La inteligencia artificial está cambiando la forma en que se gestiona el riesgo en el sistema financiero. Ya no se trata solo de eficiencia, sino de decisiones automatizadas que pueden escalar su impacto. Erik Moreno, director de Ciberseguridad en Indra Group en México, explora por qué la gobernanza de la IA se está convirtiendo en un eje crítico para las organizaciones
Publicado en Ciudad de México
La inteligencia artificial ha dejado de ser una herramienta experimental para convertirse en un componente estructural en la operación del sistema financiero. Hoy interviene en procesos como la originación crediticia, la detección de fraudes, el monitoreo de cumplimiento y el análisis predictivo, lo que está transformando no solo la eficiencia operativa, sino también la naturaleza del riesgo.
De acuerdo con Erik Moreno, director de Ciberseguridad en Indra Group en México, el cambio más relevante no radica únicamente en la automatización de procesos, sino en la automatización de decisiones, lo que obliga a replantear los modelos tradicionales de gestión de riesgo en las instituciones financieras.
"La inteligencia artificial ya no es solo una herramienta auxiliar; en muchos casos influye directamente en decisiones con impacto financiero y reputacional", señala.
Este cambio plantea un desafío clave para los Consejos de Administración: incorporar la gobernanza de la inteligencia artificial con el mismo rigor con el que históricamente se han gestionado el capital, el riesgo financiero y el cumplimiento regulatorio.
Redefinir el apetito de riesgo Uno de los principales retos es la redefinición del apetito de riesgo. La adopción de IA introduce nuevas variables, como el nivel de autonomía de los modelos, los márgenes de error aceptables en decisiones automatizadas, el impacto reputacional ante fallas algorítmicas y la dependencia de proveedores tecnológicos.
A diferencia de los errores humanos, que suelen ser acotados, los errores algorítmicos pueden escalar rápidamente debido a la velocidad y volumen de operación. Esto incrementa el potencial de impacto en el negocio y exige nuevos mecanismos de control.
Gobernanza y ciberseguridad: una arquitectura inseparable En este contexto, la gobernanza de IA y la ciberseguridad se vuelven inseparables. Mientras la gobernanza define los límites de actuación de los sistemas, la ciberseguridad garantiza la integridad de los datos, los modelos y las decisiones que estos generan.
"La integridad del dato es crítica: si el dato se compromete, la decisión también", advierte Moreno.
La incorporación de inteligencia artificial también amplía la superficie de riesgo. Entre las principales amenazas destacan la manipulación de modelos, incluyendo técnicas como la inyección de prompts, la alteración de datos, vulnerabilidades en la cadena de suministro digital y la exposición de información sensible.
A ello se suma la creciente dependencia de proveedores tecnológicos externos, que introduce nuevos vectores de exposición, desde fallos en APIs hasta riesgos en la cadena de suministro. Asimismo, el uso no autorizado de herramientas de inteligencia artificial por parte de empleados (Shadow AI) añade una capa adicional de complejidad para las organizaciones.
Un entorno regulatorio en evolución A nivel internacional, los marcos regulatorios comienzan a consolidarse. La Unión Europea ha avanzado con el AI Act bajo un enfoque basado en riesgos, mientras que en Estados Unidos el NIST AI Risk Management Framework establece lineamientos estructurados. Asimismo, estándares como ISO 42001 buscan formalizar sistemas de gestión de inteligencia artificial.
Estos desarrollos anticipan un entorno de mayor supervisión global, particularmente en sectores altamente regulados como el financiero.
En este contexto, expertos coinciden en que adoptar inteligencia artificial sin un modelo claro de gobernanza implica una gestión reactiva ante incidentes. Por el contrario, integrar límites definidos, supervisión continua y criterios explícitos de responsabilidad permite avanzar hacia un uso estratégico y controlado de la tecnología.
"La discusión no es tecnológica, sino de gobierno corporativo. Se trata de decidir qué riesgos están las empresas dispuestas a automatizar y bajo qué controles", concluye Moreno.
Acerca de Indra Group Indra Group es la multinacional de referencia y una de las principales compañías de América Latina y Europa de defensa y tecnologías avanzadas. Tiene una posición de liderazgo en los negocios de defensa, espacio, gestión del tráfico aéreo, movilidad y tecnologías disruptivas, a través de Minsait, e integra en IndraMind sus capacidades de IA soberana, ciberseguridad y ciberdefensa.
Desde 1997, impulsa un futuro más seguro y conectado en México a través de soluciones innovadoras, relaciones de confianza y el mejor talento en sectores estratégicos como servicios financieros, industria y consumo, energía, telecomunicaciones, movilidad y ciberseguridad, entre otros. Además, en el país su tecnología habilita la interacción diaria de más de 30 millones de personas en plataformas financieras y de seguros; en Industria y Consumo, optimiza la cadena de suministro y la eficiencia operativa de más de 7,000 tiendas y 92,000 puntos de venta. Además participa en el transporte de más de 78 millones de personas, opera en más del 90 % de la infraestructura carretera concesionada del país.
Desde su Cyber Defense Center, protege más de 300 plantas industriales en cinco continentes y ofrece una propuesta integral de ciberseguridad alineada con el NIST Cybersecurity Framework, con foco en entornos OT y soluciones basadas en inteligencia artificial. A cierre del ejercicio 2024, Indra Group tuvo unos ingresos de 4.843 millones de euros, presencia local en 46 países y operaciones comerciales en más de 140 países.