La ciberseguridad en la era de la IA: buenas prácticas para la gestión de prestaciones sociales

Introducción

La ciberseguridad se ha convertido en una preocupación fundamental para los administradores de planes de prestaciones para empleados. Con billones de dólares en activos de jubilación y grandes cantidades de datos confidenciales de los participantes en juego, los planes de prestaciones constituyen objetivos atractivos para los ciberdelincuentes. Al mismo tiempo, el uso creciente de la inteligencia artificial (IA) en la administración de prestaciones introduce nuevas vulnerabilidades de ciberseguridad que los fiduciarios deben abordar. Este artículo ofrece información sobre las directrices de ciberseguridad del Departamento de Trabajo (DOL), examina los riesgos de ciberseguridad asociados a las herramientas de IA y propone medidas prácticas para gestionar dichos riesgos.

Directrices sobre ciberseguridad del Departamento de Trabajo y prioridades en materia de cumplimiento

En abril de 2021, la Administración de Seguridad de las Prestaciones para Empleados (EBSA) del Departamento de Trabajo (DOL) publicó sus primeras directrices sobre ciberseguridad para los planes de prestaciones para empleados. En septiembre de 2024, la EBSA actualizó las directrices para aclarar que todos los planes de prestaciones para empleados (tanto los planes de jubilación como los de salud y bienestar) están sujetos a sus requisitos de ciberseguridad. Las directrices dejan claro que el DOL considera la ciberseguridad como una responsabilidad fiduciaria en virtud de la ley ERISA. Los fiduciarios de los planes deben garantizar una mitigación adecuada de los riesgos de ciberseguridad como parte de su deber de diligencia, lo que incluye seleccionar y supervisar con prudencia a los proveedores de servicios que gestionan los datos de los participantes y los activos del plan. En otras palabras, los fiduciarios no pueden limitarse a confiar en los proveedores de servicios para gestionar estos riesgos: se requiere una supervisión activa y continua por su parte. 

Aunque estas directrices iniciales ya tienen más de cuatro años, la ciberseguridad sigue siendo una de las principales prioridades del Departamento de Trabajo (DOL). A principios de este año, la EBSA publicó sus prioridades de aplicación para 2026, en cuya lista encabeza la ciberseguridad. La EBSA también ha incorporado preguntas sobre ciberseguridad en sus protocolos estándar de auditoría de planes, y ahora los investigadores solicitan documentación relativa a las políticas de ciberseguridad, los acuerdos con los proveedores de servicios y los procedimientos de respuesta ante incidentes.

El impacto de la IA en la ciberseguridadLas herramientas de IAse utilizan cada vez más en la administración de prestaciones, desde chatbots que responden a las preguntas de los participantes hasta algoritmos que tramitan reclamaciones y generan recomendaciones de inversión. Si bien estas herramientas pueden mejorar la eficiencia, también plantean nuevos riesgos de ciberseguridad que los fiduciarios deben evaluar. (Para obtener más información sobre consideraciones fiduciarias más amplias relacionadas con el uso de la IA en los planes 401(k), consulte nuestro artículo anterior: La inteligencia artificial generativa (IA) y las implicaciones fiduciarias de los planes 401(k).)

En primer lugar, los sistemas de IA suelen necesitar acceso a grandes cantidades de datos confidenciales para funcionar con eficacia. Esta concentración de datos los convierte en objetivos atractivos para los ciberataques. Una brecha de seguridad en un sistema de IA puede poner en peligro no solo la información actual de los usuarios, sino también los datos históricos utilizados para entrenar los modelos.

En segundo lugar, las herramientas de IA pueden ser vulnerables a los «ataques adversarios», es decir, ciberataques diseñados específicamente para manipular los resultados de la IA. Los delincuentes podrían manipular los sistemas de IA para que aprueben transacciones fraudulentas, faciliten información errónea sobre prestaciones o eludan los controles de seguridad. La complejidad de algunos sistemas de IA puede hacer que estos ataques sean difíciles de detectar.

