¿Cómo integran la ciberseguridad 7 empresas en la Argentina en sus estrategias de inteligencia artificial?

En el mundo digital se está produciendo una transformación silenciosa pero tan profunda como la irrupción del comercio electrónico a fines de la década del 90: por primera vez, millones de personas interactúan de forma cotidiana con sistemas de inteligencia artificial (IA) que deciden, filtran, autorizan o bloquean operaciones críticas sin que el usuario siempre lo note.

La relación entre ciberseguridad, IA y experiencia de usuario dejó de ser un tema técnico para convertirse en un tablero estratégico donde se juega la confianza, la lealtad y, en última instancia, la supervivencia de las marcas.

En este contexto, la tesis que emerge de las visiones de responsables informáticos de siete empresas que operan en la Argentina es contundente: la IA no puede ser un parche ni una "capa" agregada al final, sino un habilitador estratégico incrustado en toda la cadena de valor, desde los datos y los modelos hasta la inferencia y las decisiones.

iProfesional consultó acerca de esta transformación a ejecutivos de las siguientes compañías:

• Baufest: Empresa internacional de origen argentino dedicada al desarrollo de productos digitales y servicios de software que integra tecnología con un enfoque centrado en las personas.
• Modo: Billetera digital de los principales bancos de la Argentina que permite realizar pagos con QR, enviar y recibir dinero entre contactos de forma directa y gestionar cuentas bancarias en un solo lugar.
• LUC: Plataforma integral que utiliza inteligencia artificial para agilizar el análisis crediticio y la gestión de préstamos destinados a micro, pequeñas y medianas empresas.
• Grupo San Cristóbal: conglomerado asegurador y financiero con sede en la ciudad santafesina de Rosario, que ofrece productos y servicios de protección y ahorro para individuos y empresas.
• Supervielle: Entidad financiera privada que brinda servicios bancarios integrales, destacándose por su proceso de transformación digital y su enfoque en herramientas de inversión.
• SIISA: Empresa argentina especializada en servicios de información crediticia y análisis de riesgo, que provee herramientas de bases de datos para optimizar la toma de decisiones en el sector comercial.
• Schneider Electric: Multinacional de origen francés con fuerte presencia local que provee herramientas tecnológicas en distribución eléctrica, gestión de energía y automatización industrial para diversos sectores.

"La tecnología dejó de ser un área de soporte para transformarse en un acelerador estratégico que modela productos, experiencias y decisiones comerciales", resumió Esteban Gabriel, director de seguridad de la información de Modo, sintetizando un cambio cultural que redefine el rol de los equipos de ciberseguridad y de experiencia de cliente.

Métricas de confianza: del tiempo de respuesta al "tiempo hasta la confianza"

Durante muchos años, el éxito de una herramienta digital se midió casi exclusivamente en eficiencia: menos tiempo, menos costos, más automatización. Hoy, para los referentes consultados, ese paradigma quedó corto: el nuevo termómetro se llama "confianza sostenida" y se construye con métricas que combinan satisfacción, recurrencia, reducción de fricción y percepción de seguridad en momentos sensibles.

Desde Baufest, Matías Szmulewiez, jefe de práctica de ciberseguridad de esta compañía, propuso tres ejes para leer ese nuevo tablero: la confianza explícita, la confianza implícita y una métrica emergente, el "tiempo hasta la confianza" ("Time to Trust").

La confianza explícita se observa en el porcentaje de usuarios que aceptan proactivamente usar funciones impulsadas por inteligencia artificial–asistentes, recomendaciones, automatizaciones–: cuando ese consentimiento crece, no es casualidad, es señal de confianza en cómo la empresa usa y protege los datos.

La confianza implícita se revela en el comportamiento: que los usuarios prefieran volver al canal asistido por IA frente al tradicional, o que baje el abandono en procesos críticos como incorporación, recuperación de cuentas o pagos digitales.

En palabras de Szmulewiez, "La IA debe reducir fricción sin comprometer seguridad. Si estos procesos tienen menos abandono cuando interviene IA, significa que realmente está fortaleciendo la confianza en momentos sensibles".

El "tiempo hasta la confianza" mide cuántas interacciones necesita un usuario antes de elegir el canal automatizado por decisión propia. Cuanto menor es ese tiempo, más rápida es la adopción y mayor la confianza en la experiencia asistida por IA, un indicador clave para entender si el cliente está dispuesto a delegar tareas relevantes en el sistema.

