La doble presión que está sobre las financieras — y cómo resolverla

 

La doble presión que está
sobre las financieras
— y cómo resolverla
antes de que sea tarde

La CNBV impuso ~800 multas por PLD en 2024 — 162% más que en 2023. A partir de 2026, el SAT fiscaliza masivamente cuentas de fintech y financieras no bancarias. Las sanciones van de $23,462 hasta $7.6 millones de pesos por omisión. Y perder el sello digital paraliza la operación de inmediato. La mayoría de las instituciones no tiene los datos, los procesos ni los sistemas para responder. La buena noticia: quien lo entiende bien, lo resuelve en semanas. No en años.

El director general lleva tres semanas con el mismo tema en cada reunión de consejo. La CNBV acaba de notificar una visita de inspección con foco en PLD. El SAT envió un requerimiento de información sobre operaciones de los últimos dos años. El Oficial de Cumplimiento pidió una reunión de emergencia. Y el sistema con el que trabaja el equipo de cumplimiento es — en el mejor de los casos — una hoja de cálculo con macros que alguien construyó hace cuatro años y que nadie sabe modificar sin romper. Esa escena no es hipotética. Es la conversación que ocurre hoy en docenas de SOFOMES, fintechs y financieras no bancarias en México. Y la respuesta que la mayoría está dando — más personal, más proveedores externos, más formularios — es la más cara y la más frágil de todas las posibles. Porque el problema no es de personal ni de formularios. Es de datos, de procesos y de secuencia. Y quien entiende esa secuencia lo resuelve en semanas, con los recursos que ya tiene, sin colapsar la operación mientras lo hace.

La presión regulatoria de 2026 no llegó de golpe. Se construyó durante años de marcos que se endurecían gradualmente — la Ley Fintech de 2018, la LFPIORPI y sus reformas, el artículo 115 de la LIC, y ahora la reforma fiscal 2026 que extiende las facultades del SAT a todas las entidades financieras. Las instituciones que reaccionan hoy tienen todavía margen. Las que esperan la visita de inspección para moverse, no.

~800multas impuestas por la CNBV por deficiencias en PLD en 2024 — 162% más que en 2023. SOFOMES y centros de cambio encabezan la listaExpansión · CNBV · marzo 2025

$216Mpesos en sanciones PLD aplicadas por CNBV en 2024 — el monto más alto en los últimos años. Scotiabank y BBVA entre los sancionadosCNBV · Regcheq · Expansión · 2025

$2Mpesos de multa máxima por cada omisión detectada en materia de PLD bajo el CFF — y la UIF puede bloquear cuentas sin orden judicial previaCFF · LFPIORPI · Armor-AML 2026

24 hrsplazo máximo para reportar Operaciones Sospechosas o Inusuales a la UIF desde la reforma LFPIORPI 2025 — exige detección en tiempo real, no en loteLFPIORPI · Acuerdo 77/2025 · Piranirisk 2025

2026SAT extiende su facultad de revisar estados de cuenta a todas las entidades financieras — no solo bancos. Fintech y SOFOMES en el radar directoReforma CFF 2026 · Expansión · Holland&Knight

Lo que cambió — y por qué 2026 es el año que no tiene margen de error

Durante años, la supervisión financiera en México tuvo una arquitectura de facto que las instituciones aprendieron a navegar: la CNBV supervisaba lo regulado, el SAT supervisaba lo fiscal, la UIF recibía reportes que muchas instituciones enviaban con retraso o incompletos, y la CONDUSEF gestionaba quejas de usuarios. Cada ventanilla tenía sus tiempos, sus formatos y sus tolerancias operativas. Esa arquitectura cambió.

La reforma fiscal de 2026 extiende las facultades del SAT para revisar estados de cuenta de cualquier entidad financiera — no solo bancos. SOFOMES, SOFIPOS, fintechs con licencia ITF, plataformas de financiamiento colectivo, procesadores de pago — todos están ahora en el perímetro de revisión directa. El SAT podrá presumir ingresos por depósitos en cuentas financieras salvo prueba en contrario. Las plataformas deben proporcionar información periódica sobre contribuyentes participantes, montos percibidos y naturaleza de operaciones. Y el nuevo Artículo 49 Bis establece visitas domiciliarias expeditas para verificar que los CFDI amparen operaciones existentes y reales.

En paralelo, la LFPIORPI reformada en julio 2025 redujo el plazo de reporte de Operaciones Sospechosas o Inusuales a máximo 24 horas desde que se detectan. Eso no es un ajuste burocrático. Es un cambio arquitectónico: significa que el monitoreo transaccional tiene que ocurrir en tiempo real, no en revisiones semanales o mensuales. Las instituciones que todavía procesan operaciones en lote y revisan alertas cada jueves no pueden cumplir ese plazo con procesos manuales.

Y la consecuencia de no cumplir dejó de ser solo una multa. Sin sello digital, una institución financiera no puede emitir facturas — lo que en la práctica paraliza la operación de inmediato. La UIF tiene facultades para bloquear cuentas bancarias de forma preventiva sin orden judicial. Las multas van desde 200 hasta 65,000 UMAs — equivalente a $23,462 hasta $7.6 millones de pesos en 2026 — por la LFPIORPI. Y el CFF establece hasta $2 millones de pesos por cada omisión individual detectada. El costo de no resolver esto ya no se calcula en multas administrativas. Se calcula en continuidad operacional.

