La tecnología siempre ha avanzado más rápido que las políticas. Sin embargo, en los últimos dos años hemos llegado a un punto de inflexión: la inteligencia artificial ahora está transformando la ciberseguridad de manera tan fundamental como está transformando los negocios.
Para los líderes financieros, los equipos de viajes y quienes toman decisiones de negocio, eso significa que las apuestas y las oportunidades son más altas que nunca para asegurarse de que sus herramientas de IA no se utilicen de forma maliciosa para suplantar identidades, hacer phishing o filtrar datos en cuestión de segundos.
En este Mes de Concientización sobre Ciberseguridad, analizaré cuatro riesgos emergentes y cómo Emburse está evolucionando para mantenerse a la vanguardia.
1. Deepfakes y clonación de voz: cuando “pausar y luego verificar” se vuelve lo mínimo indispensable
Ahora es posible clonar la voz de una persona con solo unos segundos de audio grabado. Eso significa que una llamada telefónica bien planeada —una táctica conocida como vishing, o “voice phishing”— puede sonar exactamente como tu CEO o tu CFO, engañando a empleados para que aprueben transferencias fraudulentas o compartan información confidencial. En un caso reportado, una empresa de Hong Kong transfirió 25 millones de dólares después de que un estafador cometiera robo de identidad haciéndose pasar por el CFO en una videollamada.
Deloitte también estima que el fraude habilitado por la IA generativa podría provocar pérdidas de 40 mil millones de dólares en Estados Unidos para 2027 (frente a 12.3 mil millones de dólares en 2023).
Cómo responde Emburse
En Emburse, añadimos verificaciones adicionales a nuestros flujos de trabajo financieros de alto riesgo: los umbrales de transacciones activan una verificación en tiempo real, y las solicitudes por voz (incluso desde cuentas “de confianza”) requieren una confirmación independiente.
Pero las políticas de detección solo llegan hasta cierto punto. También capacitamos activamente a nuestros equipos para que hagan una pausa primero—sin importar qué tan creíble parezca la solicitud.
2. Inyección de instrucciones y gobernanza de la IA: protegiendo los límites de lo que la IA puede hacer
La inteligencia artificial generativa es una herramienta muy poderosa, pero también introduce nuevas vulnerabilidades potenciales. La principal de ellas es el “prompt injection”, en el que atacantes diseñan entradas que anulan las instrucciones del modelo, haciendo que revele información confidencial o ejecute acciones no deseadas.
El proyecto OWASP GenAI enumera la inyección de prompts como el principal riesgo para los modelos de lenguaje grandes. De hecho, estudios como Systematically Analyzing Prompt Injection Vulnerabilities muestran que el 56% de las estrategias de ataque mediante prompts probadas tuvo éxito en distintas arquitecturas de LLM.
Cómo responde Emburse
Debido a que los ciberataques de inyección de prompts pueden ser sutiles y difíciles de detectar, operamos con una filosofía de “cero confianza en la entrada de IA”. Todas las entradas externas a cualquier sistema de IA se depuran, se validan y, en caso de duda, se ponen en cuarentena. Además, sometemos las nuevas capacidades de IA a pruebas de red-teaming (ciberataques simulados), aplicamos controles de acceso basados en roles y utilizamos una defensa en capas para proteger los sistemas posteriores de instrucciones maliciosas provenientes de sistemas de IA.
3. Phishing impulsado por IA: cuando los atacantes escalan su creatividad
La IA está potenciando los ataques de phishing. Ahora los atacantes pueden crear correos electrónicos personalizados, fluidos y creíbles a gran escala, lo que vuelve menos efectivos los filtros tradicionales y las capacitaciones. Según informes de expertos en ciberseguridad de Hoxhunt y SOCRadar, desde el lanzamiento público de ChatGPT, el volumen de ataques de phishing se ha disparado en más de 4,000%.
En pruebas controladas, los correos de phishing creados con IA superaron a los redactados por expertos humanos, logrando un 24% más de efectividad al engañar a los destinatarios. Eso cambia por completo la estrategia de defensa y plantea desafíos importantes.
Cómo responde Emburse
En Emburse, nuestro enfoque tiene dos vertientes:
- Detección adaptativa de amenazas: Incorporamos modelos de IA que analizan la semántica del correo electrónico (tono, comportamiento del remitente, contexto) en lugar de depender únicamente de bloqueos por firmas o heurísticos.
- La cultura por encima del cumplimiento: Nuestra capacitación contra el phishing no es solo para cumplir con un requisito, es continua. Hacemos simulaciones dinámicas, fomentamos que la gente reporte incidentes y promovemos una mentalidad compartida: si algo se siente raro, verifícalo dos veces.
Para los equipos de finanzas, esto significa no permitir nunca que la aparente legitimidad de un remitente pase por encima de los protocolos internos de verificación, especialmente en solicitudes que involucren fondos, cambios de proveedores o restablecimiento de credenciales.
4. IA en la sombra: el riesgo oculto en las herramientas de uso diario
La IA en la sombra se refiere a cuando los empleados usan servicios de IA generativa no autorizados (por ejemplo, ChatGPT o asistentes de redacción) para saltarse fricciones en los flujos de trabajo. El riesgo es que datos sensibles puedan filtrarse fuera de los entornos controlados sin que nadie en TI detecte actividad sospechosa.
De acuerdo con el informe “Shadow AI Surge” 2025 de ManageEngine:
- 97% de los líderes de TI ven riesgos significativos en la IA en la sombra, y 91% de los empleados creen que el riesgo es bajo o manejable
- Mientras tanto, 60% de los empleados admite que ha aumentado su uso de herramientas de IA no aprobadas año tras año
- Además, 93% admitió haber introducido información confidencial o datos de trabajo sin autorización
Otro dato interesante: más del 80% de los líderes de tecnología dicen que la adopción de la IA va más rápido que su capacidad para evaluar las herramientas de forma segura, y alrededor del 37% de los empleados admite que ha usado datos internos (de clientes, financieros u operativos) en tecnología de IA en la sombra.
Cómo responde Emburse
Pero en lugar de prohibiciones absolutas —que a menudo solo empujan el uso a la clandestinidad— Emburse promueve un modelo de adopción controlada. Publicamos políticas de uso claras, clasificamos qué datos son aceptables y cuáles están restringidos para su incorporación en la IA, y desplegamos herramientas internas de privacidad con enmascaramiento de datos y registro de actividad integrados. Al mismo tiempo, monitoreamos los patrones de uso de la IA y marcamos comportamientos anómalos que puedan requerir intervención.
De la conciencia del riesgo a la confianza resiliente
La ciberseguridad hoy va más allá de bloquear ciberataques. Se trata de proteger la confianza en tus datos sensibles, tus flujos de trabajo y tu gente. Para los líderes de finanzas y operaciones, la confianza es la base de cada transacción, cada aprobación y cada dólar que se mueve.
En Emburse, no vemos la seguridad como una función aislada. Es parte de cómo diseñamos, desarrollamos y operamos Emburse Expense Intelligence: controles adaptativos, orquestación inteligente y rutas de decisión centradas en las personas, todo integrado desde el inicio.
A medida que la IA evoluciona y los ciberdelincuentes la usan de forma cada vez más creativa, nuestra mejor defensa ante estas amenazas emergentes es la vigilancia, el buen gobierno y el escepticismo. La conciencia es el primer paso. Lo que creemos a partir de ahora —y qué tan responsablemente lo hagamos— definirá el futuro de la confianza digital.
Agende una demostración personalizada y descubra lo que la gestión de viajes y gastos impulsada por IA puede significar para su organización.