En Modo, el termómetro se apoya en la escala: más de 7 millones de usuarios activos mensuales funcionan como un indicador masivo de transacciones seguras y sin fricción. La adopción sostenida de la billetera digital, integrada a las aplicaciones bancarias, es leída como prueba de que la IA, "bien aplicada, es una gran aliada para que las personas realicen transacciones seguras, sin percibir fricciones, para que nos sigan eligiendo en su vida cotidiana", dijo Gabriel. Allí, la confianza se refleja tanto en el uso reiterado como en la naturalidad con la que el usuario convive con mecanismos de protección que no entorpecen el flujo.

En LUC, la métrica estrella es la tasa de aciertos de la inteligencia artificial en la lectura de balances y su traducción de PDF a datos estructurados, un proceso crítico para decisiones financieras. Pablo Castellano, cofundador y director de tecnología de LUC, explicó que esta compañía permite que el usuario revise y corrija los resultados, lo que habilita una lectura fina de la tasa de aciertos, fallas y reajustes realizados por humanos.

Cuando la tasa de aciertos es alta, los usuarios comienzan a intervenir menos y a confiar más en el proceso automatizado, delegando una parte cada vez mayor del trabajo sin perder transparencia.

Supervielle, por su parte, trae al centro dos métricas que trasladan la lógica de la satisfacción clásica a la era de la IA: el Top Two Box del CSAT (los dos niveles más altos de satisfacción) en interacciones con inteligencia artificial y la tasa de derivación a humano.

Agustín Carpaneto, jefe de IA de Supervielle, indicó que un alto Top Two Box indica que la experiencia asistida por inteligencia artificial genera satisfacción genuina; una baja derivación a agentes humanos sugiere que los usuarios se sienten seguros y conformes con las respuestas de los modelos. Si la derivación sube, es una señal temprana de fricción o falta de confianza en el canal automatizado.

Marina Mero, directora de marketing de SIISA, explicó que esta empresa propone una lectura experimental de la confianza: comparar, mediante pilotos tipo "campeón/desafiante", el comportamiento de indicadores clave –retención, abandono, frecuencia de compra, interacción con programas de fidelidad, tasas de apertura de emails o clics en el sitio– en grupos que interactúan con IA generativa versus grupos que no lo hacen. El foco no está solo en la eficiencia, sino en si la IA logra aumentar la lealtad, profundizar el vínculo y reducir el abandono en los recorridos más sensibles.

En Schneider Electric, Noelia Miranda, directora de Secure Power APU de esta compañía, se centra en señales operativas de confianza: la mejora en la resolución en primer contacto, el aumento de la satisfacción asociada a esa resolución y la disminución de incidentes sensibles, como malentendidos, escalaciones o reclamos por decisiones inesperadas. Cuando esas tres variables mejoran al mismo tiempo, sostuvo Miranda, la IA deja de ser una simple herramienta para transformarse en un puente de confianza entre usuario y marca.

Blindar la inteligencia: seguridad desde el dato hasta el modelo

Si la confianza es el nuevo indicador clave de desempeño (KPI, sigla en inglés), la ciberseguridad se convierte en la condición de posibilidad de cualquier estrategia de IA. En vez de tratar la seguridad como un parche que se agrega al final, Baufest plantea integrarla en toda la cadena de valor –datos, modelos, inferencia y decisiones– para devolver visibilidad y gobernanza a sistemas que, muchas veces, ya operan sin trazabilidad ni documentación clara sobre cómo fueron entrenados.

Ese enfoque, sostuvo Szmulewiez, permite reducir riesgos como el envenenamiento de datos, la extracción de modelos o la fuga de información, evitando que la inteligencia artificial se transforme en un activo invisible y descontrolado dentro de la organización.

Grupo San Cristóbal representa la adopción concreta de un modelo de confianza cero ("Zero Trust") aplicado a la IA: principio de mínimo privilegio, segmentación estricta entre entornos de desarrollo, prueba y producción, autenticación robusta y una matriz formal de roles para gestionar la autorización.

Fernando Ferraro, líder de calidad y seguridad de la información de Grupo San Cristóbal, explicó que el enfoque se completa con una gobernanza estricta de proveedores –requisitos contractuales de integridad, trazabilidad y protección de datos– y pruebas periódicas del equipo rojo sobre "pipelines" y modelos, pensadas para anticipar amenazas como el envenenamiento, la extracción o la manipulación de integridad.

