Tiempo de lectura aprox: 4 minutos, 42 segundos
Por Abdeel I. Flores Hinojosa[1]
Para nadie es novedad que, en las últimas décadas, el avance tecnológico ha obligado a replantear la forma en que hacer frente a los nuevos riesgos, en especial en materia de ciberseguridad. Las entidades financieras, por la naturaleza crítica de los activos que resguardan, se han convertido en uno de los principales blancos de los ciberataques.
De acuerdo con la plataforma global de concientización en ciberseguridad KnowBe4, en su más reciente “Financial Sector Threats Report 2024”, las instituciones financieras atraviesan una tormenta perfecta: ataques potenciados por inteligencia artificial, robo de identidad masivo y vulneraciones constantes a los sistemas que, en conjunto, representan un “riesgo sistémico” para el sector financiero mundial. El reporte señala que: (i) las instituciones financieras sufren hasta 300 veces más ciberataques que otras industrias, con un aumento de 25% en 2024; (ii) que el 97% de los bancos en Estados Unidos y el 100% de las firmas en Europa experimentaron brechas con proveedores; (iii) en la dark web, las credenciales robadas superan ya al robo de tarjetas y los intentos de infección por infostealers crecieron 58% durante 2024; y finalmente, (iv) destaca que Asia y Latinoamérica se perfilan como nuevos paraísos de los ciberdelincuentes, impulsados por estándares de seguridad más laxos.
El hecho de que más del 90% de las entidades financieras hayan experimentado brechas de seguridad con proveedores permite concluir que no basta con entregar información legal, operativa, de riesgo y vulnerabilidad, proyecciones financieras o el llenado del Anexo F-SA (Formato de Información de Sistemas Aplicativos) como meras formalidades administrativas; sino que son necesarias normas más robustas para la prevención y la resiliencia frente a ataques derivados del uso de proveedores de las entidades financieras.
En el mundo existen más de 15,000 prestadores de servicios tecnológicos vinculados al sistema financiero, representando un verdadero abismo de contingencias, pues en un entorno globalizado la prestación de servicios en México no encuentra ya con barreras significativas. Actualmente, sólo se cuenta en México con la Guía para la Autorización de Contratación de Servicios con Terceros, dirigida a las Instituciones de Crédito y emitida por la Comisión Nacional Bancaria y de Valores (“CNBV”), sin perjuicio de las normas financieras y circulares únicas aplicables a cada sector que sí se pronuncian con relación al riesgo operacional tecnológico genérico. Este instrumento es meramente informativo, una forma de comunicación del Regulador que no constituye una ley ni una disposición de carácter obligatorio, pues su fundamento deriva únicamente de las facultades de supervisión con las que cuenta la CNBV.
Lo anterior no constituye una crítica a nuestro regulador, que bastante trabajo tiene ya frente a la acelerada evolución del sector financiero en México, sino una reflexión en el sentido de que es necesario transitar de instrumentos no vinculantes hacia normas de carácter obligatorio que realmente velen por la resiliencia digital de las entidades financieras.
Un gran ejemplo de lo anterior es el esfuerzo que ha realizado Europa desde el 2023 con la entrada en vigor del DORA – Digital Operational Resilience Act, cuya aplicación es obligatoria para los 27 países miembros de la Unión Europea. Este reglamento establece parámetros cualitativos y cuantitativos tendientes a la resiliencia digital del sector financiero europeo mediante un esquema único y armonizado que aplica tanto a instituciones financieras como a sus proveedores tecnológicos. Su finalidad es garantizar que estos actores puedan anticipar, resistir, responder y recuperarse de incidentes graves relacionados con tecnologías de la información y comunicación, ya sea ciberataques o fallos operativos. Los pilares de dicho reglamento son: (a) gestión de riesgos TIC; (b) reporte de incidentes; (c) pruebas de resiliencia; (d) control sobre terceros proveedores; y (e) mecanismos de intercambio de información, con lo cual se busca reducir la fragmentación normativa entre los países miembros y asegurar la estabilidad del mercado financiero de la Unión Europea.
