La ciberseguridad bancaria se ha convertido en uno de los grandes desafíos del actual entorno digital. Ese fue el eje del Diálogo Directivo de APD entre Pilar Vila, CEO de Forensic & Security, y Alejandro Figueroa, responsable de Prevención del Delito Financiero de BBVA en España, en una conversación centrada en la evolución del fraude, la sofisticación de los ciberdelitos y el papel que desempeñan la tecnología, la identidad digital y la confianza en la protección del cliente.
Desde el inicio, Vila situó el debate en un punto clave: hoy los bancos ya no pueden entenderse sólo como entidades financieras tradicionales, sino como organizaciones profundamente tecnológicas, con millones de transacciones, múltiples canales digitales y una exposición creciente al fraude y a la ciberestafa. A partir de esa reflexión, Figueroa dibujó un mapa muy claro de cómo ha cambiado el riesgo en el sector: no solo se ha desplazado fuera de la oficina bancaria, sino que se ha multiplicado en volumen, complejidad y velocidad.
Una de las ideas más relevantes del diálogo fue que el proceso de digitalización ha transformado por completo el perímetro de riesgo de la banca. El responsable de Prevención del Delito Financiero de BBVA en España explicó que, si antes buena parte de la gestión del fraude estaba vinculada a la oficina física y a la identificación presencial del cliente, hoy el banco opera en un ecosistema mucho más abierto: aplicaciones, webs, APIs, integraciones con terceros y servicios digitales distribuidos en múltiples entornos.
Ese cambio obliga a revisar no solo dónde está el riesgo, sino también cómo se gestiona. Ya no basta con procedimientos tradicionales o con controles diseñados para un entorno físico. El foco se desplaza ahora hacia la identidad digital, la seguridad del dispositivo, la autenticación, el comportamiento del cliente y la capacidad de detectar anomalías en tiempo real.
La CEO de Forensic & Security reforzó esa idea con una mirada muy pegada a la operativa real: si una entidad como BBVA, especialmente avanzada en tecnología e innovación, está expuesta a este nuevo escenario, la gestión del riesgo ya no puede abordarse solo desde una lógica financiera, sino desde una lógica integral en la que tecnología, ciberseguridad, fraude y experiencia de cliente están completamente conectados.
Diálogo Forensic & Security y BBVA
This is «Diálogo Forensic & Security y BBVA» by DigitalAPD on Vimeo, the home for high quality videos and the people who love them.
La conversación dedicó una parte central al impacto de la Inteligencia Artificial. Vila señaló dos cuestiones esenciales: por un lado, el uso de IA por parte de los equipos defensivos para agilizar análisis y respuesta; por otro, el uso de esa misma tecnología por parte de los atacantes para amplificar el fraude.
Figueroa explicó que en BBVA la Inteligencia Artificial permite enriquecer enormemente la monitorización y el perfilado del cliente. Frente a modelos antiguos, más basados en reglas fijas, hoy se puede trabajar con patrones de comportamiento mucho más precisos, reduciendo falsos positivos y ajustando mejor la respuesta ante una anomalía. No se trata solo de decidir si una operación se bloquea o no, sino de entender si encaja o no con la biometría comportamental del cliente, el dispositivo desde el que opera o su contexto habitual.
Pero, al mismo tiempo, advirtió de que los delincuentes también están utilizando IA para escalar ataques, perfeccionar campañas y hacer mucho más creíbles sus intentos de engaño. Deepfakes, suplantaciones en videollamada, mensajes personalizados o comunicaciones que imitan con enorme precisión el tono y la imagen de una entidad financiera forman ya parte de ese nuevo escenario.
La conclusión compartida fue clara: la Inteligencia Artificial no sustituye al criterio humano, pero sí obliga a elevar el nivel de supervisión, gobierno y control, porque acelera tanto las capacidades defensivas como las ofensivas.
Otro de los conceptos que atravesó toda la conversación fue el de la confianza. El responsable de Prevención del Delito Financiero de BBVA en España subrayó que, en servicios digitales, la confianza es un activo crítico: cuando una entidad no gestiona adecuadamente sus riesgos, no solo se expone a pérdidas operativas o reputacionales, sino a una erosión directa de la relación con el cliente.
En este punto, la reflexión de Pilar Vila fue especialmente interesante, porque conectó la confianza no solo con el usuario final, sino también con la gobernanza interna y con la relación con terceros. En un entorno en el que muchas capacidades se externalizan o se desarrollan de forma conjunta con proveedores especializados, la confianza deja de ser una cuestión abstracta y pasa a depender de acuerdos claros, modelos bien conectados y responsabilidades bien delimitadas.
