Vishing y la Responsabilidad de los Bancos: El Desafío de la Ciberseguridad en la Era de la IA

El vishing (phishing por voz) es una técnica de fraude en la que los hackers utilizan inteligencia artificial (IA) para clonar voces y engañar a sus víctimas a través de llamadas telefónicas. Este ataque se realiza mediante el uso de voicebots automatizados, que imitan casi a la perfección la voz de una persona, como la de un empleado de un banco. Estas herramientas, alimentadas por prompts específicos, hacen que las llamadas parezcan humanas cuando en realidad son completamente autónomas.

El creciente uso de IA en ciberataques supone un gran desafío para los bancos, ya que, si no disponen de sistemas de detección de voces clonadas, están expuestos a graves riesgos. En España, la legislación actual, incluyendo el Real Decreto-Ley 19/2018, destaca la obligación de los bancos de implementar sistemas de ciberseguridad avanzados para prevenir fraudes como el vishing.

¿Son los Bancos Responsables por el Vishing?

La jurisprudencia reciente deja clara la responsabilidad objetiva de los bancos en fraudes informáticos, como el phishing y el vishing. Esto significa que las entidades bancarias deben implementar tecnologías antiphishing y antivishing, así como realizar análisis de riesgos en tiempo real para identificar operaciones sospechosas.

En caso de no disponer de dichas medidas, los bancos están obligados a restituir los fondos sustraídos a los clientes, a menos que el usuario haya actuado de manera negligente. No obstante, los sistemas tradicionales como la autenticación de doble factor (2FA) o las claves NFC se están quedando obsoletos frente a los avances en deepfakes y otras técnicas impulsadas por IA. Por ello, los bancos deben actualizar sus protocolos de seguridad para evitar sanciones y fraudes masivos.