Supervielle suma a este cuadro una capa de control específicamente orientada a modelos: un marco de trabajo de gobierno de IA que registra el tipo de modelo, la información que maneja, los "guardrails" aplicados y los controles de acceso.

Sobre esa base, el banco implementa guardrails inspirados en prácticas como OWASP para IA, con el objetivo de evitar inyecciones de prompt, bloquear respuestas sobre temas sensibles y prevenir filtraciones de datos. La validación y el control de quién puede entrenar, modificar o acceder a los modelos cierran un círculo de defensa frente al envenenamiento de datos, el uso indebido o la extracción de modelos.

Desde SIISA, la defensa se plantea explícitamente como una estrategia multicapa: seguridad de datos, protección de API, robustez del modelo y gobernanza de la cadena de suministro. Para mitigar el envenenamiento, recomiendan entrenamientos robustos capaces de descartar desviaciones estadísticas, entrenamiento adversario y trazabilidad del origen de los datos.

Para reducir la extracción de modelos, proponen limitar consultas (rate limiting), monitorear patrones sospechosos, introducir ruido controlado en las respuestas y dejar "huellas digitales" que permitan detectar copias no autorizadas del modelo.

En Schneider Electric miran la seguridad de la IA desde la infraestructura física hacia arriba: la integridad energética, térmica y de red es parte del perímetro de protección del modelo. Cualquier desviación en ese "pipeline" –un patrón anómalo de consumo de energía, una variación térmica o un tráfico de red inusual– puede convertirse en un vector de manipulación o de extracción de información. Por eso, la compañía trabaja con trazabilidad estricta del flujo de datos, entornos de entrenamiento aislados y con accesos limitados, además de un monitoreo predictivo de infraestructura crítica.

En este terreno, el diagnóstico de Castellano, de LUC, introdujo un matiz ineludible: "Si bien la IA se puede utilizar para mejorar la seguridad desde nuestro lado, ya estamos viendo que se aplica también para poder violentar sitios, robar información etc.". La carrera, advirtió, no es solo por fortalecer la defensa sino también por enfrentar atacantes que se apalancan en modelos cada vez más sofisticados para automatizar y escalar sus ofensivas.

Gobernanza, ética y transparencia: explicarle al usuario cómo decide la máquina

El avance regulatorio desde GDPR y HIPAA hasta las leyes locales de protección de datos en América latina, volvió impostergable la pregunta por la trazabilidad y la explicabilidad de las decisiones automatizadas. En Baufest identificaron tres desafíos centrales:

• Visibilidad sobre qué datos usa la IA y con qué criterio decide.
• Prevención de sesgos y decisiones no justificadas.
• Capacidad de auditoría sobre inputs, outputs y versiones de los modelos.

Sin esa transparencia mínima, argumentan, es imposible cumplir con principios de consentimiento, minimización y propósito, ni explicar por qué un algoritmo tomó una decisión que afecta a una persona.

En Modo abordan la gobernanza con un principio rector: la IA debe ser parte integral de la forma de trabajar, pero "sin perder de vista la mirada humana". Para ello, crearon un marco ético y un equipo de gobierno de IA que exige la participación de un especialista en el ciclo de toma de decisiones, especialmente en casos de alto impacto. Esta combinación busca reducir dilemas éticos y asegurar que cada decisión relevante pase por una validación profesional, en lugar de delegarse por completo a un modelo opaco.

En Grupo San Cristóbal se enfrentan a un desafío singular con su despliegue de "Speech Analytics". Por un lado, el valor de los modelos para monitorear calidad, inferir emociones y detectar oportunidades de mejora; por el otro, el riesgo de introducir sesgos si el motor de transcripción no está perfectamente calibrado con el lenguaje técnico de seguros y el acento local.

"El principal desafío de gobernanza se vincula con la trazabilidad y la calidad del dato no estructurado. Si el motor de transcripción no está perfectamente calibrado... se introduce un sesgo de calidad desde el inicio", advirtió Ferraro. Una transcripción errónea, explicó, deriva en análisis de sentimiento inexactos y puede conducir a decisiones injustas sobre agentes o clientes.

