I
Cada generación tiene su revolución tecnológica: y la actual lo cambia todo
Hay un ejercicio pedagógico que resulta enormemente útil cuando se habla de disrupción tecnológica con equipos de cumplimiento normativo. Algo tan simple como pedirles que recuerden dónde estaban cuando empezaron a oír hablar de internet. La mayoría de los profesionales en activo hoy lo vivieron como algo gradual: primero el correo electrónico, luego los buscadores, más tarde las redes sociales. Cada salto generacional trajo consigo nuevos riesgos que la regulación tardó años en entender y absorber.
En los años noventa, el debate doméstico en los hogares era si comprar el reproductor de VHS o esperar al DVD. La industria audiovisual defendía ferozmente su modelo, mientras una nueva tecnología hacía obsoleto lo conocido en pocos años. A comienzos de los 2000, la música pasó del CD al mp3, y luego a plataformas de streaming como Spotify, que transformó no solo el soporte sino el modelo de negocio completo. La industria discográfica tardó casi una década en adaptarse, y lo hizo con importantes pérdidas reputacionales y económicas.
Hoy asistimos a un salto de magnitud equivalente, pero con una velocidad y profundidad sin precedentes: la transición de los motores de búsqueda tradicionales, encabezados en un 90% por Google, a los sistemas de inteligencia artificial generativa, cuya cara más visible es ChatGPT y sus equivalentes. No es una mejora incremental. Es un cambio de paradigma. Y, al igual que en las revoluciones anteriores, quienes tarden en comprender sus implicaciones pagarán un precio elevado.
Para el mundo del Compliance, y en particular para la prevención del blanqueo de capitales y la financiación del terrorismo (PBC/FT o, en la terminología latinoamericana, PLD/FT), esta revolución no es un fenómeno ajeno que ocurre en Silicon Valley. Es una amenaza y, a la vez, una oportunidad que aterriza directamente en los escritorios de los Compliance Officer, los Oficiales de Cumplimiento y los Órganos de Control Interno de las organizaciones a ambos lados del Atlántico.
II
La inteligencia artificial generativa: una herramienta de doble filo
La IA generativa —el conjunto de tecnologías capaces de producir texto, imágenes, audio y vídeo de apariencia completamente verosímil a partir de instrucciones en lenguaje natural— ha democratizado la creación de contenido de forma radical. Lo que antes requería equipos especializados, presupuestos millonarios y semanas de trabajo puede hoy generarse en minutos por cualquier persona con acceso a internet.
Esta capacidad tiene aplicaciones genuinamente positivas en el ámbito del cumplimiento normativo. Mediante técnicas como el machine learning, es posible detectar patrones de comportamiento sospechosos en los registros financieros de una empresa que podrían indicar prácticas de blanqueo de capitales, así como crear sistemas de alerta temprana que permitan a las organizaciones detectar y prevenir posibles infracciones de forma proactiva.
Los informes de estafas habilitadas por IA generativa entre mayo de 2024 y abril de 2025 se incrementaron en un 456% en comparación con el mismo período del año anterior.
Fuente: Chainabuse, 2025Pero la misma moneda tiene una cara oscura que el ecosistema del crimen organizado ha sabido explotar con una rapidez perturbadora. A escala global, las pérdidas por fraude cripto impulsado por IA superaron los 14.000 millones de dólares en 2025, según Chainalysis, y el contenido deepfake en plataformas digitales creció un 550% entre 2019 y 2023.
III
Las nuevas tipologías de blanqueo en la era de la IA
El blanqueo de capitales, en su definición clásica, consiste en dar apariencia de legitimidad a bienes o activos de origen ilícito, introduciéndolos en los circuitos económicos legítimos. Sus tres fases —colocación, estratificación e integración— no han desaparecido. Lo que ha cambiado radicalmente es la sofisticación, la velocidad y la escala con la que pueden ejecutarse, gracias a herramientas de IA al alcance de cualquier actor con intención delictiva.
