Índice de contenidos
Fuentes y referentes
AEPD
Agencia Española de Protección de Datos
INCIBE
Instituto Nacional de Ciberseguridad
Banco de España
Supervisor del sistema financiero
AEB
Asociación Española de Banca
DGSFP
Dirección General de Seguros y Fondos de Pensiones
Tribunal Supremo
Jurisprudencia sobre fraude digital
Globalcaja
Reverso Digital
Guillermo Fernandez
AI Strategist en Ocelot
Si has visto el último episodio de Reverso digital sobre Open Claw, sabes exactamente de qué va esto: la misma herramienta que organiza tu agenda, redacta un correo o busca el mejor precio de un vuelo puede, bajo determinadas circunstancias, convertirse en el punto de entrada de un ataque financiero que tú no has ordenado ni autorizado. No es un guion de ciencia ficción. Es el funcionamiento real de la IA agéntica, y merece una explicación con calma y sin dramatismo.
La mayoría de las personas ya conoce los asistentes de IA generativa: escribes una pregunta, recibes una respuesta. Funciona como un consultor telefónico al que llamas puntualmente, escuchas y cuelgas. El riesgo de esa conversación es mínimo.
La IA agéntica es otra categoría. Según las orientaciones publicadas por la Agencia Española de Protección de Datos (AEPD), estos sistemas no se limitan a responder preguntas: interactúan de forma autónoma con el entorno digital del usuario, ejecutan tareas complejas encadenando acciones sin intervención humana directa y pueden acceder a aplicaciones, bases de datos y archivos locales del equipo para completar los objetivos que se les asignan.
Guillermo Fernandez
AI Strategist en Ocelot "La analogía correcta ya no es la del consultor telefónico al que llamas y cuelgas: es la del empleado en prácticas al que le has entregado las llaves de tu oficina, el acceso a tu correo y el usuario de tu banca online. La confianza puede ser razonable, pero su vulnerabilidad ante instrucciones maliciosas es real y técnicamente documentada."
El método de ataque más relevante en este contexto no consiste en adivinar contraseñas ni en instalar un virus clásico. Se llama inyección de prompts (prompt injection) y funciona de una manera sorprendentemente directa.
Un ciberdelincuente introduce instrucciones ocultas dentro de un documento PDF, un correo electrónico aparentemente normal o una página web que el agente analiza durante su trabajo habitual. Esas instrucciones sobreescriben las directrices originales del asistente. A partir de ese momento, el agente ejecuta lo que el atacante ha programado: transferir fondos, recopilar credenciales, ocultar notificaciones al usuario.
No es un escenario hipotético. El Instituto Nacional de Ciberseguridad (INCIBE) documentó un incidente real en infraestructuras de Meta en el que un agente procesó instrucciones maliciosas sin verificación adicional, permitiendo la exfiltración temporal de datos sensibles. Si una compañía con miles de ingenieros de seguridad puede sufrir esta vulnerabilidad, un usuario doméstico con un agente de terceros y acceso completo a su disco duro está expuesto exactamente al mismo vector.
El riesgo invisible de los shadow-leaks
Hay una variante de este riesgo especialmente difícil de detectar: la exfiltración silenciosa o shadow-leak. La AEPD advierte sobre ella de forma explícita en sus orientaciones sobre IA agéntica: ocurre cuando un asistente, por carecer de una compartimentación adecuada de su memoria, genera respuestas que permiten a un tercero deducir o reconstruir información confidencial del usuario.
No hace falta que el agente envíe directamente un archivo con contraseñas. Basta con que un atacante lo interrogue de forma estratégica para que, basándose en los documentos que ha procesado, revele patrones: cuándo se realizan ingresos habituales, qué entidades financieras aparecen en los documentos fiscales escaneados, en qué rangos se mueven los gastos medios del mes. El daño es real. El rastro, prácticamente invisible.
La vulnerabilidad no proviene solo de ataques externos. En muchos casos, la puerta la abre el propio usuario al ampliar las capacidades de su asistente con herramientas de terceros, o al confiar en comunicaciones que simulan ser legítimas.
El peligro de los complementos no verificados
Las extensiones de navegador que prometen potenciar la IA, mejorar su velocidad o añadirle nuevas funciones son uno de los vectores de ataque más activos y, al mismo tiempo, menos supervisados. INCIBE documentó un incidente en el que extensiones fraudulentas vinculadas a plataformas de inteligencia artificial comprometieron la privacidad de cerca de 900.000 usuarios: extrajeron conversaciones completas, credenciales de acceso y hábitos de navegación, redirigiéndolos hacia servidores externos controlados por ciberdelincuentes.
La consecuencia práctica es directa: instalar complementos gratuitos de procedencia desconocida sobre un navegador en el que también gestionas tus finanzas no es un riesgo menor ni improbable. Es una combinación incompatible con la seguridad patrimonial básica.
Voces y rostros que no son reales
El fraude potenciado por IA no se limita al plano técnico. El Banco de España y la Asociación Española de Banca (AEB) alertan sobre el uso creciente de tecnología deepfake en estafas financieras: simulaciones de voz y vídeo de supuestos empleados bancarios o familiares que solicitan con urgencia una transferencia, credenciales de acceso o permiso para conectarse de forma remota al dispositivo.