El reto se vuelve aún más sensible cuando entra en juego la biometría vocal. Para Grupo San Cristóbal, los patrones vocales son datos biométricos de facto, por lo que requieren consentimientos claros, minimización estricta y protocolos de ofuscación que oculten datos sensibles como cuentas bancarias o identificadores personales en las transcripciones.

La auditabilidad, en este contexto, implica que cada métrica de Speech Analytics tenga una trazabilidad que permita volver hasta el segmento de audio y texto que justificó la conclusión del modelo, habilitando una validación humana inmediata.

En SIISA llevaron el debate a un plano estructural: los grandes desafíos de gobernanza y ética en IA aplicada al comportamiento del cliente tienen que ver con la privacidad, el sesgo algorítmico, la falta de transparencia y la concentración de poder en pocas plataformas.

Frente a eso, apuntan a marcos regulatorios (legales o autorregulados), auditorías independientes, trazabilidad de modelos y técnicas de explicabilidad que eviten la "caja negra". Mencionaron explícitamente el uso de metodologías como SHAP para estimar el peso de cada característica en las decisiones del modelo, sabiendo que, aun así, el sesgo nunca desaparece del todo porque está correlacionado con el entorno y los datos de origen.

En Schneider Electric organizan su aproximación a la ética en tres ejes: calidad y representatividad del dataset; trazabilidad de decisiones y explicabilidad; y minimización y anonimización de datos sensibles.

La revisión periódica de datasets, el monitoreo de métricas de sesgo y la posibilidad de reconstruir parámetros y versiones del modelo son, según Miranda, condiciones necesarias para sostener la confianza en contextos donde las decisiones de la IA pueden afectar tanto al negocio como a la seguridad física de infraestructuras críticas.

Experiencia del cliente y ciberseguridad: tensión creativa entre velocidad y control

En la convergencia entre experiencia de cliente (CX, sigla en inglés) y ciberseguridad se juega una de las tensiones más complejas del mundo digital: la presión del front-end por ofrecer rapidez, personalización y cero fricción, frente a la exigencia del back-end de asegurar control, cumplimiento y resiliencia.

En Baufest sintetizaron el problema en dos desafíos: equilibrar velocidad e innovación con seguridad –para que la protección no frene los lanzamientos– y mantener experiencias fluidas sin aumentar el riesgo, especialmente en procesos de alto impacto como onboarding, pagos o biometría.

La respuesta que proponen es "industrializar" los guardrails: componentes, API y patrones seguros diseñados desde el inicio, que los equipos de CX puedan usar sin pedir permiso cada vez. De esta forma, ciberseguridad deja de ser la oficina que dice "no" para convertirse en un habilitador que da velocidad sin perder control y evita que la IA se despliegue sin trazabilidad ni gobernanza.

En Grupo San Cristóbal también identificaron dos frentes: hacer la experiencia "ágil, simple y digital" sin comprometer la seguridad de la información, y asegurar que los modelos mantengan trazabilidad y estándares de cumplimiento alineados con la regulación y las políticas internas.

Sus buenas prácticas incluyen integrar tecnología con supervisión humana y traducir riesgos técnicos a impacto en experiencia, en un esquema de gobernanza conjunta que prioriza iniciativas que mejoren al mismo tiempo la seguridad y la confianza del cliente.

En Supervielle llevaron la convergencia a la organización del trabajo, a través de equipos multidisciplinarios que combinan especialistas en IA, ciberseguridad, experiencia de usuario (UX) y negocio.

Bajo el enfoque "security-by-design", cada producto nace con conceptos de seguridad incorporados desde el diseño y la arquitectura, en lugar de sumar controles al final. Esta integración temprana, señaló Carpaneto, permite eliminar cuellos de botella, anticipar riesgos y acelerar la adopción de nuevas tecnologías, transformando la seguridad en motor de innovación más que en freno.

En LUC, donde viven la tensión en el día a día de sus procesos automatizados, reconocieron la dificultad de equilibrar front-ends más seguros –pero potencialmente más largos y complejos para el usuario– con la velocidad y comodidad que exige la plataforma.

Su estrategia pasa por aplicar controles "invisibles" al usuario, apoyados en herramientas modernas que garanticen seguridad sin añadir latencias perceptibles ni fricción innecesaria, y con un foco especial en la privacidad de la información.

En Schneider Electric condensaron esta tensión en un cambio de rol para los equipos de seguridad dentro del diseño de viajes o jornadas. "Cuando la seguridad forma parte del diseño del journey y no solo del proceso de validación, deja de ser el área que dice ‘no’ y pasa a convertirse en un socio que facilita la innovación", afirmó Miranda.

