En la actualidad, uno de los puntos a los que prestan más atención los directivos de las instituciones financieras en el mundo es la gestión de los riesgos no financieros y, en particular, la gestión de la ciberseguridad para la prevención de fraudes y ciberfraudes. Así lo evidenció el estudio desarrollado por PwC en el 2021, donde las consecuencias del cambio climático y las incidencias de ciberseguridad y fraudes cibernéticos concentraban los mayores puntos de atención para la gestión de los riesgos en las principales corporaciones del mundo.

Es así que, entre las opciones que permitan contar con capacidades propias o tercerizadas para protegernos de la amenaza creciente del cibercrimen, se encuentra en la inteligencia artificial (IA), una de las tecnologías con mayor potencial y enorme utilidad para un amplio abanico de sectores, que permita una efectiva prevención y detección de la amenaza mencionada.

En el sector financiero, por ejemplo, la IA se ha utilizado para prevenir fraudes financieros desde hace décadas. Sin embargo, las polémicas actuales respecto al uso no consentido de la información privada de las personas nos permiten reflexionar sobre las directrices que debe seguir su correcta implementación en las entidades financieras, de manera que, como ya lo incorporan las distintas regulaciones y las mejores prácticas internacionales, es necesario contar con una autorización expresa del cliente para incorporar, bajo un lineamiento ético, su información en este esquema de protección basado en el uso de IA.

Evolución histórica

Si bien la IA se originó en 1956, su difusión como herramienta para prevenir fraudes financieros empezó en la década de 1990. En aquel entonces, su inicio estuvo vinculado con el control del riesgo de crédito. En este campo, existe la figura del fraude en originación, entendido como la gestión u obtención de facilidades crediticias y sustentadas en documentación o información apócrifa.

En esa trayectoria y dentro de la evolución sostenida de la IA, hoy debemos resaltar su uso como una capacidad a la cual se recurre como parte de esta estrategia de prevenir el fraude financiero contra clientes y contra las mismas instituciones. Como ya se identificó, la aplicación de la IA proviene de varios años atrás, a través de diversas plataformas de gestión de riesgos, como las utilizadas por las marcas de tarjetas, medios de pago o empresas de seguridad digital como RSA o FICO.

En la actualidad, la IA generativa, desplegada a todo nivel, no solo se aprovecha para gestionar los riesgos, sino que también es utilizada por quienes generan los riesgos, es decir, los ciberdelincuentes. Estas personas, además, tienen a su favor la ausencia de una regulación con el alcance y las tipologías necesarias que permitan una lucha frontal, efectiva y transfronteriza contra estas organizaciones internacionales.

Potencial en el ámbito financiero

La aplicación de la IA en la prevención de fraudes financieros se enfoca en identificar el comportamiento y las anomalías transaccionales de los usuarios. Además, pueden adecuarse a las condiciones propias fijadas por cada institución, como el apetito y la tolerancia al riesgo. Estas variables y muchas otras más, muy vinculadas con cada transacción y tipo de negocio, son recogidas mediante plataformas de IA, en sus modelos y configuración.

En esa misma línea, la IA debe estar acompañada de ciertas condiciones tecnológicas para aprovechar su verdadero potencial. Me refiero a operar con big data, aprovechar la capacidad de los data analytics y operar con base en real time decisión. Asimismo, habría que considerar la captura de información vinculada con el comportamiento del cliente en la transacción y en el uso y características de los dispositivos, además de focalizar la captura de información en los puntos de riesgo y contar con talento especializado en la creación, calibración y mantenimiento de modelos. Además, es relevante contar con la infraestructura y arquitectura tecnológica que posibiliten el uso más óptimo de estas condiciones.

Privacidad de la información

Las herramientas basadas en IA tienen una aplicación tan amplia que requieren de lineamientos éticos para regular su funcionamiento. Estos se orientan a la construcción de conocimiento y de salvaguarda de los intereses, el patrimonio y la información de los clientes, tanto de los usuarios de las instituciones financieras como de las instituciones en sí. Los lineamientos éticos permiten contar con bloqueos por diseño ante requerimientos que vayan en contra y acciones que impacten en la salud y la confianza de los negocios, así como en los intereses de los usuarios.

En esa línea, podemos comprobar, en la práctica, que la IA de libre disposición muestra respuestas prediseñadas que no permiten a cualquier usuario generar condiciones ni crear códigos. También impide construir instrumentos que tengan por finalidad la instrucción en sistemas financieros, la creación de malware o algún otro tipo de ataque cibernético de los que pueden necesitar hoy la ciberdelincuencia.