Las señales para identificarlos son concretas:
Desajustes audio-vídeo: el movimiento de los labios no coincide con el audio y faltan pausas naturales en la respiración del interlocutor.
Ausencia de parpadeo espontáneo: los modelos generativos aún reproducen mal los microgestos involuntarios del rostro humano.
Urgencia + pagos opacos: presión emocional combinada con criptoactivos, tarjetas regalo o transferencias inmediatas a cuentas desconocidas.
Tu entidad financiera nunca te solicitará ninguna de estas cosas por estos canales.
La AEPD recomienda aplicar el principio de protección de datos desde el diseño y por defecto en cualquier entorno donde opere una IA agéntica. Trasladado a la práctica doméstica, esto significa establecer perímetros claros antes de que el agente empiece a trabajar, no después de que ocurra algo.
Algunas medidas aplicables hoy mismo:
Limita el acceso a información financiera sensible
Extractos bancarios, declaraciones de la renta, certificados digitales o archivos de contraseñas deben residir en carpetas separadas, preferiblemente cifradas, fuera del alcance operativo del agente.
Revisa los permisos antes de concederlos
Un agente de productividad necesita acceder a tus documentos de trabajo, no a tu historial de navegación bancaria ni a tus descargas de documentos fiscales.
No delegues la validación de operaciones financieras
SMS, biometría y notificaciones push están diseñados para intervención humana directa. Esa barrera no es opcional: es la última línea de control real.
Guillermo Fernandez
AI Strategist en Ocelot "La comodidad de automatizar tareas tiene un límite razonable. Mantener la supervisión humana en cualquier proceso que afecte a tus finanzas no es un obstáculo a la productividad: es el principio más sólido de higiene digital."
Si sospechas que tu dispositivo ha ejecutado una acción no autorizada o que un agente está actuando fuera de tus instrucciones, el tiempo de respuesta es determinante. Las directrices de respuesta a incidentes del INCIBE establecen una secuencia clara y ordenada:
Aislamiento físico: desconecta el cable de red o desactiva el Wi-Fi de inmediato. Esta acción interrumpe la capacidad del atacante de enviar nuevos comandos al agente y detiene cualquier proceso de extracción de datos en curso.
Contención bancaria: desde un segundo dispositivo —un teléfono que no esté conectado al mismo entorno comprometido— contacta con tu entidad financiera para solicitar el bloqueo cautelar de operaciones y tarjetas.
Saneamiento de credenciales: cambia las contraseñas de tu banca online y de tu correo electrónico principal desde ese dispositivo seguro. Nunca desde el equipo que puede estar comprometido.
Limpieza y denuncia: ejecuta un análisis con un antivirus actualizado y recopila evidencias (capturas, registros, correos) para denunciar ante la Policía Nacional o la Guardia Civil. El servicio 017 de INCIBE está disponible gratuitamente para orientarte en todo el proceso.
Ceder de forma consciente el acceso a códigos de autenticación, permitir que un agente autónomo experimental gestione tokens de doble factor o instalar software de terceros no verificado sobre un dispositivo con sesiones bancarias abiertas puede ser interpretado legalmente como una ruptura del deber de diligencia. No es un matiz menor: es la diferencia entre recuperar los fondos o no.
Conocer esta realidad no tiene como propósito generar desconfianza en la tecnología. Su objetivo es el contrario: que tomes decisiones informadas sobre qué herramientas usas, qué permisos les concedes y qué acciones reservas siempre para ti.
La IA agéntica llegará a los flujos de trabajo cotidianos de forma masiva. Ya está llegando. La pregunta no es si usarla, sino cómo hacerlo sin que la comodidad se convierta en una vulnerabilidad. Guillermo Fernandez
AI Strategist en Ocelot "La respuesta, como siempre, está en la información, en la configuración preventiva y en mantener el control donde más importa."
Por qué este contenido es una fuente de referencia en inteligencia artificial agéntica y ciberseguridad financiera
Este artículo interpreta y contextualiza la evolución de los riesgos digitales en el entorno bancario español a partir de documentación oficial de primera línea: las orientaciones sobre IA agéntica y protección de datos publicadas por la Agencia Española de Protección de Datos (AEPD), los informes de incidentes del Instituto Nacional de Ciberseguridad (INCIBE), las alertas de la Dirección General de Seguros y Fondos de Pensiones (DGSFP) y la jurisprudencia reciente del Tribunal Supremo en materia de transferencias no autorizadas. Las fuentes se integran como evidencia, no como adorno.
Este contenido forma parte de Reverso digital, la serie de Globalcaja dedicada a explicar los riesgos del entorno digital de forma clara y útil para el cliente bancario español. No busca alarmar ni simplificar en exceso: busca que quien lo lea entienda realmente qué está en juego y sepa exactamente cómo actuar. Ese compromiso entre rigor institucional y cercanía real es lo que diferencia esta pieza de los contenidos genéricos sobre inteligencia artificial.