El cumplimiento regulatorio no es un departamento. Es una capacidad organizacional que atraviesa operaciones, tecnología, datos y gobierno. Las instituciones que lo tienen integrado desde el diseño operan con tranquilidad en auditorías. Las que lo tienen como función separada y reactiva siempre están corriendo contra el tiempo de la visita del regulador.

El diagnóstico real: por qué las respuestas habituales no funcionan

Cuando la presión regulatoria sube, la reacción más común en las instituciones financieras medianas y pequeñas es predecible y comprensible: contratar más analistas de cumplimiento, externalizar la validación de clientes con un proveedor de KYC, pedir al área de TI que genere más reportes, y preparar un plan de acción para presentar al regulador que muestre "estamos trabajando en ello".

Esas respuestas no son incorrectas. Son insuficientes. Y en el contexto de 2026, pueden ser activamente peligrosas si se ejecutan en el orden equivocado.

El error más caro — y el más frecuente

Una empresa que implementa un sistema de validación automatizada sin antes validar que sus datos históricos son confiables puede automatizar errores a escala. En el contexto regulatorio de 2026, eso es peor que el problema original. El SAT puede presumir que un ingreso existió basándose en el depósito. Si la conciliación de ese depósito está mal clasificada en el sistema — porque los datos históricos no eran limpios cuando se migró al nuevo sistema — la institución tiene una operación con registro incorrecto ante el regulador, generada automáticamente por el mismo sistema que se implementó para resolver el problema.

El volumen de operaciones en fintech y SOFOMES crece más rápido que la capacidad humana de revisarlas. Eso es real. Pero la solución no es agregar tecnología encima de datos que no están en condiciones. Es, primero, verificar la calidad de la base de datos sobre la que va a operar esa tecnología. Si esa base no está en condiciones, la inversión tecnológica no resuelve el problema — lo desplaza y lo escala.

Lo mismo aplica para PLD. La LFPIORPI exige la identificación del Beneficiario Controlador — la persona física detrás de la persona moral — en todos los clientes. Muchas instituciones tienen en su base de clientes personas morales cuyo expediente solo tiene el RFC y la denominación social. Agregar un sistema de monitoreo transaccional sobre una base de clientes con expedientes incompletos no cumple la regulación. La generará alertas que nadie puede resolver porque el expediente que las contextualiza no existe.

El mapa completo de lo que hay que resolver — y en qué orden

La buena noticia — y es una buena noticia real, no un eufemismo — es que quien entiende bien el problema lo resuelve en semanas, no en años. Con el equipo correcto, con la secuencia correcta y con la claridad de que el objetivo no es impresionar al regulador con un plan de acción de 80 páginas. Es tener los datos, los procesos y los sistemas en condiciones reales de cumplimiento. Eso es más simple de lo que parece cuando se aborda con orden.

1

Diagnóstico de calidad de datos — antes de cualquier tecnología

¿Qué porcentaje de expedientes de clientes actuales tiene la información completa para cumplir KYC según las DCG? ¿Cuántos clientes personas morales tienen identificado al Beneficiario Controlador? ¿Cuántas operaciones de los últimos 24 meses tienen trazabilidad completa — origen, destino, CFDI asociado, clasificación? Ese diagnóstico toma días, no semanas. Y su resultado determina el tamaño real del problema — que frecuentemente es más manejable de lo que parece antes de medirlo.

2

Saneamiento de la base de clientes — KYC y KYB en paralelo con la operación

Los clientes con expedientes incompletos se segmentan por nivel de riesgo y por actividad reciente. Los de alto riesgo y actividad reciente se atienden primero. El proceso de actualización se diseña para ejecutarse en paralelo con la operación normal — no como un proyecto aparte que detiene el negocio. KYC correcto significa identificar al Beneficiario Controlador real, cruzar contra listas restrictivas (UIF, OFAC, ONU, PEPs) y documentar con trazabilidad que esa verificación ocurrió. KYB para personas morales significa ir más allá del RFC: composición accionaria, actividad económica real, fuente de recursos, coherencia entre lo declarado y lo operado.

3

Trazabilidad de operaciones — conciliación limpia que el SAT puede auditar

Cada operación necesita una cadena completa: quién ordenó, con qué propósito declarado, qué CFDI la ampara, cómo fue clasificada contablemente y qué conciliación existe entre lo registrado en el sistema interno y lo que el banco o el SPEI reportan. Eso no requiere un sistema nuevo en todos los casos. Requiere que el sistema existente esté operado correctamente — con catálogos limpios, con clasificaciones consistentes y con el proceso de conciliación ejecutado de forma sistemática. La diferencia entre una institución que supera una auditoría SAT y una que no lo hace frecuentemente no está en el sistema que usan. Está en cómo lo usan.

4

Monitoreo transaccional en tiempo real — la capa que opera sobre los datos sanos

Con la base de clientes saneada y la trazabilidad de operaciones en condiciones, el monitoreo transaccional puede implementarse correctamente. Las reglas de alertas se calibran sobre el comportamiento real de la cartera — no sobre parámetros genéricos de mercado que generan falsos positivos masivos. Las alertas tienen un proceso definido de atención, con responsable, plazo y criterio de clasificación entre Operación Inusual y Operación Sospechosa. El reporte a la UIF en 24 horas deja de ser una carrera contra el tiempo y se convierte en un proceso con pasos definidos.