Los deepfakes como instrumento de fraude y blanqueo
El caso paradigmático ocurrió en Hong Kong en 2024: la empresa británica Arup fue víctima de un fraude millonario cuando un empleado fue engañado por deepfakes que imitaban al director financiero y otros ejecutivos en una videollamada, autorizando 15 transferencias por un total de 25 millones de dólares a cuentas fraudulentas. Según estimaciones públicas, las pérdidas globales por fraudes con IA alcanzaron los 25.000 millones de dólares, un incremento del 300% respecto al año anterior.
Las identidades sintéticas y la elusión del KYC
Quizá el vector más preocupante desde la perspectiva del cumplimiento es la capacidad de la IA para generar identidades completamente falsas que superan los filtros de verificación de clientes. Servicios disponibles en la dark web combinan deepfakes con datos robados para generar perfiles de identidad sintética capaces de superar los procesos de verificación KYC.
En 2025, el 40% de los fraudes KYC a nivel global involucró identidades sintéticas creadas con IA.
Fuente: Identity Theft Resource Center, 2025Esta problemática resulta especialmente relevante en la región latinoamericana, donde la aceleración de la banca digital —impulsada por la pandemia y por la alta penetración de los servicios Fintech como Nubank o Revolut— ha expandido los canales de onboarding remoto sin que los mecanismos de verificación hayan madurado a la misma velocidad.
Criptomonedas e IA: la combinación más desafiante
El nexo entre IA generativa y activos virtuales representa hoy la combinación más desafiante para los sistemas de PLD/FT. En 2024, las imitaciones deepfake de figuras públicas representaron el 40% de los fraudes de alto valor, mientras que 4.600 millones de dólares en criptoactivos fueron sustraídos mediante estafas, un incremento del 24% respecto al año anterior.
IV
Lo que las empresas deben hacer: un programa de Compliance robusto para la era de la IA
Ante este panorama, la pregunta que todo Compliance Officer, toda junta directiva y todo responsable de PLD/FT debe formularse no es si su organización puede verse afectada por estas nuevas tipologías de riesgo. La pregunta correcta es cuándo, y si en ese momento estará preparada para responder.
Actualización del Análisis y Mapa de Riesgos
El análisis de riesgos —la Evaluación Nacional de Riesgo (ENR) a nivel país y el análisis institucional a nivel empresa— debe pasar a tener una dinámica de revisión continua. Las tipologías de blanqueo vinculadas a deepfakes, identidades sintéticas y criptoactivos deben incorporarse explícitamente al mapa de riesgos de cualquier entidad, con independencia de su jurisdicción de actuación. La Recomendación 1 del GAFI exige precisamente que los países y, por extensión, las organizaciones, identifiquen, evalúen y entiendan sus riesgos de LA/FT aplicando un enfoque basado en riesgo.
Revisión y refuerzo de los procedimientos de Diligencia Debida (KYC/KYB)
Las políticas de Compliance en materia de identificación de clientes deben garantizar que se recaba toda la documentación que ofrezca información completa sobre el origen de los fondos del patrimonio del cliente, el propósito y el tipo de negocio. En el nuevo entorno, este principio resulta insuficiente si los procesos de verificación biométrica o documental no están equipados para detectar contenido sintético generado por IA. Las organizaciones deben evaluar si sus proveedores tecnológicos de KYC incorporan mecanismos de detección de deepfakes y actualizar los contratos y acuerdos de nivel de servicio en consecuencia.
Políticas específicas sobre uso de IA en la organización
Toda organización debe dotarse de una política específica de uso de IA que regule, como mínimo:
- Qué herramientas pueden utilizarse en el desempeño de las funciones de los empleados
- Qué datos pueden introducirse en ellas
- Qué controles de supervisión humana son obligatorios sobre los outputs de los sistemas automatizados
- Cómo se documenta y audita el uso de estas tecnologías, basándose en principios de transparencia, explicabilidad y supervisión humana
Formación y cultura de cumplimiento
Las pymes, que constituyen la inmensa mayoría del tejido empresarial tanto en España como en México y el resto de América Latina, suelen tener menos controles, procesos de verificación más informales y menor formación en ciberseguridad, lo que las convierte en objetivos ideales para los actores criminales. La formación en materia de PLD/FT debe actualizarse para incluir módulos específicos sobre fraudes asistidos por IA, ingeniería social de nueva generación y procedimientos de verificación reforzada ante solicitudes inusuales.