En tercer lugar, la integración de la IA con otros sistemas podría generar vulnerabilidades de seguridad adicionales. Las herramientas de IA suelen conectarse a múltiples bases de datos, plataformas de comunicación y servicios de terceros. Cada punto de integración representa una posible vulnerabilidad. 

Mejores prácticas en materia de ciberseguridad

De acuerdo con las directrices del Departamento de Trabajo (DOL) y las mejores prácticas que están surgiendo, los fiduciarios deberían considerar la posibilidad de aplicar las siguientes medidas:

1. Diligencia debida con los proveedores. A la hora deseleccionar proveedores de servicios, evalúe sus prácticas de ciberseguridad como parte de un proceso de selección prudente. Solicite y revise sus políticas de ciberseguridad por escrito, pregunte por las certificaciones de seguridad y los seguros de ciberseguridad, y solicite información sobre el historial de incidentes. Dado que los proveedores utilizan cada vez más la inteligencia artificial, pregunte específicamente si se está utilizando IA y con qué fines, a qué datos pueden acceder estas herramientas de IA y cómo se almacenan y protegen dichos datos. Además, dado que la responsabilidad fiduciaria no termina tras la selección de proveedores, implemente procedimientos de supervisión continua, lo que incluye exigir informes periódicos de ciberseguridad y/o certificaciones a los proveedores de servicios.
2. Protecciones contractuales.Los contratos de prestación de serviciosdeben incluir disposiciones sólidas en materia de ciberseguridad. Entre los aspectos clave que deben revisarse se incluyen: si existe una asignación clara de responsabilidades en materia de seguridad de los datos y de responsabilidad por infracciones; los requisitos que debe cumplir el proveedor de servicios para mantener controles de seguridad específicos; las obligaciones de notificación de incidentes de seguridad; los informes o certificaciones anuales de ciberseguridad; los derechos de auditoría que permitan verificar el cumplimiento de las normas de seguridad; las restricciones a la subcontratación, con requisitos para la supervisión de los subcontratistas; y las disposiciones que aborden los riesgos específicos de la inteligencia artificial, incluidas las limitaciones en el uso de datos y los requisitos de pruebas de seguridad.
3. Formación de los participantes.Los participantes bien informadosconstituyen una importante línea de defensa contra los ataques de ingeniería social y la apropiación de cuentas. De acuerdo con las directrices del Departamento de Trabajo (DOL), comunique a los participantes del plan las mejores prácticas en materia de ciberseguridad. Fomente el uso de contraseñas seguras, la autenticación multifactorial y la supervisión periódica de la actividad de las cuentas. Proporcione instrucciones claras sobre cómo notificar los casos de presunto fraude o acceso no autorizado a las cuentas.
4. Formación de los empleados.El error humanosigue siendo una de las principales causas de las filtraciones de datos. Los administradores fiduciarios deben asegurarse de que todas las personas con acceso a los datos del plan reciban formación periódica en materia de ciberseguridad, al menos una vez al año. La formación debe abarcar cómo reconocer los correos electrónicos de phishing y los intentos de ingeniería social, el manejo adecuado de la información confidencial (incluido el uso adecuado e inadecuado de la inteligencia artificial) y los procedimientos para notificar los incidentes sospechosos. Considere también la posibilidad de incluir una declaración sobre ciberseguridad en la Descripción resumida del plan que remita a los participantes a los consejos de seguridad en línea del Departamento de Trabajo (DOL).
5. Documentación. Por último, pero no por ello menos importante, documente todas las decisiones relacionadas con la ciberseguridad. Esto incluye registros de evaluaciones de proveedores de servicios, revisiones periódicas de proveedores, actividades de formación, revisiones y actualizaciones de políticas de ciberseguridad, medidas de respuesta ante incidentes y revisiones de seguros. La documentación de las decisiones debe incluir tanto un registro de la decisión final como la información analizada para llegar a dicha decisión. En caso de una auditoría del Departamento de Trabajo (DOL) o de una queja de un participante, estos registros demostrarán que el fiduciario actuó con prudencia y de conformidad con las obligaciones de la ley ERISA. Sin un buen registro, sus otras acciones prudentes podrían quedar en nada si no tiene forma de demostrar que se llevaron a cabo.