Lectura 4:00 min
Regulación y educación son las fallas del sector financiero mexicano ante ciberataques
Aunque 77% de las instituciones financieras mexicanas planean aumentar su inversión en ciberseguridad, solo 25% tiene un plan integral, lo que genera pérdidas anuales estimadas en 15,000 millones de dólares.
América Latina se ha convertido en un terreno fértil para el ransomware y otros ataques sofisticados. México, en particular, destaca como el segundo país más atacado de la región con el 13.32% de las amenazas registradas en 2023, solo detrás de Brasil (22.61 por ciento).
Arturo Cabañas, principal de Cumplimiento y Seguridad en la Nube de AWS, reconoce dos grandes fallas estructurales en el sector financiero mexicano: una educación deficiente, tanto técnica como ciudadana, y un entorno regulatorio desarticulado.
“La principal vulnerabilidad no es técnica, es humana”, advirtió Cabañas en entrevista.
El especialista aseguró que el ransomware, el cual representó 79% de los ataques en América Latina frente a un promedio global de 53%, encuentra su puerta de entrada en errores cotidianos de los usuarios: abrir correos maliciosos, dar clic a enlaces sospechosos, o utilizar contraseñas débiles.
Esta debilidad es alimentada por una falta generalizada de capacitación. Según el reporte LATAM Financial Sector Threat Landscape 2025, elaborado por DigiAmericas en colaboración con AWS, la región carece de estándares obligatorios de formación en ciberseguridad dentro de las instituciones financieras, y solo 25% de las organizaciones en México ha implementado un plan integral de ciberseguridad, pese a que 77% afirma que aumentará su presupuesto en este rubro.
“Incluso empleados de bancos y fintech carecen de la formación necesaria para reconocer y responder a amenazas como la ingeniería social, que hoy puede replicar con la voz con inteligencia artificial o la escritura de un colega para pedir transferencias urgentes”, dijo el directivo.
Tecnología legada
Otro de los puntos críticos identificados es el uso de infraestructuras tecnológicas obsoletas. En México, muchas instituciones, especialmente las pequeñas y medianas, siguen operando con sistemas heredados (legacy systems) y software sin actualizar, lo que genera vulnerabilidades conocidas que son explotadas recurrentemente por grupos como LockBit o Mispadu.
El informe muestra que 94% de los ataques en la región se valen de tácticas como intrusión en sistemas, vulnerabilidades en aplicaciones web e ingeniería social, todas prevenibles con tecnología actualizada y buenas prácticas de autenticación multifactor. Sin embargo, solo una minoría ha adoptado marcos internacionales como ISO 27001 o NIST, lo que los deja fuera de los estándares mínimos aceptables.
Cabañas aseguró que esta situación es paradójica: “Tecnologías como la nube permiten acceso ágil y económico a servicios con más de 2,000 controles de seguridad. Pero muchas entidades financieras mexicanas siguen dependiendo de infraestructura on-premise costosa y difícil de mantener segura”.
Simulación de cumplimiento
México, como otros países latinoamericanos, enfrenta una tercera falla estructural: la desarticulación normativa. Aunque el país cuenta con regulaciones que permiten y hasta promueven el uso de servicios en la nube, como la Ley General de Protección de Datos Personales, la falta de armonización con estándares internacionales sigue siendo un obstáculo.
“La regulación debería ser proporcional al riesgo”, dijo Cabañas.
Sin embargo, muchas veces se exige el mismo número de controles a una fintech que a un banco multinacional, lo cual es ineficiente e inoperable. Esto conduce a una “simulación de cumplimiento”, se declaran protocolos que no se ejecutan, se crean planes que no se prueban.
El reporte confirma esta disociación. Aunque las instituciones financieras muestran el mayor nivel de divulgación en ciberseguridad en la región, con un índice de 0.52 en 2020 (en una escala de 0 a 1), los mecanismos de respuesta a incidentes tienen una puntuación mucho menor: 0.36 en procedimientos y 0.47 en efectividad de monitoreo.
Impacto económico
Los costos económicos de estas vulnerabilidades son importantes. En México, el impacto potencial de ciberataques podría ascender hasta 90,000 millones de dólares, equivalente a 6% del PIB, si se considera la afectación a infraestructura crítica. Actualmente, se estima que las pérdidas por cibercrimen en el sector financiero mexicano rondan los 15,000 millones de dólares.
Estos costos incluyen desde el pago de rescates (ransom), pérdida de operaciones y daño reputacional, hasta sanciones regulatorias y pérdida de confianza de los clientes. En 2024, el grupo LockBit exigió 2.5 millones de dólares a un banco brasileño tras secuestrar su infraestructura virtual. Situaciones similares se han registrado en México con grupos como Horabot y Blind Eagle.
México ya tiene parte del camino avanzado: apertura regulatoria a la nube, talento técnico en formación y creciente conciencia del problema.
“Lo que vemos no es una falta de intenciones, sino una brecha entre lo que se declara y lo que realmente se hace”, dijo Cabañas.
