Durante mucho tiempo, la regulación ha sido una fuerza impulsora de la inversión en ciberseguridad en el sector bancario. En la UE, la Ley de Resiliencia Operativa Digital (DORA) ha transformado significativamente el panorama, introduciendo requisitos obligatorios de notificación de incidentes y obligando a las instituciones a reforzar la resiliencia y minimizar el riesgo financiero, mediante una gestión proactiva del riesgo. Muchos bancos aún se encuentran en proceso de adaptar sus marcos de riesgo existentes, por sofisticados que sean, a las nuevas normas de DORA.
El intercambio de información se ha convertido en una prioridad clave en este entorno regulatorio. Cuanto más fácilmente compartan las instituciones la información sobre incidentes y métodos de ataque, mejores serán las defensas colectivas del sector. Esta mentalidad colaborativa, poco común hace unos años, se considera cada vez más esencial. Este cambio ha cobrado aún más importancia dado el ritmo de innovación en el sector tecnológico, que está proporcionando a los actores maliciosos acceso a herramientas como la IA y, en poco tiempo, la computación cuántica, capacidades que los marcos de cumplimiento actuales aún no abordan plenamente.
“Las actualizaciones normativas suelen ir con uno o dos años de retraso respecto a las amenazas emergentes, lo que significa que, a menudo, las instituciones se adelantan a las directrices oficiales”.
Cy Sturdivant Director, Forvis Mazars en Estados Unidos
La relación entre la regulación y la seguridad no está exenta de tensiones, por supuesto. El cumplimiento normativo puede impulsar la innovación, pero también puede limitarla, al exigir exhaustivos procesos de aprobación y el cumplimiento de requisitos en un momento en que el panorama de amenazas evoluciona más rápido que nunca. Esto crea una brecha cada vez mayor entre las expectativas regulatorias y las realidades operativas de la ciberdefensa.
La banca presenta un perímetro de ataque excepcionalmente amplio. El phishing, el ransomware, el fraude por suplantación de CEO y el robo de credenciales se encuentran entre los tipos de ataque más comunes, y la sofisticación de estas campañas no deja de crecer. Además, a diferencia de muchos sectores, las instituciones financieras deben defender no solo su propia infraestructura empresarial de TI, sino también los terminales de los consumidores a través de los cuales millones de clientes interactúan a diario con sus servicios. Esta doble exposición aumenta tanto la complejidad como el volumen de vulnerabilidades potenciales.
Los sistemas heredados siguen siendo una vulnerabilidad persistente. La migración a servicios en la nube, manteniendo al mismo tiempo los estrictos requisitos de seguridad que exige el sector, es un proceso complejo y que requiere mucho tiempo, y el propio periodo de transición introduce nuevos riesgos. A esto se suma el reto de gestionar cadenas de suministro que pueden incluir miles de proveedores externos, a menudo con un nivel de madurez de seguridad desigual, lo que amplia aun más el alcance del problema.
Las pruebas de penetración son una práctica bien establecida en la banca, pero tienen sus límites. Las pruebas pueden realizarse internamente, pero extenderlas a los dispositivos de los clientes plantea problemas de confidencialidad que dificultan la realización de pruebas exhaustivas. Esto otorga un papel esencial a la educación del cliente como estrategia de gestión del riesgo en sí misma, ya que los clientes se convierten en una extensión del perímetro de seguridad de la institución.
Para las instituciones más grandes, la presión para innovar es intensa y en ningún ámbito más que en el de la inteligencia artificial (IA), que se señaló como el factor externo número uno que afectará a las instituciones financieras en 2026. La IA está evolucionando tan rápidamente que incluso los bancos con amplios recursos tienen dificultades para anticipar y prepararse ante las amenazas emergentes. La autenticación de dos factores, considerada durante mucho tiempo una medida de seguridad fiable, se enfrenta a nuevas vulnerabilidades, a medida que las plataformas que la soportan -incluidos los servicios de correo electrónico de uso generalizado- se convierten en objetivos por derecho propio. Esta erosión de la confianza en controles que antes eran fiables está obligando a las instituciones a reconsiderar supuestos de seguridad arraigados desde hace tiempo.
La computación cuántica plantea una preocupación a más largo plazo, pero significativa, especialmente para un sector que atrae algunos de los ataques más sofisticados del mundo. La posibilidad de que la computación cuántica permita descifrar contraseñas pone en tela de juicio todo el modelo de autenticación de los consumidores. Prepararse para un entorno pos-cuántico ya no es un ejercicio teórico, sino una necesidad estratégica.
La respuesta de los bancos ante la IA ha sido cautelosa y deliberada. La implementación suele tener lugar en entornos de pruebas y herramientas incluso relativamente modestas, como Microsoft Copilot, que apenas están empezando a desplegarse en varias instituciones. Aun así, el potencial estratégico es claro: se están explorando activamente aplicaciones de IA para la detección de fraudes, la atención al cliente y la evaluación de riesgos, con varios proveedores tecnológicos importantes que están desarrollando herramientas específicas para servicios financieros. Sin embargo, aunque gran parte del discurso sobre la IA se centra en el aumento de las amenazas, puede que de este debate surja una ventaja inesperada:
“Los profesionales de la ciberseguridad llevan años reclamando una mejor gobernanza de los datos. Ahora, con la IA como prioridad estratégica para la mayoría de las grandes instituciones financieras, esa gobernanza de los datos está adquiriendo prioridad en aras de dicha implementación, lo que también genera beneficios en materia de ciberseguridad”.