Al abordar el papel de los proveedores externos en el campo de la ciberseguridad bancaria, la CEO de Forensic & Security llevó la conversación a un terreno muy concreto: cómo debe organizarse la defensa entre equipos internos y externos, y qué valor aporta cada modelo.
La respuesta de Figueroa fue muy clara: los enfoques puramente internos o puramente externalizados resultan hoy menos eficaces que los modelos híbridos. Pero no basta con tener dos equipos; lo decisivo es que estén bien conectados. Para él, el gran valor de esa fórmula está en combinar el conocimiento del negocio, del cliente y del contexto operativo con la especialización, la escala y la capacidad de observación que puede aportar un proveedor externo que trabaja sobre múltiples geografías, amenazas y compañías.
Ahí la aportación de Vila encajó muy bien con la de BBVA: la gobernanza entre equipos, la claridad en la definición de funciones y la conexión entre servicio técnico y contexto de negocio son elementos esenciales para que la respuesta al fraude no pierda calidad ni criterio.
El gran valor de esa los modelos híbridos está en combinar el conocimiento del negocio, del cliente y del contexto operativo con la especialización, la escala y la capacidad de observación
Si hubo un bloque especialmente revelador fue el dedicado a la ingeniería social. El directivo de BBVA defendió que la sofisticación actual del fraude no se explica solo por la tecnología, sino por la combinación entre tecnología, personalización y conocimiento profundo del comportamiento del cliente.
Los atacantes ya no solo dominan herramientas; entienden cómo funcionan los productos bancarios, cómo reaccionan las personas ante una situación de urgencia y qué tipo de narrativa resulta más eficaz para provocar una acción precipitada. Ese conocimiento, explicó, les permite construir ataques mucho más afinados y emocionalmente efectivos.
Pilar Vila introdujo aquí ejemplos muy concretos desde la experiencia de Forensic & Security, como las estafas amorosas, las suplantaciones de facturas o los cambios fraudulentos de cuentas bancarias. Su reflexión apuntó a un problema de fondo: la cultura de ciberseguridad sigue siendo insuficiente en muchos entornos, y eso deja espacio para ataques muy básicos que, sin embargo, continúan funcionando.
Figueroa coincidió plenamente y añadió que, en el ámbito empresarial, el control interno sigue siendo fundamental. Validaciones adicionales, procesos claros y verificaciones fuera de canal siguen siendo medidas muy eficaces frente a fraudes como el business email compromise o el fraude del CEO.
Otro de los puntos destacados en materia de ciberseguridad bancaria fue la necesidad de reforzar la concienciación del cliente. Vila subrayó el esfuerzo que realiza BBVA con campañas de aviso y mensajes constantes dentro de la app, y el responsable de Prevención del Delito Financiero explicó que esa pedagogía debe evolucionar hacia formatos más directos, comprensibles y pegados a la realidad del fraude actual.
En esa línea, mencionó medidas como el uso de mensajería enriquecida con capas de autenticación adicionales o el paso a mecanismos de firma más robustos, más allá del SMS. Todo ello enlaza con uno de los desafíos más relevantes del presente: la identidad digital.
El onboarding de nuevos clientes, la validación de dispositivos, la geolocalización, el uso de proveedores de internet de riesgo o la trazabilidad del comportamiento previo del terminal son hoy variables decisivas para saber si una interacción es legítima o no. Y ahí, de nuevo, la analítica avanzada y el machine learning resultan imprescindibles.
En el tramo final, el diálogo se desplazó hacia el futuro en lo que a ciberseguridad bancaria se refiere. La CEO de Forensic & Security introdujo cuestiones ligadas al desarrollo seguro, la normativa y la cadena de suministro, mientras que Alejandro Figueroa defendió una idea de fondo muy potente: la seguridad ya no puede entenderse como una capa posterior ni como una exigencia de cumplimiento, sino como una apuesta estratégica.
A su juicio, el gran reto está en incorporar la seguridad desde el diseño del producto, del canal y del servicio. Es decir, identificar los riesgos desde el momento mismo en que se conceptualiza una nueva funcionalidad y no cuando ya está desplegada. Esa visión conecta con el impacto regulatorio, con marcos como DORA y con la necesidad de monitorizar de forma continua a proveedores, soluciones y dependencias críticas.
La conversación cerró así con una coincidencia clara entre Forensic & Security y BBVA: en un ecosistema digital cada vez más abierto, automatizado y expuesto, la ciberseguridad bancaria sólo puede abordarse desde una lógica transversal. Tecnología, negocio, cliente, proveedores, regulación, cultura y respuesta operativa forman parte del mismo sistema. Y en ese sistema, anticiparse ya no es una ventaja competitiva: es una condición para seguir siendo confiables.
