En Ecuador, más de 4.700 personas denunciaron suplantación de identidad solo en 2025. Guayas y Pichincha concentran el 68% de los casos. Pero lo que cambió en 2026 no es la escala de las estafas: es la infraestructura que las sostiene. Los ciberdelincuentes ya no necesitan ser técnicos. La inteligencia artificial puso a su disposición herramientas de clonación de voz, generación de deepfakes y automatización masiva de mensajes que antes requerían conocimiento especializado.
El resultado es una amenaza que ya no afecta solo a usuarios individuales: afecta la confianza institucional en toda la región.
¿Qué está pasando en Ecuador —y en LATAM?
El reporte de FayerWayer documenta el patrón operativo que domina 2026: phishing con correos que imitan entidades financieras oficiales, smishing por mensajes de texto con alertas falsas de bloqueo de cuentas, y una tercera capa nueva, más difícil de detectar, que usa IA generativa para personalizar el ataque en tiempo real.
IA para el Resto de Nosotros
La nueva versión de mi curso estrella para aprender a usar la IA de forma práctica, simple y útil en tu día a día. Comienza el 24 de marzo.
→ Inscríbete hoy 🚀La clonación de voz ya es operativa a nivel masivo. Con unos pocos segundos de audio público —de un vídeo en redes sociales, de una llamada grabada— es posible generar una llamada que suena exactamente como la voz de un familiar, un supervisor o un funcionario bancario. Las víctimas no están siendo descuidadas: están siendo engañadas por tecnología que no tenía equivalente hace dos años.
Andrés Vega, director legal y regulatorio de CITEC Ecuador, resume el problema con una frase que aplica a toda la región: “La protección no depende solo de las instituciones, sino también de la atención y precaución de los usuarios.” Pero esa afirmación, aunque válida, también esconde un problema: le traslada la responsabilidad al eslabón más débil de la cadena.
La IA como multiplicador de riesgo
Lo que hace sistémica esta amenaza no es que haya más criminales. Es que un solo actor puede ahora automatizar cientos de ataques simultáneos con alta personalización. Esto es nuevo.
El phishing tradicional era relativamente fácil de detectar: mensajes genéricos, errores ortográficos, dominios sospechosos. El phishing asistido por IA puede generar mensajes que imitan el tono exacto de comunicaciones previas, referenciando datos reales obtenidos de filtraciones o de perfiles públicos en redes sociales.
Kaspersky reportó en 2025 un aumento del 75% en intentos de phishing hiperpersonalizado en América Latina. Y eso fue antes de que los modelos de generación de texto de última generación estuvieran disponibles en servicios baratos o gratuitos.
Descubre.ai ya documentó cómo este patrón está acelerando en México, donde los fraudes con IA crecieron un 1.000% en 2025. Ecuador no es un caso aislado: es parte de un patrón regional que los sistemas de alerta locales todavía no están midiendo en su totalidad.
Lo que falla: la respuesta institucional
El análisis honesto apunta a tres brechas estructurales que la IA está ampliando:
- Velocidad de adaptación regulatoria. Las leyes de ciberdelitos en Ecuador y la mayoría de países LATAM no contemplan explícitamente los ataques basados en IA generativa. Los marcos legales existentes pueden aplicarse por analogía, pero la investigación forense de estos delitos requiere capacidades técnicas que las fiscalías aún no tienen.
- Alfabetización digital diferenciada. El 8,2% de ecuatorianos se clasifica como analfabeto digital, según la Policía de Ciberdelitos. Pero incluso usuarios con competencias básicas son vulnerables a deepfakes de voz bien ejecutados. La educación preventiva de la generación anterior ya no es suficiente.
- Falta de sistemas de verificación rápida. En Brasil, algunas instituciones financieras ya implementan frases de seguridad biométricas y autenticación multicanal que dificultan los ataques de suplantación. En la mayoría de países andinos, el estándar sigue siendo usuario/contraseña con autenticación por SMS, que es exactamente lo que el smishing busca capturar.
Por qué importa más allá de Ecuador
Ecuador concentra el análisis por los datos disponibles, pero el patrón se repite desde Chile hasta Colombia: incremento de denuncias, IA como multiplicador, y respuesta institucional rezagada. El riesgo real no es que la tecnología haga invencibles a los atacantes. Es que la brecha entre la velocidad de adopción de IA por actores maliciosos y la capacidad de respuesta de instituciones y usuarios se está ampliando, no cerrando.
La pregunta que los reguladores de la región deberían hacerse no es “¿cómo educamos mejor a los usuarios?” sino “¿cómo rediseñamos los sistemas de verificación para que sean robustos aunque el usuario cometa errores?” Eso implica autenticación más fuerte, marcos legales que reconozcan explícitamente los fraudes con IA, y cooperación regional para compartir inteligencia sobre vectores de ataque activos.
La ciberseguridad predictiva ya existe para empresas. Para personas individuales en LATAM, sigue siendo un lujo.