Desde el frente de las empresas que usan la IA, el principal foco de atención y cuidado consiste en no ser invasivos respecto a la privacidad de sus usuarios. Deben tener especial cuidado en el manejo de los datos personales o financieros de sus clientes, sobre todo aquella información que hoy está protegida por ley. En ese sentido, es especialmente importante contar con un gobierno corporativo y políticas de ciberseguridad y de protección de datos personales que incluyan o tengan un alcance hacia aquellas iniciativas de IA empleadas en las entidades financieras. Lo mismo debe ocurrir con la regulación y la legislación que permiten a las personas contar con marcos que protejan su información y privacidad, además de cubrir los riesgos de la ciberdelincuencia.

En relación con lo antes indicado, se explicará el motivo por el cual las instituciones financieras destinan presupuestos especialmente diseñados para la investigación y el desarrollo y formación del talento.

Los primeros pasos

Las instituciones financieras son entidades dedicadas a la intermediación, cuya ganancia radica en el spread. En ese sentido, era importante contar con herramientas como la IA para desarrollar modelos de fraude y bajo un enfoque distinto. El objetivo fue realizar análisis crediticios más precisos de las personas que los solicitaban.

Una de las primeras contribuciones de la IA consistió en establecer variables que permitieron calcular el score crediticio, una puntuación que determina el nivel de riesgo de una persona que solicita algún tipo de crédito. A inicios de la siguiente década, esta tecnología contribuyó a la lucha contra el fraude transaccional o externo que sufrieron los clientes a través de ciberataques como el phishing y la ingeniería social.

Monitoreo del comportamiento

El fraude transaccional se previene mediante distintas plataformas que monitorean el comportamiento de las operaciones del cliente. A ello, se suma el análisis de elementos vinculados con el dispositivo, con la gestión de los riesgos no financieros como parte del manejo de riesgo operativo, para asegurar la continuidad operativa de las instituciones financieras.

Las plataformas basadas en IA cruzan distintas variables e información relacionada con los clientes para evaluar su comportamiento. Entre ellas, podemos mencionar la frecuencia con que realizan operaciones bancarias, los montos que suelen manejar, a través de qué dispositivos suelen conectarse, la ubicación de las transacciones, etc.

En ese sentido, si alguien que suele realizar operaciones a través de una aplicación móvil de repente empieza a usar los cajeros automáticos de manera constante, con montos superiores a lo habitual y en zonas geográficas muy distintas entre sí, podemos entender que su comportamiento es sospechoso. Esta situación ocurría mucho en épocas antiguas, cuando la clonación de tarjetas era más frecuente.

Situación actual

En la actualidad, el uso de la IA en la prevención de fraudes contempla las transacciones monetarias y no monetarias, lo que constituye un estándar importante. Asimismo, cada vez es más común encontrar bancos, financieras y otras entidades similares con laboratorios de investigación y desarrollo donde aplican la IA para aumentar la eficiencia de su gestión, mejorar la experiencia del cliente, aumentar sus ingresos y mejorar su posicionamiento.

Existen muchas aplicaciones, como Falcon o Biocatch, que se especializan en la prevención de fraudes financieros. Sin embargo, las plataformas de pago de las distintas marcas de tarjetas también cuentan con tecnologías como la IA. En estas empresas que brindan servicios globales y regionales, una fortaleza en su propuesta de prevención es que cuentan con modelos consorciados. Esta característica es vital, ya que los ataques hoy tienen un alcance global.

Uso ético de la IA

Para abordar las cuestiones éticas vinculadas con el uso de la IA, quiero centrarme en dos teorías: la deontológica y la utilitarista. La primera sostiene que cada acción debe ser guiada por el deber ser. Por ejemplo, debemos saber cómo contratar, ascender, promocionar y evaluar al personal. Para algunos, la aplicación de esta teoría sobre el uso de la IA puede significar sobrecostos, según como se lea.

La segunda teoría sostiene que la acción es neutra y su percepción como positiva o negativa dependerá de los resultados obtenidos. Si analizamos el uso de la IA bajo este enfoque, debemos tener cuidado, porque no solo puede ser percibida por las personas como una tecnología invasiva, sino que también puede prestarse a fines incorrectos, a partir de la información recabada.

