Estafas telefónicas con inteligencia artificial: del cuento del tío al cuento de la tIA

El problema que ya llegó

Durante la pandemia, bandas organizadas llamaron a miles de jubilados afiliados a PAMI haciéndose pasar por agentes sanitarios, ofreciendo turnos de vacunación prioritarios, verificando datos para “bonos extraordinarios” o gestionando descuentos en medicamentos.[1] En la variante más sofisticada, guiaban a la víctima para instalar aplicaciones de acceso remoto (AnyDesk, TeamViewer) presentadas como “aplicaciones de PAMI” o “soporte técnico del banco”; con control del dispositivo, realizaban transferencias, compras o solicitudes de préstamos preaprobados en minutos.[2]

Esas estafas requerían un operador humano por cada conversación. En diciembre de 2025, un investigador de Rutgers publicó en una conferencia con revisión de pares un sistema llamado ScamAgent que automatiza todo el proceso: un agente de inteligencia artificial con memoria, planificación adaptativa, descomposición de objetivos y síntesis de voz en tiempo real. Los resultados son precisos: 270 experimentos con tres modelos de lenguaje, con tasas de completitud del diálogo entre el 43% y el 74%.[3] Los cinco escenarios que probó (verificación de seguro médico, lotería, suplantación de autoridad, fraude laboral, enrolamiento en beneficios gubernamentales) son las mismas variantes que las bandas argentinas perfeccionaron durante la pandemia, formalizadas como protocolos de un agente autónomo.[4]

Para el abogado que asesora víctimas de fraude, la pregunta es concreta: ¿contra quién se acciona, y bajo qué marco normativo?

La cadena de actores y la fragmentación de la conducta

La arquitectura de ScamAgent involucra al menos cuatro actores diferenciados. El operador humano que define el objetivo. El proveedor del modelo de lenguaje cuya API genera el texto. El servicio de síntesis de voz (ElevenLabs en la implementación de Badhe) que convierte el texto en audio con modulación emocional. La plataforma de telefonía (Twilio o equivalente) que completa la llamada.

En las estafas a jubilados de PAMI, la cadena era más corta pero igualmente fragmentada: el llamador que mantenía la conversación, la persona que operaba las cuentas una vez obtenido el acceso remoto, y las “mulas” que recibían las transferencias. En ambos casos, ningún actor individual comete la totalidad de la estafa del artículo 172 del Código Penal. El fraude emerge de la composición. Esta distribución complica el análisis penal pero favorece el civil.

Responsabilidad objetiva: Arts. 1757 y 1758 del CCyCN

El artículo 1757 establece responsabilidad por las actividades riesgosas o peligrosas por su naturaleza, por los medios empleados o por las circunstancias de su realización.[5] El artículo 1758 identifica al dueño y al guardián como responsables concurrentes.[6]

Tres ventajas del encuadre objetivo para la víctima de una estafa automatizada con IA.

No requiere probar dolo ni culpa. Frente a un agente autónomo sin intencionalidad jurídicamente relevante, la exigencia de acreditar factor subjetivo sería un obstáculo paralizante. La responsabilidad objetiva lo evita. Lo que importa es si la actividad genera riesgo, no si el actor tenía intención de dañar. ScamAgent no tiene intención en ningún sentido relevante: optimiza secuencias de tokens para minimizar la resistencia del interlocutor, sin creencias, deseos ni conciencia moral.

Permite accionar contra varios actores como responsables concurrentes. El proveedor de la API ejerce una forma de guarda sobre la herramienta: controla los términos de acceso, define los filtros de seguridad, decide qué usos habilitar. El banco que provee la infraestructura de home banking también es guardián de su propio sistema. La jurisprudencia reciente lo confirma.

La eximición por causa ajena enfrenta una objeción documental. El proveedor de API tendría que demostrar que la evasión constituyó un hecho imprevisible e irresistible (Art. 1731).[7]

Pero Badhe acaba de publicar, en un paper con revisión de pares, que los filtros de seguridad se evaden con descomposición de objetivos y framing ficcional. Si la vulnerabilidad es conocida y documentada en la literatura especializada, no puede invocarse como imprevisible. Datos concretos: las tasas de rechazo caen del 84-100% al 17-32% cuando se aplica la descomposición de objetivos, en 270 experimentos controlados.

