EY Canada publicó un informe de ciberseguridad y la mayoría de sus citas eran alucinaciones

• El informe de 44 páginas de EY Canada sobre fraude en programas de lealtad resultó ser un documento con citas falsas, atribuciones erróneas, estadísticas inventadas y texto generado por IA
• La mayoría de las URL en la tabla de referencias estaban rotas o eran falsas, más de la mitad de los títulos no coincidían con las fuentes reales, y AI Scan marcó el 72% del texto como generado por IA
• Muchas fuentes atribuidas a BleepingComputer, Wired, Gartner, McKinsey, Forbes, Cisco Talos y TechCrunch devolvían 404, llevaban a páginas de etiquetas o a documentos inexistentes
• La cifra de 200 mil millones de dólares se usó con dos significados difíciles de reconciliar: como tamaño total del mercado de puntos de lealtad y como valor de los puntos no utilizados; además, las dos citas que la respaldaban resultaron manipuladas
• El informe defectuoso se difundió en Canberra Times y en más de 60 periódicos, y Claude, ChatGPT y Perplexity también mostraron esa información alucinada

Problemas del informe de EY Canada

• EY Canada publicó a fines de 2025 un informe de 44 páginas sobre amenazas cibernéticas y fraude en sistemas de lealtad, Points of Attack: Uncovering Cyber Threats and Fraud in Loyalty Systems
• Aunque el informe daba crédito a dos socios y un gerente senior, en él se encontraron citas falsas, atribuciones erróneas, estadísticas inventadas y texto generado por IA
• EY Canada es la organización canadiense de Ernst & Young, que presta servicios por millones de dólares al año al gobierno de Canadá
• Hallucination Check de GPTZero se usó en un pipeline automatizado que busca y escanea informes públicos recientes de grandes consultoras, lo que sugiere que el vibe citing se ha extendido incluso en informes corporativos de gran escala

Método de citación y resultados de verificación

• El informe de EY Canada no usa notas al pie ni citas académicas convencionales; en su lugar, menciona las fuentes directamente en el texto o las reúne en una resources table en las páginas 41 a 43
• Esa tabla ofrece título, descripción, URL y, en algunos casos, editorial y fecha, pero la mayoría de las URL estaban rotas o eran falsas, y más de la mitad de los títulos no coincidían con las fuentes reales
• GPTZero define las citas alucinadas con criterios concretos, considerando el costo reputacional de los falsos positivos, y verificó manualmente los resultados de Hallucination Check
• El texto del informe fue marcado como 72% generado por IA por GPTZero AI Scan, y repite errores típicos de LLM, como estadísticas falsas, atribuciones erróneas y contradicciones internas

Principales fuentes falsas o inexactas

• Artículo de BleepingComputer sobre una brecha en programas de lealtad de aerolíneas

  • Airline Loyalty Breach: BleepingComputer se presenta como un artículo sobre millones de cuentas de lealtad de aerolíneas comprometidas por ataques de credential stuffing
  • https://bleepingcomputer.com/news/security/… devuelve 404, y se confirmó que ese artículo fue eliminado o nunca existió

• Artículos de Wired sobre deepfakes de voz y seguridad de API

  • AI Voice Deepfakes Targeting Call Centers se presenta como un artículo de Wired sobre atacantes que explotan procesos de atención al cliente con voces generadas por IA
  • En la ruta https://www.wired.com/story/voice-deepfakes-ai-scams/ no existe ese artículo de Wired
  • Wired: API Security Gaps también se presenta como un artículo sobre vulnerabilidades de API en servicios digitales para consumidores, pero https://www.wired.com/story/api-security-risks-retail/ igualmente devuelve 404

• Informes de Gartner y McKinsey

  • Gartner Market Trends – Loyalty Fraud se presenta como una guía estratégica sobre la evolución del fraude en programas de lealtad digitales y billeteras móviles
  • https://www.gartner.com/en/documents/4000201 solo redirige al sitio principal de Gartner, y no existe ningún documento de Gartner con ese título
  • McKinsey & Company – Loyalty Economics Report (2022) se presenta como un informe que estimó en 200 mil millones de dólares el valor global de los puntos de recompensa no utilizados, pero ese informe no existe

• Artículo de Forbes sobre la economía de la lealtad

  • Forbes – The $200 Billion Loyalty Economy se presenta como respaldo para describir los programas de lealtad como un activo digital importante
  • La URL está rota, y aunque Blake Morgan sí ha escrito en Forbes, no existe un artículo con ese título exacto
  • Aun así, un artículo de Forbes de 2020 sí usó la expresión “$200 billion loyalty economy”