Asimismo, una variable importante y en contraste con nuestro marco jurídico mexicano, es que este reglamento tiene un ámbito de aplicación personal sui generis. No solo aplica a las entidades financieras europeas, sino también a los Proveedores TIC (Tecnologías de la Información y la Comunicación) y a los Proveedores Críticos de Terceros (CTPP) bajo un esquema de supervisión directa ampliada. De aplicarse algo similar en México, es claro que no será del agrado de todos los proveedores, quienes con seguridad argumentarán que no cuentan con los recursos suficientes, a diferencia de una entidad financiera, para dar cumplimiento a la regulación. Sin embargo, a pesar de lo anterior, sí representa un beneficio para el regulador que históricamente ha recurrido a clausulados regulatorios forzados en contratos marco para ejercer una especie de supervisión indirecta, pero que a la postre no resulta suficiente para supervisar ni mucho menos para sancionar.
Un aspecto que robustece especialmente al DORA es su régimen sancionador. No se trata únicamente de un marco de buenas prácticas o de recomendaciones técnicas, sino de un reglamento con normas que implican consecuencias legales claras ante su incumplimiento. Si bien en México también existen sanciones la realidad es que éstas con la severidad que establece el DORA ni, mucho menos, con aplicación directa a los proveedores tecnológicos. En Europa, en cambio, tanto las instituciones financieras como los prestadores críticos de servicios tecnológicos están sujetos a consecuencias económicas y administrativas alto impacto, dotando al reglamento de un carácter coercitivo que refuerza la resiliencia digital del sistema financiero. Bajo el DORA, las instituciones financieras y los proveedores tecnológicos críticos que incumplan con sus disposiciones pueden enfrentar multas de hasta el 2% de su facturación anual global o diez millones de euros, lo que resulte más elevado. Adicionalmente, se contemplan sanciones diarias equivalentes al 1% de la facturación promedio en caso de incumplimientos continuados, así como medidas administrativas como la suspensión de contratos, órdenes de remediación inmediata e incluso sanciones a directivos en los supuestos más graves.
Trasladar este nivel de rigidez regulatoria al contexto mexicano exige reconocer las particularidades del contexto nacional. En México, la mayor parte de la tecnología financiera no se desarrolla localmente, sino que se adquiere mediante licencias extranjeras o a través de proveedores internacionales. Si bien el marco regulatorio mexicano prevé un catálogo de proveedores exentos, dichas licencias solo gozan de esa condición cuando la infraestructura se mantiene on premise, mientras que la mayoría de las soluciones actuales operan bajo esquemas SaaS.
Esto implica necesariamente la autorización de la autoridad, en procesos que en la práctica pueden extenderse de seis meses hasta varios años, con costos adicionales (legales y financieros), riesgos de incumplimiento y con requerimientos recurrentes durante la evaluación. En varios casos, esta dinámica ha terminado por incentivar que las entidades financieras contraten primero y regularicen después, asumiendo la sanción como un costo operativo. Aunado a lo anterior, aunque los trámites ya se presentan de manera digital, en México aún se carecen de herramientas de Regtech que aporten agilidad, trazabilidad y eficiencia a la supervisión.
Por ello, el camino no necesariamente implica replicar de manera idéntica el modelo europeo, sino por adaptarlo a la realidad mexicana. La clave consiste en dotar a la CNBV y a las propias instituciones financieras de un marco que combine la firmeza de normas vinculantes con mecanismos adaptados a nuestro ecosistema tecnológico y regulatorio. De esta forma, podremos transitar de simples lineamientos informativos hacia reglas que fortalezcan de manera efectiva la resiliencia digital del sistema financiero nacional, sin frenar la innovación ni la competitividad.
En este contexto, el verdadero reto para las instituciones financieras mexicanas no se circunscribe sólo a cumplir con lo que hoy la norma les exige, sino que advierte la necesidad de prepararse para un escenario en el que la resiliencia digital será un requisito indispensable para sostener la confianza del mercado y la continuidad del negocio.
La experiencia permite confirmar que, anticiparse en materia de ciber resiliencia y regulación tecnológica no solo reduce riesgos, sino que abre espacios de innovación y competitividad. Fortalecer la resiliencia digital del sistema financiero mexicano no es un freno a la innovación, sino una condición necesaria para que ésta prospere de manera sostenible y con responsabilidad social.
[1] Abogado especialista en Derecho Corporativo, Financiero y Bursátil. Es Maestro en Derecho Financiero por la Universidad Panamericana, catedrático de Derecho Societario en la Universidad La Salle, y Socio en México de la firma Caral Law, Environment & Community (antes B-WISE Conducta Empresarial Responsable).
También te puede interesar: Cierra Sabadell México acuerdo con entidad de España para financiar proyectos sustentables por 70 mdd