El consumidor hipervulnerable y la jurisprudencia reciente

La jurisprudencia argentina ha construido, en los últimos dos años, una línea cada vez más clara sobre la responsabilidad bancaria por fraudes digitales que afectan a personas mayores. Un fallo de 2024 contra Banco Itaú condenó a la entidad a indemnizar a un consumidor calificado como hipervulnerable, aplicando una obligación de seguridad de resultado: el banco no se exonera probando que adoptó medidas razonables, sino demostrando que el daño le es totalmente ajeno.[8]

En enero de 2026, un fallo de la Cámara Nacional Comercial ordenó a un banco responder por la mitad del daño derivado de un préstamo otorgado sin consentimiento y transferencias a terceros ejecutadas mediante phishing. El tribunal encuadró la banca digital como actividad riesgosa en términos del artículo 40 de la Ley de Defensa del Consumidor, enfatizando que la estructura predisponente del sistema de banca remota pesa en contra del banco.[9]

El STJ de Corrientes fue más lejos: cuestionó como discriminatorio el argumento bancario que relativizaba el daño por la edad de la víctima.[10] Estos precedentes establecen una trayectoria que se extiende naturalmente al escenario de ScamAgent: si el phishing operado por humanos vía WhatsApp genera responsabilidad bancaria objetiva, el phishing operado por agentes autónomos con voz sintética genera, como mínimo, responsabilidad equivalente.

Matriz de responsabilidad integrada

PAMI, Estado y deberes de prevención

PAMI emitió comunicaciones reiteradas afirmando que nunca solicita datos bancarios por teléfono, mensaje o redes sociales.[11] La UFECI advirtió específicamente sobre llamadas de WhatsApp fraudulentas que aparentan provenir de agentes del organismo.[12] Pero una auditoría interna de noviembre de 2025 reveló fraudes y falsificaciones en órdenes médicas, lo que sugiere fallas sistémicas en la seguridad de los datos del organismo.[13]

Si las bases de datos de PAMI fueron comprometidas o accesibles para los estafadores (lo cual explicaría la precisión con que los llamados mencionaban datos reales de la víctima), se abre una línea de responsabilidad estatal por omisión de deberes de custodia de datos sensibles, articulable tanto bajo la Ley 25.326 como bajo los principios generales de responsabilidad estatal por falta de servicio.

La distinción que la jurisprudencia todavía no ve: modelo vs. orquestador

Hay una distinción conceptual que va a ser determinante para la litigación futura y que la jurisprudencia bancaria aún no ha tenido oportunidad de abordar. En la arquitectura de ScamAgent, el modelo de lenguaje (GPT-4, Claude, LLaMA) es el sustrato: proporciona capacidad lingüística general. La capa de orquestación agentiva (el planificador, la memoria persistente, el módulo de descomposición de objetivos, la capa de engaño) es lo que convierte esa capacidad general en una herramienta de estafa.[14] Son actores diferentes con responsabilidades potencialmente diferentes.

El proveedor de la API es análogo al fabricante del automóvil: pone en circulación un producto con riesgos inherentes y adopta medidas de seguridad (guardrails, filtros de contenido). El desarrollador del framework agentivo es análogo al conductor que usa el automóvil para atropellar: es quien dirige la herramienta hacia el daño. Pero la analogía tiene un límite: el framework agentivo no es un actor con intencionalidad. Es una estructura que, en mi marco teórico, funciona como fenotipo extendido del meme del fraude: la maquinaria reproductiva que el parásito construye fuera de su propio cuerpo para potenciar su replicación.[15]

La implicancia práctica es que la regulación que se enfoque solo en el modelo (más guardrails, más filtros) va a fracasar de la misma manera que los filtros de turno único fracasaron ante la descomposición de objetivos. El dato de Badhe es contundente: los filtros que rechazan el 84-100% de las solicitudes directas rechazan solo el 17-32% cuando el mismo objetivo se descompone en sub-pasos. La intervención regulatoria eficaz tiene que apuntar a la capa de orquestación.

Recomendaciones para la práctica

Para el abogado que recibe la consulta de una víctima, seis consideraciones prácticas.

Conservación de evidencia inmediata. Registros de llamadas, grabaciones, capturas de WhatsApp, y logs de la API del proveedor son elementos clave. Solicitar tempranamente medidas cautelares de preservación de datos contra el proveedor de la API y contra la entidad bancaria.

Identificación de la cadena completa. No basta con identificar al operador humano (probablemente insolvente o fuera de jurisdicción). Identificar qué modelo de lenguaje se usó, a través de qué API, con qué servicio de síntesis de voz, y a través de qué plataforma de telefonía. Cada eslabón es un potencial demandado con capacidad patrimonial real.

Encuadre como actividad riesgosa. Más favorable que el subjetivo: evita la prueba del dolo, permite responsabilidad concurrente, invierte la carga probatoria. El proveedor debe demostrar la causa ajena, no la víctima la culpa.

Distinción entre modelo y orquestador. Si es posible identificar al desarrollador del framework agentivo como actor separado del proveedor de la API, la acción contra el orquestador tiene mayor especificidad causal: es quien convirtió una herramienta general en un instrumento de fraude.