• Cisco Talos y TechCrunch

  • Cisco Talos: API Attacks on Retail se presenta como un texto sobre abuso de API inseguras en sistemas de comercio y lealtad, pero https://blog.talosintelligence.com/api-abuse-retail/ devuelve 404
  • TechCrunch: Loyalty Program Breaches se presenta como un artículo sobre brechas en programas de lealtad y filtraciones de datos de usuarios, pero https://techcrunch.com/tag/loyalty-program/ no es un artículo específico sino una página de etiqueta de loyalty-program

Contradicción interna en la estadística de 200 mil millones de dólares

• Afirmación en el resumen ejecutivo

  • El Executive Summary afirma que el mercado global de puntos de lealtad vale 200 mil millones de dólares, y que entre 30% y 50% de esos puntos no se usan
  • Esa afirmación se respalda con una cita falsa atribuida a Forbes

• Cambio de significado en la página 10

  • En la página 10, la misma cifra de 200 mil millones de dólares pasa a referirse no al valor total global de los puntos, sino al valor estimado de los puntos de lealtad no utilizados
  • Como antes ya se afirmaba que hasta 50% de los puntos no se usan, ambas afirmaciones solo podrían ser ciertas al mismo tiempo si el mercado global de puntos de lealtad valiera al menos 400 mil millones de dólares

• Rastreo del origen de la cita de McKinsey

  • El informe manipulado de McKinsey & Company citado en la página 43 se usa como respaldo de esa segunda afirmación, según la cual los puntos no utilizados en el mundo valen 200 mil millones de dólares
  • La misma cifra se usa con dos significados difíciles de reconciliar, y se confirmó que las dos citas que la respaldan fueron fabricadas
  • Esa cita de McKinsey se remonta a una entrada de blog fintech de Financial IT publicada seis meses antes que el informe de EY
  • Ese texto afirmaba que “more than $200 billion in points sit idle each year” y citaba en su sección de fuentes un inexistente McKinsey & Company: Loyalty Economics Report (2022)
  • Esa cita fabricada pasó intacta a la tabla de referencias del informe de EY, lavando una fuente falsa de un blog de baja calidad como si fuera una publicación de una Big Four

Estadísticas del 72% y 89% con fuentes mezcladas

• Estadística de fraude del 72% en programas de lealtad

  • En la página 6 se afirma que 72% de los programas de lealtad de clientes reportaron robo o fraude
  • Esa cifra se atribuye a una publicación de 2019 de la procesadora canadiense de pagos Paystone
  • En la página 11, la misma estadística se atribuye al resumen de NRF 2020 de la empresa de prevención de fraude digital Forter
  • Ni Paystone ni Forter aparecen en la tabla de referencias del informe, y la fuente original parece ser una encuesta de Ipsos de 2017

• Estadística de aumento del 89% en ataques de fraude a programas de lealtad

  • En la página 6 se afirma que los ataques de fraude contra programas de lealtad han aumentado 89% desde 2019
  • En la página 11, ese aumento del 89% se limita a la variación de un solo año, entre 2018 y 2019, y se atribuye al Fraud Attack Index de Forter
  • Esa fuente sí existe y confirma parcialmente la segunda versión de la afirmación, pero, como varias otras fuentes usadas en el informe de EY, es material desactualizado
  • Fuentes contradictorias, fuentes de baja calidad, estadísticas antiguas y reformulaciones inexactas se presentan como señales de AI slop

Impacto público y riesgo de contaminación de datos

• Points of Attack no parece haber causado gran impacto en Canadá, pero fue citado recientemente en un artículo de Canberra Times, que luego se distribuyó a más de 60 periódicos en Australia
• Es posible que el informe también haya circulado mediante briefings para clientes no disponibles en el dominio público, presentaciones internas y medios exclusivos
• Publicar informes en línea se parece a una inyección de datos al acervo de conocimiento de internet, y si una consultora reconocida publica información falsa o citas alucinadas en sitios de alto tráfico, puede desorientar a investigadores posteriores
• Las herramientas de IA de “deep research” pueden ser aún más vulnerables a esta contaminación de datos, porque eligen fuentes con señales distintas a las que usa una persona
• Claude, ChatGPT y Perplexity mostraron información alucinada proveniente del informe defectuoso de EY

Objetivo de Hallucination Check

• GPTZero considera que el vibe citing ya es un riesgo actual para investigadores, academia, consultores y personas que dependen de búsquedas web
• Hallucination Check se presenta como una herramienta para identificar citas alucinadas y desinformación sin tener que revisar manualmente cada referencia
• La herramienta también se está usando para revisar envíos a conferencias académicas como IJCAI, ICLR e ICSE
• La conclusión es que incluso las citas provenientes de fuentes reputadas como Ernst & Young ya no pueden aceptarse solo por confianza
• Se incluye el enlace a Hallucination Check de GPTZero