Zach Shelton Director, Forvis Mazars en Estados Unidos
La elevada madurez de la ciberseguridad en el sector bancario conlleva un reto estructural: el tamaño. Las grandes instituciones financieras son, por naturaleza, organizaciones complejas y lentas. Esto significa que, aunque exista la voluntad de actuar con rapidez, puede resultar difícil adaptarse a las nuevas amenazas, ya que coordinar a miles de empleados, múltiples sistemas heredados y un denso entorno normativo puede ralentizar la toma de decisiones.
Las iniciativas de transformación digital ilustran esta tensión. La presión por ofrecer rápidamente nuevas funciones y servicios en línea puede llevar a priorizar la velocidad sobre los controles de seguridad. Las decisiones presupuestarias tampoco suelen ser sencillas, ya que requieren un equilibrio constante entre innovación, crecimiento y protección. La arquitectura Zero Trust está ampliamente reconocida como la dirección correcta a seguir, ya que ofrece una sólida protección al partir de la base de que ningún usuario o sistema es intrínsecamente fiable. Pero su implementación es una tarea de gran envergadura y, para muchas instituciones, sigue siendo un trabajo en curso. A ello se suma la dependencia de plataformas de terceros, que introduce una exposición adicional cuando no se aplica de forma sistemática una evaluación continua de los riesgos.
“Externalizar un servicio no significa externalizar la responsabilidad que conlleva e, incluso para las pequeñas instituciones financieras y los bancos comunitarios, que a menudo dependen de proveedores de servicios de TI y de gestión externalizados para su ciberseguridad, existe la responsabilidad ante los clientes de proteger sus datos y su capital”.
-Zach Shelton, director, Forvis Mazars en Estados Unidos
La madurez de la ciberseguridad en el sector bancario, que se sitúa entre media y alta, no es casual. Es el resultado de décadas de presión regulatoria, de una experiencia ganada a pulso y de una conciencia aguda de lo que está en juego. Lo que distingue a las organizaciones más maduras no es solo la tecnología que implementan, sino la forma estratégica en que integran la seguridad en todas las capas del negocio: con una mentalidad proactiva en lugar de reactiva, y con la seguridad incorporada en los procesos desde el diseño en lugar de añadida a posteriori. El camino a seguir pasa por combinar tecnología avanzada, procesos sólidos y formación continua, tratando la ciberseguridad como una disciplina cotidiana en lugar de una iniciativa periódica, especialmente a medida que las instituciones exploran nuevas áreas de innovación.
“A medida que el ritmo del progreso continúa acelerándose, los bancos y otras instituciones financieras dirigidas al consumidor tendrán que encontrar un equilibrio entre la innovación y la seguridad”.
Luis Reinoso Director, Forvis Mazars en España
Los bancos refuerzan su resiliencia alineando sus marcos de riesgo con las nuevas normas, mejorando la notificación de incidentes y potenciando el intercambio de información, al tiempo que integran la seguridad en las operaciones diarias para adelantarse a las amenazas en rápida evolución.
La IA y la futura computación cuántica amplían las oportunidades de sufrir un ataque al debilitar los métodos tradicionales de autenticación y acelerar las capacidades de los atacantes, lo que exige una gobernanza más sólida y una inversión continua en ciberseguridad.
Los líderes deben dar prioridad al diseño seguro en los programas de transformación, invertir en arquitecturas modernas, mantener la supervisión de los proveedores externos y garantizar una prestación rápida pero segura de los nuevos servicios digitales.
Explora cómo la rápida innovación, las amenazas en constante evolución y los cambios regulatorios darán forma a la ciberseguridad en 2026.
Nuestro último estudio revela un mundo empresarial que está impulsando el cambio, invirtiendo en tecnología y en las personas, y replanteando estrategias para mantenerse a la vanguardia frente a la disrupción y la competencia El éxito ahora depende tanto de la adaptabilidad como de la ambición.
Fortaleciendo las cadenas de suministro digitales y construyendo resiliencia para el crecimiento empresarial
Luis Reinoso, Director de Consultoría Tecnológica y Ciberseguridad se unió al equipo de Consultoría de Forvis Mazars en 2023 para construir una práctica sólida en esta materia con el fin de asesorar a las empresas en materia de ciberseguridad. En el mes de la ciberseguridad analizamos como la ciberseguridad se ha convertido en un tema capital para las organizaciones.
Este sitio web utiliza cookies.
Algunas de ellas son necesarias, mientras que otras nos ayudan a analizar el tráfico, ofrecer publicidad y otorgar experiencias personalizadas para usted.
Para más información sobre las cookies que usamos, por favor consulte nuestra Política de Privacidad.
Este sitio web no puede funcionar correctamente sin estas cookies.
Las cookies analíticas nos ayudan a mejorar nuestro sitio web mediante la recopilación de información sobre su uso.
Utilizamos cookies de marketing para aumentar la relevancia de nuestras campañas publicitarias.