El principio rector debe ser la desconfianza activa ante lo aparentemente legítimo: ningún correo, llamada ni videollamada, por convincente que resulte, debe ser por sí sola suficiente para autorizar una operación de cierto umbral de riesgo sin verificación independiente por un canal alternativo.
Auditoría y revisión independiente del programa
Desde la introducción de la responsabilidad penal de las personas jurídicas en los distintos ordenamientos —Artículo 31 bis del Código Penal español, artículo 400 Bis del CPF mexicano, Ley 20.393 chilena de responsabilidad penal de personas jurídicas, entre otros— la eficacia documentada del programa de cumplimiento se ha convertido en el principal escudo frente a la responsabilidad corporativa. Solo mediante la implantación rigurosa, documentada y adaptada al perfil de riesgo de cada organización será posible alegar una exención o atenuación de responsabilidad.
V
La AMLA, el AI Act y el GAFILAT: tres ejes de una arquitectura regulatoria en construcción
La arquitectura regulatoria que se está configurando en torno a la IA y la prevención del blanqueo va a exigir, en los próximos años, una capacidad de adaptación sin precedentes. El mercado global de RegTech, que se proyecta que alcanzará los 19.600 millones de dólares en 2025, crece a un ritmo anual compuesto del 22,8%.
La AMLA (Autoridad Europea de Lucha contra el Blanqueo de Capitales), que previsiblemente comenzará a ejercer sus funciones plenas en 2028, establecerá estándares técnicos vinculantes y supervisará directamente a las entidades de mayor riesgo. El AI Act clasifica como de alto riesgo ciertas aplicaciones de IA en el sector financiero, imponiendo requisitos de transparencia y supervisión humana que son incompatibles con el enfoque de caja negra algorítmica.
Para el Compliance Officer, en cualquier jurisdicción, la confluencia de estos tres marcos implica que los sistemas de IA utilizados en los procesos de PLD/FT deben ser no solo eficaces sino también auditables, documentados y gobernados con claridad. La trazabilidad de las decisiones automatizadas no es un requisito técnico opcional: es una exigencia legal que ya está aquí.
VI — Conclusión
El Compliance ante su mayor prueba generacional
Volvamos a la metáfora inicial. Cuando el VHS fue sustituido por el DVD, los videoclubs tardaron en adaptarse y muchos desaparecieron. Cuando el mp3 sustituyó al CD, las discográficas que no evolucionaron perdieron relevancia en pocos años. La diferencia entre aquellas revoluciones y la actual es de escala y de consecuencias: en los sectores regulados —tanto en Madrid como en Ciudad de México, en Bogotá, Buenos Aires o Santiago de Chile— no adaptarse no significa perder cuota de mercado. Significa exponerse a sanciones, a responsabilidad penal corporativa, a daño reputacional irreversible y, en última instancia, a convertirse en instrumento involuntario del crimen organizado.
La inteligencia artificial no ha inventado el blanqueo de capitales. Ha amplificado su alcance, ha acelerado su velocidad y ha reducido dramáticamente el coste de entrada para los actores criminales. La respuesta del Compliance, a un lado y otro del Atlántico, no puede ser menos ambiciosa: debe ser más inteligente, ágil y colaborativa que nunca.
Las organizaciones que entiendan esto no verán la IA como una amenaza que gestionar, sino como un aliado que, bien gobernado, les permitirá estar un paso por delante de quienes intentan usar la misma tecnología para el mal. Esa es, en definitiva, la promesa del Compliance en la era de ChatGPT.