EY retira un informe de ciberseguridad después de que GPTZero demostrara que 16 de sus 27 citas estaban alucinadas por IA

Una Big Four publicó un informe de ciberseguridad. Lo firmaban tres empleados, dos socios y un senior manager. Lo usaban consultores de la firma en Canadá para vender servicios. Y estaba salpicado de citas inventadas por una IA. La firma es EY. El informe, retirado esta semana, se llamaba Points of Attack: Uncovering Cyber Threats and Fraud in Loyalty Systems.

Qué se publicó

A finales de 2025, EY Canadá publicó un documento de 44 páginas sobre fraude y ciberamenazas en programas de fidelización (los puntos de aerolíneas, hoteles, supermercados). El informe presentaba el ecosistema global de loyalty como un negocio de 200.000 millones de dólares y argumentaba que entre el 30% y el 50% de los puntos no se canjean nunca, lo que los convertía, según el texto, en un objetivo prioritario para los ciberdelincuentes.

El problema no fue la tesis. Fue de dónde decían que salían los datos.

Qué encontró GPTZero

GPTZero es una empresa fundada por Edward Tian, exinvestigador de Princeton y exempleado del medio de investigación Bellingcat. Se dedica a detectar contenido generado por IA. Sus investigadores Om Ogale, Paul Esau y Alex Cui auditaron el informe de EY y publicaron los resultados en su blog.

El recuento es contundente. De las 27 citas del informe, 16 eran lo que GPTZero llama vibe citations: referencias que parecen reales pero no apuntan a ninguna fuente real. Es decir, alrededor del 60% de las citas estaban alucinadas. Casi todas las URLs del documento estaban rotas o eran inventadas, y más de la mitad de los títulos no correspondían a fuentes reales.

El caso más llamativo es una cita a un supuesto informe de McKinsey & Company titulado Loyalty Economics Report (2022). GPTZero buscó ese informe en las bases de datos, en los archivos y en las publicaciones oficiales de McKinsey. No existe. Rastreando el origen, los investigadores acabaron en un post oscuro de la revista de fintech británica Financial IT, publicado seis meses antes, donde aparecía exactamente la misma referencia ficticia. Edward Tian lo llama "alucinación de segunda mano": la IA no inventó la cita de cero, se la copió a un blog poco fiable y la subió de categoría hasta colarla en una publicación de una Big Four.

Las cifras tampoco cuadran entre sí. El informe da el tamaño del mercado global de loyalty como 200.000 millones de dólares en una página, y en otra atribuye esa misma cantidad al valor de los puntos no canjeados a nivel mundial. Son dos cosas distintas. No pueden ser la misma cifra.

Qué hizo EY

Una vez publicadas las inconsistencias, EY retiró el documento de su web. La firma declaró al Financial Times que el informe no estaba conectado con el trabajo para ningún cliente, que se tomaba en serio la exactitud del contenido publicado y que tenía un compromiso de toda la organización con el uso responsable de la IA. Abrió además una revisión interna de las circunstancias que llevaron a la publicación.

Por qué importa más allá de EY

El informe ya había salido al mundo. The Canberra Times lo citó en un artículo que fue sindicado a más de 60 periódicos australianos. GPTZero detectó además que los datos del informe habían empezado a aparecer como fuente "fiable" en respuestas de ChatGPT, Claude y Perplexity. Una vez que un documento con sello de Big Four entra en el caldo, los demás sistemas lo beben.

Sandra Wachter, profesora de tecnología y regulación en el Oxford Internet Institute, lo resume sin filtro: la IA generativa no entiende lo que le preguntas, no entiende los conceptos y no consulta una biblioteca curada. Los modelos se comportan como lo que ella llama bullshitters: producen texto plausible sin un compromiso con la verdad. Cuando un consultor lo usa sin verificar y un cliente lo lee asumiendo que una Big Four ya ha hecho el control de calidad, el resultado es el que se publicó: ficción con tipografía corporativa.

Este episodio no aparece solo. Sullivan & Cromwell se disculpó hace poco ante un tribunal de Nueva York por citas legales inexactas en un escrito. Deloitte tuvo que revisar un informe para un gobierno provincial canadiense por citas académicas falsas. GPTZero asegura haber detectado al menos seis informes de consultoras con citas inventadas, URLs rotas y estadísticas contradictorias.

La lectura limpia

Lo de EY no es un fallo de la IA. Es un fallo del proceso editorial humano. La IA hizo lo que hace siempre: producir texto que suena correcto. Lo que falló fue la cadena de revisión: nadie comprobó si las fuentes existían antes de poner el logo de EY encima.

Vender servicios de ciberseguridad con un informe que tiene 16 citas falsas de 27 es, por decirlo suave, un problema de credibilidad. Si la firma que te asegura los sistemas no se asegura de que sus propios datos son reales, el cliente tiene motivos para pedir doble verificación. Y el ecosistema entero (los periódicos que lo citan, los modelos que lo entrenan) hereda el ruido sin saberlo.