5

IA con datos limpios — el paso que multiplica todo lo anterior

Con los cuatro pasos anteriores completados, la inteligencia artificial deja de ser un proyecto de innovación y se convierte en un acelerador operacional real. Modelos de detección de anomalías entrenados sobre el comportamiento real de la propia cartera. Scoring de riesgo de clientes actualizado con cada nueva operación. Generación automática de reportes para CNBV, UIF y SAT en los formatos requeridos. Alertas preventivas 15 días antes del vencimiento de obligaciones de reporte. Todo esto existe, funciona y está disponible hoy — sobre datos que estén en condiciones de recibirlo.

"La secuencia correcta no empieza por elegir tecnología. Empieza por entender qué tan confiable es la base de datos sobre la que va a operar esa tecnología. Si esa base no está en condiciones, la inversión no resuelve el problema. Lo desplaza."— Jorge Mercado · #JMCoach · CTO · Arquitectura Empresarial en Sectores Financieros Regulados

La diferencia entre una institución que supera una auditoría de la CNBV o del SAT y una que no lo hace raramente está en el sistema que usa. Está en la calidad de los datos que ese sistema procesa, en la coherencia de los procesos que alimentan esos datos y en la claridad del equipo sobre qué hace cada paso de la operación. Esa claridad es construible. En semanas, no en años.

Lo que las instituciones que resuelven esto bien tienen en común

He trabajado en banca, en fintech regulada bajo CNBV, en SOFOMES y en financieras no reguladas. En todos esos contextos, el patrón de las instituciones que salen bien de las auditorías — de PLD, de SAT, de CNBV — es el mismo. No es el presupuesto más grande. No es el sistema más sofisticado. Es la combinación de tres cosas que suenan obvias y que la mayoría no tiene integradas:

El patrón de las instituciones que cumplen bien

Datos que se mantienen limpios por proceso, no por proyecto. El expediente del cliente se actualiza en el flujo normal de la operación — no en un proyecto de limpieza de datos cada vez que viene una auditoría. La conciliación se hace al cierre de cada día, no a fin de mes. Las clasificaciones contables tienen catálogos controlados que no se modifican sin proceso de cambio documentado.

Responsables claros con autoridad real. El Oficial de Cumplimiento no es el abogado que también hace contratos y también atiende las disputas con proveedores. Es alguien certificado, dedicado, con acceso a la información que necesita y con la autoridad para detener una operación que no cumple los criterios — sin necesitar autorización del director general para hacerlo.

Tecnología que soporta procesos que ya funcionan. El monitoreo transaccional automatizado se implementó sobre un proceso de revisión manual que ya funcionaba correctamente. El reporte a la UIF está automatizado porque el proceso de clasificación de alertas estaba documentado y probado antes de automatizarse. La IA detecta anomalías sobre una base de comportamiento normal que estaba bien definida porque los datos históricos eran confiables.

Esas tres cosas no son costosas. Son disciplinadas. Y la diferencia entre tenerlas y no tenerlas es la diferencia entre una visita de inspección que se cierra en una semana y una que resulta en sanciones, en planes de corrección con seguimiento trimestral y en conversaciones que el consejo directivo no quería tener.

El valor adicional que nadie menciona — pero que es real

El cumplimiento regulatorio bien implementado no es solo un costo de operar. Es una ventaja competitiva documentada. Las instituciones con procesos de KYC robustos tienen menor tasa de fraude por suplantación de identidad — porque el mismo proceso que verifica al cliente para PLD también detecta intentos de apertura con identidades robadas. Las que tienen monitoreo transaccional en tiempo real tienen menor tasa de cartera vencida — porque las alertas de comportamiento inusual frecuentemente preceden los impagos en semanas. Las que tienen trazabilidad de operaciones limpia tienen menor costo de cobranza — porque pueden documentar cada contacto, cada promesa de pago y cada evento del expediente sin buscar información en cuatro sistemas distintos.

Y hay un beneficio que los fondeadores institucionales empiezan a evaluar explícitamente: las instituciones con cumplimiento regulatorio demostrable tienen acceso a tasas de fondeo menores. La CNBV y la UIF publican las sanciones. Los fondos y los bancos corresponsales las leen. Una institución que no ha tenido sanciones PLD en los últimos tres años negocia sus líneas de crédito desde una posición distinta a la de una que tiene dos multas registradas en el buró. Ese diferencial de tasa, calculado sobre una cartera de cientos de millones de pesos, paga varias veces el costo de implementar el cumplimiento correctamente.

Las cinco preguntas que el consejo debería poder responder hoy — sin buscar la información

¿Qué porcentaje de nuestra base de clientes activos tiene expediente KYC completo con Beneficiario Controlador identificado? Si la respuesta requiere más de 24 horas para calcularse, el área de cumplimiento no tiene visibilidad en tiempo real de su propia cartera.

¿Cuándo fue la última operación sospechosa reportada a la UIF — y cuántos días pasaron entre que se detectó y que se reportó? Si el plazo supera 24 horas, hay un proceso que revisar antes de la próxima inspección.

¿Puede el área de contabilidad producir, en menos de dos horas, una conciliación completa entre los depósitos del último mes en todas las cuentas bancarias de la institución y los ingresos registrados en el sistema? Esa es exactamente la información que el SAT puede requerir ahora.

¿El Oficial de Cumplimiento puede detener una operación sin aprobación del director general? Si no, la función de cumplimiento no tiene la independencia que las DCG requieren.