Existen muchos documentales que abordan esta última problemática. Uno de ellos, por ejemplo, explora el uso de la IA en las redes sociales con el objetivo central de mantener la atención de los usuarios en la pantalla durante más tiempo. De allí que uno de los riesgos que representa es generar cierta condición de adicción o cambio sutil de comportamientos. También se aborda cómo se empleó esta tecnología para orientar los hábitos de las personas hacia un estilo de vida más saludable. Bajo esta condición, soportada en la tecnología persuasiva, se han reportado casos conocidos del uso de la IA para fines poco transparentes, además de existir ciertos antecedentes en el orden político internacional.

Pautas para un uso más ético

Para evitar problemas, es clave que la IA jamás vulnere los derechos de privacidad de las personas y que toda la información sobre su funcionamiento, alcance e impacto siempre esté disponible para cualquier persona que desee revisarla. También es necesario evitar el uso de contratos confusos y extensos que, entre líneas, soliciten al usuario ciertos datos personales para que pueda usar una aplicación basada en IA.

Durante mis conferencias, suelo mencionar que los contratos de este tipo no siempre son en documentos físicos, sino hay una amplia opción de formalización en canales virtuales, cuando descargamos una aplicación a nuestros móviles o computadoras, sin reparar en la necesidad de revisar los famosos términos y condiciones. Lo expuesto, sumado al conocido analfabetismo digital en ciberseguridad de un sector no menor de usuarios, constituye un cóctel perfecto para que la condición de riesgos se materialice en incidentes de ciberseguirdad o ciberfraude.

Capacitación constante

Para toda empresa, la incorporación de talento especializado es igual de retadora que mantenerlo capacitado. Es importante entender sus motivaciones, más allá del aspecto monetario. Si no cuenta con un entrenamiento constante, el temor de volverse menos competitivo puede motivar una fuga de profesionales hacia otras industrias o instituciones y de esta manera se reducirán las capacidades de la organización para mantener su liderazgo, la preferencia de los usuarios y su propia reputación.

La ética es un componente fundamental de esta formación. En las universidades, por ejemplo, las mallas curriculares ya incluyen asignaturas relacionadas a cuestiones éticas respecto al uso de la IA. En el ámbito global, hace poco observamos que el CEO de una de las empresas líderes en esta tecnología fue depuesto y, poco después, repuesto en su cargo. En pocas palabras, existe mucho debate respecto al rumbo que debe tomar su desarrollo.

Retos pendientes

La implementación de la IA como herramienta para prevenir fraudes financieros en la actualidad implica superar nueve desafíos puntuales.

1. Se necesita el compromiso de la alta dirección y mucha claridad respecto al significado de la IA, su aplicación y los objetivos tras su implementación.

2. Es necesario asignar a este proceso el presupuesto que corresponde. No debe percibirse como un gasto, sino como una inversión relacionada de forma directa con el objetivo, la misión y el propósito de la institución.

3. Es preciso contar con el talento especializado en todos los frentes necesarios, tanto para el desarrollo de este tipo de tecnologías como para su manejo eficiente.

4. Es necesario contar con información de calidad, pues ello determinará la capacidad de la IA para resolver los problemas de la organización.

5. Existen muchos tipos de herramientas basadas en IA, pero cada organización debe escoger la más adecuada según sus necesidades particulares.

6. Es necesario alinear los negocios, los canales, las operaciones, los proveedores y las líneas de producción con el uso de la herramienta basada en IA que se implementará.

7. Es importante trabajar de manera permanente con el Gobierno para gestionar los riesgos detectados por la IA.

8. Es vital invertir en capacitación y entrenamiento del personal que trabajará de manera constante con la IA.

9. Se requiere un trabajo integral respecto a la aplicación de la IA en el gobierno corporativo y en los procesos de prevención, detección, respuesta y recuperación.

Pautas finales

Si una empresa quiere implementar una herramienta basada en IA para prevenir fraudes financieros, debe ser consciente de que este proceso requerirá estrategias, recursos y habilidades distintas a todo lo que haya gestionado hasta el momento. Es necesario tener claro el significado de conceptos básicos como los algoritmos, el machine learning o el deep learning, sin mencionar que debe contar con el talento humano adecuado para usar esta tecnología, especializado en big data, automatización de procesos, etc.

Una pauta final que se debe tomar en cuenta es que las entidades financieras deben considerar la posibilidad de convertirse en semilleros donde los economistas, los estadísticos y otros tipos de profesionales puedan adquirir conocimientos y experiencia en la prevención de fraudes financieros mediante el uso de la IA y otras tecnologías en desarrollo. ¿Cuál es tu percepción sobre el uso de la IA en este campo? Déjanos tu opinión.

Si quieres aprender más sobre el tema, te invitamos a participar de la Maestría en Gestión de la Ciberseguridad y Privacidad de ESAN.