prompts pueden ser sutiles y difíciles de detectar, operamos con una filosofía de «confianza cero en la entrada de IA». Todas las entradas externas a cualquier sistema de IA se depuran, se validan y se ponen en cuarentena cuando hay dudas. Sometemos las nuevas capacidades de IA a pruebas de red‑teaming (ciberataques simulados), aplicamos control de acceso basado en roles y desplegamos defensas en capas para proteger los sistemas posteriores de instrucciones maliciosas procedentes de sistemas de IA.
3. Phishing impulsado por IA: cuando los atacantes escalan su creatividad
La IA está impulsando los ataques de phishing. Ahora los atacantes pueden crear correos electrónicos personalizados, fluidos y creíbles a gran escala, lo que hace que los filtros tradicionales y la formación sean menos eficaces. Según informes de expertos en ciberseguridad de Hoxhunt y SOCRadar, desde el lanzamiento público de ChatGPT, el volumen de ataques de phishing se ha disparado más de un 4.000%.
En pruebas controladas, los correos de phishing creados con IA superaron a los redactados por expertos humanos, logrando un 24% más de éxito al engañar a los destinatarios. Eso cambia por completo las reglas del juego para las estrategias de defensa y plantea desafíos importantes.
Cómo responde Emburse
En Emburse, nuestro enfoque tiene dos vertientes:
- Detección adaptativa de amenazas: Incorporamos modelos de IA que analizan la semántica del correo electrónico (tono, comportamiento del remitente, contexto) en lugar de basarse únicamente en el bloqueo por firmas o heurísticas.
- Cultura por encima del cumplimiento: Nuestra formación contra el phishing no es un simple trámite, es continua. Realizamos simulaciones dinámicas, fomentamos que se informen los incidentes y promovemos una mentalidad compartida: si algo te resulta raro, compruébalo dos veces.
Para los equipos financieros, esto significa no permitir nunca que la aparente legitimidad de un remitente sustituya a los protocolos internos de verificación, especialmente en solicitudes relacionadas con fondos, cambios de proveedores o restablecimiento de credenciales.
4. IA en la sombra: el riesgo oculto en las herramientas de uso diario
La IA en la sombra se refiere a cuando los empleados utilizan servicios de IA generativa no autorizados (por ejemplo, ChatGPT o asistentes de escritura) para saltarse las fricciones de los flujos de trabajo. El riesgo es que datos sensibles puedan filtrarse fuera de los entornos controlados sin que nadie del departamento de TI detecte actividad sospechosa.
Según el informe «Shadow AI Surge» de ManageEngine 2025:
- 97% de los líderes de TI ven riesgos significativos en la IA en la sombra, y 91% de los empleados creen que el riesgo es bajo o manejable
- Mientras tanto, el 60% de los empleados reconoce que ha aumentado su uso de herramientas de IA no aprobadas año tras año
- Además, el 93% reconoció haber introducido información sensible o datos de trabajo sin autorización
Otro dato interesante: más de 80% de los líderes tecnológicos afirman que la adopción de la IA va más rápido que su capacidad para evaluar las herramientas de forma segura, y alrededor de un 37% de los empleados reconoce haber utilizado datos internos (de clientes, financieros, operativos) en tecnología de IA en la sombra.
Cómo responde Emburse
Pero en lugar de prohibiciones absolutas —que a menudo empujan el uso a la clandestinidad— Emburse defiende un modelo de adopción gobernada. Publicamos políticas de uso claras, clasificamos qué datos son aceptables y cuáles están restringidos para su incorporación en la IA, y desplegamos herramientas internas de privacidad con enmascaramiento de datos y registro de actividad integrados. Al mismo tiempo, supervisamos los patrones de uso de la IA y señalamos comportamientos anómalos que puedan requerir intervención.
De la conciencia del riesgo a la confianza resiliente
La ciberseguridad ya no consiste solo en bloquear ciberataques. Ahora se trata de proteger la confianza en tus datos sensibles, en tus flujos de trabajo y en tu gente. Para los responsables de finanzas y operaciones, la confianza es la base de cada transacción, de cada aprobación y de cada euro que se mueve.
En Emburse, no tratamos la seguridad como una función aislada. Forma parte de cómo diseñamos, desarrollamos y operamos Emburse Expense Intelligence: controles adaptativos, orquestación inteligente y rutas de decisión centradas en las personas, todo integrado desde el principio.
A medida que la IA evoluciona y los ciberdelincuentes la utilizan de forma cada vez más creativa, nuestra mejor defensa frente a estas amenazas emergentes es la vigilancia, el buen gobierno y el escepticismo. La concienciación es el primer paso. Lo que creemos a partir de ahora —y con cuánta responsabilidad— dará forma al futuro de la confianza digital.
Solicita una demostración personalizada y descubre lo que la gestión de viajes y gastos impulsada por IA puede aportar a tu organización.