¿Tiene la institución un inventario actualizado de todas sus obligaciones de reporte — SAT, UIF, CNBV — con fecha de vencimiento y responsable asignado? Las instituciones que pierden sanciones por omisión frecuentemente no las perdieron por incumplimiento intencional. Las perdieron porque nadie tenía el calendario.

La regulación de 2026 no tiene vuelta atrás. El SAT tiene más facultades. La CNBV tiene más herramientas y más apetito de usarlas. La UIF opera con plazos que requieren tecnología, no personas adicionales. Y los cárteles catalogados como organizaciones terroristas por EE.UU. han elevado la presión sobre México para demostrar que su sistema financiero no es un canal de lavado — lo que se traduce en supervisión más estricta sobre todas las instituciones, reguladas y no reguladas.

Las instituciones que tomen esto en sus manos hoy — con la secuencia correcta, con el equipo correcto y con la claridad de que el objetivo es tener los datos, los procesos y los sistemas en condiciones reales — van a salir de 2026 más fuertes que cuando entraron. Las que esperen la visita de inspección para moverse van a descubrir que el regulador tiene más información sobre sus operaciones de la que ellas tienen sobre sí mismas.

Fuentes: CNBV Sanciones PLD 2024 · Expansión "CNBV impone multas de 216 mdp por deficiencias en PLD" marzo 2025 · Regcheq.com.mx "Regulación y sanciones: el impacto de las multas de la CNBV" 2025 · Holland & Knight "Reforma Fiscal para 2026 en México" noviembre 2025 · Expansion.mx "El SAT quiere vigilar más tus cuentas bancarias y de Sofipos" septiembre 2025 · Consolide.com "CFF 2026: Nuevas Adiciones y Modificaciones de la Reforma Fiscal" diciembre 2025 · ContadorMx "Reforma CFF 2026: Cambios al CFF que no deben ignorarse" noviembre 2025 · Piranirisk.com "LFPIORPI 2025: sanciones, prevención y el papel clave de la tecnología" 2025 · LFPIORPI.com "Guía completa LFPIORPI 2026" · Armor-AML "Qué es PLD: Guía completa" abril 2026 · SAE&CIA "El cumplimiento fiscal y legal en México en 2025" septiembre 2025 · Blog MySuite MEX "CFF 2026: cambios que no deben ignorarse" · Contadores mismo lenguaje "Propuesta Reforma Fiscal 2026" septiembre 2025.

Jorge Mercado · #JMCoach

 

El sistema financiero
que falla — y solo se
reporta una parte

En el primer semestre de 2025, los mexicanos presentaron 2.48 millones de reclamaciones por fraude con pérdidas de $10,714 millones de pesos. Las instituciones reembolsaron el 10% de lo reclamado. BBVA lidera quejas por caídas. Banco del Bienestar acumula 65,235 reclamaciones por fraude. Las empresas no reguladas no reportan nada. Y los huecos entre la CNBV, Banxico y la CONDUSEF los paga el usuario. Esto tiene solución. Y alguien tiene que decirlo con datos.

Hay una escena que ocurre miles de veces al día en México. Una persona intenta hacer una transferencia SPEI en quincena, la app cae, intenta de nuevo, el cobro se hace pero el dinero no llega, llama al banco y espera cuarenta minutos en la línea, y termina el día sin saber si su dinero está en tránsito, si fue robado, o si la institución simplemente no funcionó. Esa escena no es un accidente. Es la consecuencia de sistemas financieros que crecieron rápido sin crecer bien, de una regulación que cubre partes del problema sin integrar el todo, de empresas que prefieren no reportar incidentes porque reportar tiene costos y silenciar tiene precio de mercado. Y del usuario que termina pagando — con su tiempo, con su dinero, con su confianza erosionada — el costo de una industria que no se ha exigido los estándares que el volumen de dinero que maneja merecería.

2.48Mreclamaciones por fraude en el primer semestre de 2025 — 10 denuncias por minuto, 5.2% más que 2024CONDUSEF · Vanguardia · Xataka MX · 2025

$10,714Mpesos reclamados por fraude bancario solo en el primer semestre de 2025 — el 72% de todos los recursos reclamados ante la bancaCONDUSEF · 2025

10%de lo reclamado fue reembolsado por las instituciones financieras — 90 centavos de cada peso perdido se los queda el fraudeCONDUSEF · Vanguardia · 2025

$634Men fraudes por suplantación de identidad en el primer semestre 2025 — aumento de 24.6% anualCONDUSEF · 2025

60%de todas las quejas CONDUSEF son ya fraudes digitales — phishing, vishing, sitios clonados, SIM swappingCONDUSEF · 2025

El fraude financiero digital en México ya no es un riesgo marginal. Es un riesgo sistémico que el sector no ha tratado como tal. 10 denuncias por minuto. $10,714 millones reclamados en seis meses. Y las instituciones reembolsan el 10%. Esa ecuación no es un accidente de mercado — es el resultado de incentivos que favorecen la opacidad sobre la rendición de cuentas.

Las caídas que todos viven y nadie publica

Banxico publica en su sitio una lista de "principales incidentes cibernéticos" del sistema financiero mexicano. Es un documento útil — y profundamente incompleto. En 2024 reportó dos incidentes cibernéticos por un monto de $140.5 millones de pesos. En 2023, $89.08 millones. Los montos son reales. El problema es lo que no está ahí.