Badhe (2025) como herramienta probatoria. Demuestra, con 270 experimentos y revisión de pares, que los filtros de seguridad actuales fallan ante descomposición de objetivos. Cualquier defensa basada en imprevisibilidad enfrenta esta objeción documental.

Acumulación de rubros resarcitorios. Daño patrimonial directo (transferencias, préstamos no consentidos). Daño moral (Art. 1741 CCyCN) por intrusión en la intimidad y obtención fraudulenta de datos. Violación de la Ley 25.326 por tratamiento ilícito de datos personales. Artículo 1770 CCyCN como base autónoma por perturbación de la vida privada. El caso testigo que establezca la responsabilidad del proveedor de API tendrá efectos disuasivos sobre toda la industria. La jurisprudencia bancaria de 2024-2026 ya pavimentó el camino doctrinal.

Citas

---

(*) Ignacio Adrián Lerer es abogado (UBA) con EMBA (IAE Business School, Universidad Austral) y más de 30 años de experiencia en derecho corporativo. Fundador y CEO de IntegridAI. Desarrolla investigación independiente sobre aplicación de teoría evolutiva a sistemas legales. Sus papers están disponibles en Zenodo. Email: [email protected]

[1]”Alertan por llamadas de WhatsApp fraudulentas que aparentan provenir de agentes del PAMI” (2025): https://www.fiscales.gob.ar/ciberdelincuencia/alertan-por-llamadas-de-whatsapp-fraudulentas-que-aparentan-provenir-de-agentes-del-pami/

[2]”Se hacen pasar por empleados del PAMI y enganan a personas mayores” (2025): https://justiciadeprimera.com/2025/02/08/se-hacen-pasar-por-empleados-del-pami-y-enganan-a-personas-mayores/)

[3]S. Badhe, “ScamAgents: How AI Agents Can Simulate Human-Level Scam Calls,” Proceedings of Machine Learning Research 299:1-19 (CAMLIS 2025). 270 experimentos con GPT-4, Claude 3.7 y LLaMA3-70B.: https://arxiv.org/abs/2508.06457

[4]LERER, I. A. (2026). Agentic Fraud as Extended Phenotype: ScamAgent, Parasitic Spontaneous Order, and the Evolutionary Logic of LLM-Mediated Deception (1.0). Zenodo. https://doi.org/10.5281/zenodo.18924282.

Análisis completo del marco evolutivo con seis predicciones falsables.

[5]CCyCN, Art. 1757: responsabilidad por el riesgo o vicio de las cosas o de las actividades riesgosas o peligrosas por su naturaleza, por los medios empleados o por las circunstancias de su realizacion.

[6]CCyCN, Art. 1758: responsabilidad concurrente de dueño y guardián; guardián es quien ejerce uso, dirección y control.

[7]CCyCN, Art. 1731: eximición de responsabilidad por causa ajena.

[8] “Condenan al banco Itau a indemnizar a un consumidor hipervulnerable” (2024). Aplica obligacion de seguridad de resultado. «C. S., J. V.CONTRA BANCO ITAU ARGENTINA S A SOBRE CONTRATOS Y  DAÑOS – RC – BANCOS, PRODUCTOS Y SERVICIOS FINANCIEROS», Exp. n °370659/2022-0: https://ijudicial.gob.ar/2024/phishing-condenan-al-banco-itau-a-indemnizar-a-un-consumidor-hipervulnerable/

[9]CNCom, enero: ordena al banco responder por la mitad del daño en caso de prestamo no consentido por phishing. Encuadra la banca digital como actividad riesgosa bajo Art. 40 LDC.; https://www.infobae.com/judiciales/2025/11/13/la-justicia-responsabilizo-a-un-banco-y-a-la-victima-por-una-maniobra-de-phishing/

[10]STJ de Corrientes: cuestiono como discriminatorio el argumento bancario que relativizaba el daño por la edad de la victima. Revista Quorum (2025): https://revistaquorum.com.ar/2025/09/05/cada-vez-mas-fallos-responsabilizan-a-los-bancos-por-fraudes-digitales-una-entidad-debera-pagar-dos-millones-de-pesos-por-phishing/

[11]PAMI, “Evitemos las estafas virtuales”: https://www.pami.org.ar/evitar-estafas .

[13]Infobae, “Una auditoria en el PAMI detecto fraudes y falsificaciones en ordenes medicas” (nov. 2025): https://www.infobae.com/politica/2025/11/13/una-auditoria-en-el-pami-detecto-fraudes-y-falsificaciones-en-ordenes-medicas/

[15]LERER, I. A. (2026). Intentionality Mismatch in Commercial Liability: A Four-Level Evolutionary Analysis of Tapia Araya v. Starbucks (Argentine Supreme Court, 2026) (1.0). Zenodo. https://doi.org/10.5281/zenodo.18903217