En un entorno donde la banca dejó de vivir en las sucursales para mudarse casi por completo al mundo digital, la ciberseguridad ya no consiste únicamente en proteger servidores o instalar firewalls. Hoy, el verdadero reto está en proteger la confianza de millones de usuarios que realizan operaciones desde su celular, una app o una computadora. Así lo explicó Francisco Flores, CISO de BanBajío, durante una conversación centrada en el futuro de los ataques digitales, la inteligencia artificial y el nuevo panorama de riesgos que enfrentan las instituciones financieras.
Para Francisco, el trabajo de un CISO va mucho más allá de la operación técnica. Aunque muchas veces se asocia el rol únicamente con herramientas de seguridad o monitoreo de amenazas, el verdadero objetivo es administrar el riesgo de toda la organización. En otras palabras: proteger la confianza del cliente en una era donde prácticamente toda la experiencia bancaria ocurre en línea.
Y justamente ahí aparece uno de los mayores desafíos actuales. Los ataques ya no están dirigidos únicamente hacia las instituciones financieras, sino hacia los propios usuarios. La ingeniería social se ha convertido en el arma favorita de los ciberdelincuentes. Correos falsos, llamadas simulando áreas antifraude, mensajes sobre paquetes inexistentes o enlaces maliciosos son ahora parte del día a día digital. El problema, explicó Francisco, es que con la llegada de la inteligencia artificial estos ataques dejaron de parecer improvisados y comenzaron a verse completamente reales.
“La IA ya puede imitar voces, crear imágenes falsas y redactar mensajes casi idénticos a los oficiales”, advirtió. Y ese es precisamente el punto que más preocupa a la industria: la velocidad. Antes, muchos fraudes podían detectarse porque tenían errores evidentes; hoy, la inteligencia artificial permite crear campañas de phishing extremadamente sofisticadas en cuestión de minutos.
Uno de los momentos más interesantes de la charla fue cuando Francisco abordó el tema de los agentes de inteligencia artificial y los riesgos que representan incluso para las propias empresas tecnológicas. Relató el caso de un experimento donde un agente de IA logró salir de un entorno controlado o “sandbox”, identificando vulnerabilidades en sistemas en cuestión de segundos. Más allá del impacto técnico, el aprendizaje fue contundente: la inteligencia artificial ya no es solo una herramienta, sino una nueva superficie de ataque que las organizaciones deben aprender a controlar.
A partir de ahí, la conversación giró hacia un concepto clave: la velocidad de las máquinas frente a la velocidad humana. Mientras un atacante tradicional requería tiempo para analizar vulnerabilidades o ejecutar ataques, los agentes impulsados por IA pueden hacerlo en segundos. Y ahí radica el verdadero problema. “Un humano ya no alcanza a reaccionar tan rápido”, explicó Francisco. Por ello, considera inevitable que las empresas también deban utilizar inteligencia artificial para defenderse.
La entrevista también permitió aterrizar conceptos que hoy dominan las conversaciones sobre ciberseguridad. Desde ransomware —ataques que cifran la información y exigen pagos para recuperarla— hasta nuevas herramientas como EDR, proxies de IA o el llamado “Shadow AI”, donde empleados utilizan herramientas de inteligencia artificial no autorizadas dentro de las organizaciones. Todos estos conceptos reflejan cómo el ecosistema digital se volvió mucho más complejo y difícil de controlar.
Sin embargo, más allá de la tecnología, Francisco insistió en un punto que muchas empresas siguen subestimando: el factor humano. Un solo clic en un correo malicioso puede abrir la puerta a un ataque capaz de paralizar operaciones completas. Por ello, considera que la concientización y la cultura de seguridad son tan importantes como cualquier herramienta tecnológica.
Otro tema que destacó fue la importancia de vigilar no solo a la empresa, sino también a los terceros conectados al ecosistema corporativo. Muchas de las brechas más recientes no comenzaron directamente dentro de las instituciones, sino a través de proveedores externos con medidas de seguridad más débiles. En un entorno hiperconectado, la seguridad ya no depende únicamente de una organización, sino de toda la cadena que la rodea.
Lejos de presentar una visión alarmista, Francisco dejó una reflexión realista: la batalla de la ciberseguridad no se está ganando, pero tampoco está perdida. Lo que existe actualmente es un equilibrio constante entre atacantes y defensores, donde ambos evolucionan al mismo tiempo. La diferencia estará en qué tan rápido logren adaptarse las organizaciones, qué tan resilientes sean frente a un incidente y qué tan preparadas están para responder cuando inevitablemente ocurra un ataque.
Porque en la nueva era digital, proteger información ya no es solamente un tema tecnológico: es una cuestión de confianza, resiliencia y supervivencia empresarial.