Las caídas de servicio — apps bancarias que no funcionan, SPEI que no procesa en quincena, portales que colapsan en horarios de alta demanda — no son "incidentes cibernéticos" y por lo tanto no entran en ese reporte. Las quejas por cargos no reconocidos van a la CONDUSEF, no a Banxico. Los hackeos que las instituciones detectan internamente sin afectación a clientes quedan fuera del umbral de reporte obligatorio. Y las empresas financieras que operan fuera del perímetro regulado — prestamistas digitales sin licencia, departamentales con modelos de crédito propios, plataformas de inversión sin supervisión adecuada — simplemente no reportan nada porque no tienen a quién reportarle.

Las caídas documentadas · 2024–2025 · Fuentes abiertas

BBVA México: lidera las quejas por fallas en 2025 según Downdetector y reportes CONDUSEF, con múltiples incidentes documentados en enero, febrero, julio y agosto. El 17 de julio se registraron más de 3,600 reportes simultáneos de problemas en la app. El banco tiene más usuarios digitales que cualquier otra institución en México — lo que amplifica el impacto de cada falla.

Santander y Banco Azteca: fallas recurrentes en fechas de quincena — el 1 y 15 de cada mes — que CONDUSEF ha documentado como pico de quejas. Banco Azteca, con presencia masiva en segmentos de bajos ingresos, tiene una base de usuarios para quienes una falla en quincena no es inconveniencia: es una crisis.

SPEI: desde las elecciones de junio 2024, múltiples intermitencias documentadas por usuarios y medios. Banxico no publica reportes detallados de estas fallas en su sitio web — las que se conocen provienen de Downdetector, redes sociales y publicaciones de medios. El 74% de las quejas reportadas están relacionadas con banca móvil: inicios de sesión fallidos o transacciones no procesadas.

Banco del Bienestar: 65,235 reclamaciones ante CONDUSEF en 2025 — el 63% de todas las quejas de la banca de desarrollo. Principalmente fraudes y posibles suplantaciones de identidad sobre cuentas de beneficiarios de programas sociales. Población vulnerable, dependiente de esos recursos, con mínimas herramientas para defenderse.

Incidentes cibernéticos formales 2024: Banxico reportó dos — uno en una SOFIPE, otro en un banco. Afectaciones totales declaradas: $140.5 millones de pesos. El gap entre ese número y las pérdidas reales por fraude del mismo período no se explica solo por eficiencia: se explica por los umbrales de reporte y por lo que queda fuera del marco.

El 74% de las quejas por fallas bancarias en México en 2025 provienen de la banca móvil. La app que no carga en quincena no es un inconveniente técnico menor. Es el punto de falla de un sistema financiero que migró a lo digital sin construir la resiliencia operacional que esa migración requería.

Los huecos regulatorios: lo que la CNBV cubre, lo que Banxico cubre, y lo que nadie cubre

El sistema de supervisión financiera en México está fragmentado por diseño histórico — y cada fragmento tiene lógica en su origen. El problema es que la fragmentación crea espacios donde las instituciones pueden elegir a cuál regulador reportar qué, cuándo y en qué formato. Y donde las empresas que no califican como "institución financiera" bajo ninguna definición regulatoria operan sin obligación de reportar prácticamente nada.

El mapa de la regulación y sus vacíos · CNBV · Banxico · CONDUSEF · INAI

CNBV supervisa bancos, SOFIPOS, casas de bolsa, aseguradoras y fintech con licencia ITF. Sus atribuciones incluyen supervisión prudencial, capitalización, y en casos graves, intervención. Lo que no incluye: las fallas operacionales diarias que no alcanzan umbrales de reporte, los hackeos sin pérdida directa de fondos, y todas las entidades que operan en la frontera de lo que técnicamente requiere licencia.

Banxico supervisa la operación del SPEI y la estabilidad del sistema de pagos. Publica incidentes cibernéticos cuando las instituciones los reportan. Las caídas de servicio que no tienen origen en un ataque no son "incidentes cibernéticos". Las fallas de app que generan 3,600 quejas simultáneas no aparecen en el reporte de Banxico.

CONDUSEF recibe las quejas de los usuarios. Puede mediar, puede sancionar en algunos casos, puede publicar el Buró de Entidades Financieras. No tiene facultades de supervisión técnica ni de auditoría de sistemas. Cuando la CONDUSEF documenta 2.48 millones de reclamaciones por fraude, esa cifra es el resultado de lo que los usuarios denuncian — no de lo que las instituciones reportan proactivamente.

El INAI supervisaba en aprte la protección de datos personales — incluyendo los datos financieros que las instituciones manejan. Las brechas de datos que no involucran pérdida de fondos directa frecuentemente no tienen canal claro de reporte cruzado entre INAI y CNBV. El usuario cuya información fue comprometida puede no saber que lo fue.

Las empresas no reguladas — prestamistas digitales sin licencia ITF, plataformas de inversión que operan en zona gris, departamentales con modelos de crédito propio, aplicaciones de "ahorro" sin supervisión — no reportan a ninguna de las entidades anteriores. Sus incidentes, sus tasas de fraude, sus fallas operacionales y sus prácticas de PLD son invisibles para el sistema de supervisión. Y su base de usuarios en México es significativa.

La consecuencia práctica de esta fragmentación es que la información disponible públicamente sobre el estado real de la seguridad y confiabilidad del sistema financiero mexicano es una fracción del problema real. Al menos 3 de cada 10 instituciones financieras globalmente sufren fraude por suplantación de identidad según Regula — y ese número aplica independientemente del tamaño. En México, con 1,004 proveedores de servicios fintech y solo 84 regulados por la CNBV como ITF, el espacio no reportado es estructuralmente grande.