La colaboración temprana entre CX y ciberseguridad permite, en su experiencia, mitigar conflictos antes de que lleguen a producción y reducir fricción sin sacrificar protección. En SIISA, en la misma línea, advirtieron que el gran desafío es equilibrar personalización con privacidad y fluidez con controles fuertes, y sugiere como buena práctica integrar la seguridad desde el diseño para que acompañe el flujo de innovación en lugar de bloquearlo.

Talento, IA y defensa adaptativa: hacia un modelo predictivo y autónomo

Si el presente está marcado por la convivencia entre humanos y sistemas inteligentes, el futuro cercano estará definido por la capacidad de esos sistemas de aprender –y de atacarse– entre sí. En Baufest anticiparon que la IA automatizará casi todas las tareas repetitivas de ciberseguridad e incluso una parte importante de la toma de decisiones operativas.

Los equipos migrarán hacia funciones de mayor valor: investigación, diseño de arquitecturas complejas, respuesta a incidentes sofisticados y evaluación de riesgos cualitativos vinculados a percepción, marca y confianza, no reducibles a métricas puramente técnicas.

En este contexto, la formación continua se vuelve crítica: la abstracción tecnológica crece, y sin bases conceptuales sólidas "el conocimiento construido será frágil". El talento deberá dominar tanto los fundamentos de ciberseguridad como los principios de funcionamiento y los riesgos de la IA para poder innovar o supervisar con criterio.

En Supervielle proyectan un escenario en el que los equipos enfrenten "ciberataques sintéticos" y se apoyen cada vez más en soluciones agénticas que liberen tiempo para la gestión de incidentes complejos, la anticipación de amenazas emergentes y la construcción de una postura resiliente.

"La colaboración entre humanos y agentes digitales será clave: la posibilidad de desarrollar agentes autónomos de seguridad... abre un nuevo paradigma en la defensa adaptativa", afirmó Carpaneto, de Supervielle.

La idea de agentes que funcionen como red teams automatizados, intentando vulnerar la propia infraestructura para encontrar fallas antes que los atacantes, refuerza la visión de una defensa cada vez más proactiva y menos reactiva.

Modo ya opera bajo un enfoque "AI First": ante cualquier desafío, la primera pregunta es cómo la IA puede ayudar a resolverlo. Ese principio se traduce en inversiones concretas como Jarvis, una plataforma de asistentes internos de IA que permite compartir agentes personalizados entre equipos, balanceando eficiencia, seguridad y gobernanza de datos. La apuesta es clara: la IA no solo protege, también habilita nuevas formas de trabajo y productos de mayor valor.

Mero, de SIISA, introdujo una advertencia que funciona como horizonte de lo que viene: "Las amenazas y las defensas aprenderán a vulnerarse mutuamente. Surgirán nuevos problemas como el phishing hiper personalizado o el malware polimórfico".

A su juicio, la IA obligará a los equipos de seguridad a pasar de un rol reactivo a uno proactivo y autónomo, con inversiones prioritarias en automatización inteligente, detección en tiempo real, formación en inteligencia artificial aplicada a seguridad y colaboración multidisciplinaria. La capacidad de entrenar IA que intenten vulnerar los propios sistemas y generen parches antes de que los atacantes descubran las brechas será una ventaja competitiva decisiva.

En Schneider Electric proyectan una creciente demanda de especialistas en entornos híbridos OT/IT, donde las fronteras entre el mundo digital y la infraestructura física se difuminan. La IA, anticipó Miranda, llevará a los equipos hacia roles más predictivos, capaces de anticipar fallas combinando datos energéticos, térmicos, de red y patrones de comportamiento, mientras muchas tareas rutinarias se automatizan. Las inversiones críticas estarán en gobernanza de datos, comprensión profunda de modelos y seguridad aplicada a infraestructura crítica, con un fuerte componente ético.

En última instancia, todas estas miradas convergen en una misma idea: la IA no reemplaza a los equipos de ciberseguridad ni a los diseñadores de experiencia de usuario, los redefine. Cambia qué tareas realizan, qué habilidades necesitan y cómo se organiza el trabajo entre humanos y agentes digitales, en un ecosistema donde la confianza ya no es un subproducto, sino el centro de la estrategia.