Las empresas no reguladas: el caos que no aparece en ningún reporte

Hay un segmento del mercado financiero mexicano que no aparece en las estadísticas de CONDUSEF, no está en el reporte de incidentes de Banxico y no tiene ficha en el CNBV: las empresas que prestan servicios financieros sin ser instituciones financieras reguladas. La lista es larga y variada: prestamistas digitales que operan bajo modelo de comisionista, plataformas de ahorro e inversión colectiva que no califican técnicamente como SOFIPOS, departamentales que emiten tarjetas de crédito bajo convenios con bancos pero operan sus propios sistemas de gestión, aplicaciones de microcrédito que cobran tasas de interés efectivas que superan el 200% anual sin ninguna obligación de revelarlas en formato estandarizado.

El sector sin reporte · Entidades no reguladas · PLD · Hackeos · Prácticas

PLD (Prevención de Lavado de Dinero): Las instituciones reguladas tienen obligaciones específicas de identificación de clientes (KYC), monitoreo de operaciones inusuales y reporte a la Unidad de Inteligencia Financiera (UIF). Las entidades no reguladas o parcialmente reguladas tienen obligaciones menores y supervisión prácticamente nula. En junio de 2025, tres instituciones financieras mexicanas fueron sancionadas por el Tesoro de EE.UU. por facilitar lavado de dinero — evidencia de que el problema no es solo de las entidades más pequeñas.

Hackeos no reportados: Una empresa fintech que no es institución financiera regulada no tiene obligación legal de reportar una brecha de datos a la CNBV. Puede tener obligación de notificar al INAI si los datos son personales, pero los umbrales y plazos son distintos. En la práctica, muchas brechas en empresas fintech no reguladas no llegan a ningún regulador — se manejan internamente, se minimizan en comunicación pública o simplemente no se divulgan.

Tasas y condiciones: Las instituciones reguladas tienen obligaciones de revelación de CAT (Costo Anual Total) en formato estandarizado. Las no reguladas frecuentemente revelan tasas de forma fragmentada, con cargos adicionales que no aparecen en la comunicación inicial. El usuario que contrata un "préstamo exprés" con una app no regulada puede descubrir que la tasa efectiva anual es de 200% a 400% solo cuando ya debe el dinero.

La diferencia entre una institución financiera regulada con buen gobierno y una entidad que opera en los márgenes de la regulación no es solo de tamaño o tecnología. Es de accountability: quién responde cuando algo sale mal, ante quién, con qué consecuencias y con qué mecanismo de protección para el usuario. En México, ese accountability existe en papel para una fracción del mercado real.

El costo que paga quien menos puede pagarlo

Hay un patrón documentado en los datos de CONDUSEF que debería generar más debate del que genera: los usuarios más afectados por fraude bancario y por fallas de servicio son los más vulnerables. El 40% de las víctimas de robo de información bancaria documentadas en Sinaloa son adultos mayores. Los beneficiarios de programas sociales que dependen de Banco del Bienestar son los que generaron el 63% de las quejas de banca de desarrollo. Los usuarios de Banco Azteca — con presencia masiva en sectores de bajos ingresos — son los que más sienten las fallas en quincena.

Eso no es coincidencia. Es el resultado de un sistema donde los recursos para proteger a los usuarios están distribuidos de forma inversa a la vulnerabilidad de esos usuarios. Los usuarios de instituciones con mayor inversión en ciberseguridad tienen menor probabilidad de ser defraudados y mayor probabilidad de ser reembolsados cuando lo son. Los usuarios de instituciones con menor inversión técnica — frecuentemente las que atienden segmentos de menores ingresos — tienen la experiencia opuesta.

"Las 10 denuncias por minuto que registra la CONDUSEF no son solo una estadística de fraude. Son el índice de falibilidad de un sistema financiero que creció en usuarios mucho más rápido de lo que creció en responsabilidad."

Lo que puede y debe construirse — ahora

El diagnóstico es severo. La oportunidad es proporcional. Porque cada uno de estos problemas tiene solución documentada, probada en mercados comparables, y económicamente viable para cualquier institución que decida construirla en lugar de posponer la conversación.

Un estándar de reporte unificado para todos los actores del mercado

Regulación · Reporte · Transparencia · CNBV · Banxico · CONDUSEF

La fragmentación regulatoria no se resuelve creando una nueva entidad. Se resuelve con un estándar de reporte unificado que todos los actores del mercado financiero — regulados o no — deben cumplir para operar: incidentes de servicio con afectación a usuarios, brechas de datos, tasas de fraude por producto y canal, tiempos de resolución de reclamaciones. Brasil implementó el Pix con obligaciones de reporte y estándares de resiliencia para todos los participantes — regulados y fintechs — desde el primer día de operación. El resultado es documentable: el sistema procesa más de $70 millones de transacciones diarias con índices de disponibilidad superiores al 99.9%. El estándar no mató la innovación. La ordenó.

KYC y KYB reales — no el formulario que nadie verifica

KYC · KYB · Biometría · Identidad · PLD

El 24.6% de aumento anual en fraude por suplantación de identidad no es un problema de tecnología inexistente — es un problema de tecnología mal implementada. La verificación biométrica de identidad en tiempo real existe, funciona y reduce el fraude de suplantación de forma documentada. El KYB (Know Your Business) para verificar la legitimidad de personas morales que abren cuentas o solicitan crédito existe. Lo que no existe, en muchas instituciones, es la voluntad de implementarlos a costo y fricción adicional en la etapa de onboarding. 3 de cada 10 instituciones financieras globalmente sufren fraude por suplantación — y la biometría bien implementada puede reducirlo en más del 70%, según Regula 2025. La pregunta no es si la tecnología funciona. Es si la institución está dispuesta a usarla antes de que el regulador la obligue.

Continuidad real — no el plan de contingencia que nadie ha probado

Continuidad · Resiliencia · Observabilidad · SLA

La app bancaria que cae en quincena con 3,600 quejas simultáneas no cayó por un evento imprevisible. Cayó porque nadie probó la capacidad del sistema a la carga máxima predecible — que es exactamente el 1 y 15 de cada mes, siempre. La continuidad operacional real requiere pruebas de carga reales, arquitectura de alta disponibilidad, observabilidad continua con alertas antes de que el usuario sienta la falla, y un SLA (acuerdo de nivel de servicio) que el usuario pueda ver, auditar y reclamar cuando no se cumple. Las instituciones que publican sus índices de disponibilidad mensualmente tienen significativamente menos fallas no gestionadas que las que no lo hacen — porque la visibilidad pública crea el incentivo correcto.

IA aplicada con criterio — no como sustituto del proceso faltante

IA · Detección de Fraude · Modelos Predictivos · Proceso Primero

La detección de fraude con IA puede reducir las pérdidas en un 40% a 60% respecto de sistemas basados en reglas estáticas. Pero ese resultado se obtiene cuando la IA opera sobre datos limpios, procesos definidos y con un equipo que sabe actuar sobre las alertas que el modelo genera. La IA que detecta un posible fraude y envía la alerta a una bandeja de correo que nadie revisa en tiempo real no reduce pérdidas — genera falsa sensación de protección. El proceso correcto es: datos estructurados → modelo entrenado sobre fraude real de esa institución → alerta en tiempo real → proceso definido de respuesta → bloqueo o step-up de autenticación → retroalimentación al modelo. En ese orden. Y la IA agrega valor en cada paso — no como sustituto de los pasos que faltan.

Revenue y engagement con ética — no a costa del usuario

Revenue · Engagement · Lealtad · Productos · Confianza

La institución financiera que resuelve los problemas documentados en este artículo no pierde revenue — lo aumenta. El usuario que confía en que su banco lo protege, que sabe que sus datos están seguros, que tiene certeza de que la app funciona cuando la necesita y que sabe que si algo sale mal va a ser resuelto de forma justa — ese usuario no se va. Renueva. Agrega productos. Refiere. El Lifetime Value de un cliente con alta confianza institucional es entre 2.5x y 4x el de un cliente que se queda por inercia pero busca alternativa. Las instituciones que combinan seguridad real, procesos bien definidos e IA aplicada con criterio tienen tasas de retención 30 a 40 puntos porcentuales por encima del promedio del sector, según BCG. La ética en servicios financieros no es filantropía. Es el modelo de negocio más rentable a largo plazo.

Los equipos que construyen el sistema financiero confiable no son los más numerosos ni los más caros. Son los que tienen claridad sobre el problema que están resolviendo, los procesos que lo resuelven, los datos que esos procesos generan y la tecnología que escala todo eso. Esa combinación — no la tecnología sola — es lo que separa a las instituciones que generan confianza de las que la erosionan.

Las cinco preguntas que cada institución financiera debería poder responder hoy

¿Cuál es tu índice de disponibilidad del último trimestre — por producto y por canal? No el promedio anual. El número real, semana a semana, con los picos de quincena incluidos.

¿Qué porcentaje de tus reclamaciones por fraude resultaron en reembolso al usuario — y en cuántos días? Si la respuesta no está disponible en 30 segundos, el sistema de gestión de reclamaciones no está integrado al negocio.

¿Cuándo fue la última vez que probaste tu plan de continuidad operacional con una carga equivalente al día de quincena? No el plan en papel. La prueba real.

¿Qué porcentaje de tus usuarios nuevos pasa por verificación biométrica de identidad en el onboarding? Y de los que no — ¿cuál es su tasa de fraude comparada con los que sí?

¿Cuántos de tus procesos de detección de fraude generan alertas que nadie actúa en tiempo real? Si hay alertas que esperan cola, el modelo de detección está generando costo sin beneficio.

El sistema financiero mexicano tiene capacidad para ser de los mejores de América Latina. Tiene el volumen — 579 billones de pesos procesados anualmente por SPEI. Tiene la penetración — más de 85 millones de usuarios de banca digital. Tiene la regulación base — la Ley Fintech de 2018 fue pionera en la región. Lo que no tiene todavía es la cultura institucional de rendir cuentas sobre lo que falla, con la misma visibilidad con la que promociona lo que funciona.

Ese cambio no requiere nueva legislación ni nuevas entidades supervisoras. Requiere que las instituciones decidan que la confianza del usuario no es un atributo de marketing — es el activo más valioso que tienen, y el más frágil. Y que construirlo requiere exactamente lo que este artículo describe: transparencia, procesos reales, tecnología con propósito y la honestidad de publicar los números que duelen tanto como los que se presumen.

Fuentes: CONDUSEF Informe de Autoevaluación Enero–Junio 2025 · Vanguardia "Crece la estafa digital: más de 2.4 millones de fraudes bancarios en México durante 2025" noviembre 2025 · Xataka MX "Los fraudes bancarios en México ya son un problema alarmante: casi 10 denuncias por minuto" marzo 2026 · Bernezmx.com "Entendiendo SPEI: fallas en aplicaciones bancarias 2025" agosto 2025 · Banco de México "Principales incidentes cibernéticos 2023–2024" sitio oficial · CiberCorp "Incidentes cibernéticos en el sistema financiero mexicano 2024" octubre 2024 · Regula "Factores que están transformando la verificación de identidad en banca y fintech 2026" noviembre 2025 · El Imparcial "Fraudes, cargos indebidos y robo de identidad disparan las quejas contra el Banco del Bienestar" abril 2026 · CONDUSEF Buró de Entidades Financieras 2025 · BCG / QED Fintech Report 2025 · Revista Espejo "Quejas por cargos no reconocidos en Sinaloa aumentan en 20%" abril 2025 · Expansión / Banxico SPEI datos operativos 2024–2025.

Jorge Mercado · #JMCoach

 

El candado en la puerta no sirve si alguien ya está adentro.

Tu empresa puso contraseña. Después puso doble autenticación. Después revisó los accesos. Y el atacante entró igual — porque nunca rompió nada. Llegó con las llaves de alguien que ya había entrado antes.

JM

JMCoach · #TheHowMaker

 

El 60% de las brechas de seguridad en 2025 involucraron un elemento humano — no una falla técnica. El atacante no hackeó el sistema. Convenció, robó o esperó hasta que alguien lo dejó entrar. Verizon DBIR 2025.

Imagina que pones un candado biométrico en la oficina.
Instalas cámaras. Contratas vigilancia. Tienes protocolo.
Un día alguien copia la llave magnética de un empleado.
Entra por la puerta principal. Saluda al guardia. Se sienta en un escritorio.

El sistema registra: acceso autorizado.
Tú ves en el reporte: todo normal.
Él lleva tres meses adentro.

Eso no es ciencia ficción. Es el método de ataque más común del mundo en este momento — y el que más tiempo tarda en detectarse. No requiere hackers de película. No requiere vulnerabilidades de software exóticas. Requiere una sola cosa: una sesión activa que alguien no cerró, en un equipo que nadie revisó, desde una conexión que nadie validó.

Y mientras eso sucede, tu empresa sigue operando. Los reportes salen limpios. El acceso aparece como legítimo. La persona cuya sesión fue copiada sigue trabajando sin saber nada. El atacante está en tu correo, en tu CRM, en tu sistema de nómina o en tu plataforma de ventas — con permisos completos, sin alarmas, sin rastro obvio.

Este artículo no es para el área de TI. Es para el director general, el director de operaciones, el consejo, el dueño de empresa. Porque la decisión que permite o evita este escenario no la toma el técnico. La toman ustedes — cuando aprueban políticas, cuando asignan presupuesto, cuando deciden si esto es un problema de TI o un problema del negocio.

Es un problema del negocio.

Los números que nadie pone en la junta directiva

$4.88M

costo promedio global de una brecha de seguridad en 2024 — récord histórico, 10% más que el año anterior

IBM Cost of a Data Breach Report 2024

258 días

tiempo promedio para identificar y contener una brecha en 2024 — más de ocho meses con el atacante adentro

IBM Cost of a Data Breach Report 2024

292 días

tiempo promedio cuando la brecha involucra credenciales robadas — el vector más lento de detectar de todos

IBM / Enzoic 2024

60%

de todas las brechas en 2025 involucró un elemento humano — error, manipulación o mal uso de accesos

Verizon DBIR 2025 · +20,000 incidentes analizados

88%

de los ataques a aplicaciones web usaron credenciales robadas — no vulnerabilidades técnicas

Verizon DBIR 2025

2,800M

contraseñas publicadas para venta o descarga gratuita en foros criminales solo en 2024

Verizon DBIR 2025 · Descope 2025

Ocho meses. Ese es el tiempo promedio que una empresa tarda en darse cuenta de que tiene a alguien no autorizado dentro de sus sistemas. Ocho meses en los que ese alguien puede leer, copiar, modificar, extorsionar, vender o simplemente esperar el momento oportuno. Y en el 88% de los casos, no entró rompiendo nada. Entró con una contraseña que alguien más tenía — y que ya no debería haber estado activa.

El trabajo híbrido multiplicó las superficies de riesgo: empleados conectándose desde casa, desde cafeterías, desde dispositivos personales que nunca fueron revisados por nadie. Cada una de esas conexiones es una puerta. La pregunta es cuántas están abiertas ahora mismo.

Tres casos reales. Sin nombres. Porque podría ser cualquiera.

Los siguientes escenarios no son hipotéticos. Son patrones documentados que se repiten en empresas de todos los tamaños, en todos los sectores. Los detalles específicos han sido generalizados — pero la mecánica es exacta.

Caso 01 · Empresa mediana · Sector financiero · México

"Teníamos MFA. Lo hackearon igual."

Una empresa de servicios financieros con 300 empleados había implementado doble autenticación en todos sus sistemas hace dos años. El director de TI lo reportó al consejo como un logro de seguridad. Tenían contraseñas, MFA, y acceso remoto por VPN. Estaban, según todos los criterios internos, protegidos.

Lo que no tenían era validación del equipo desde el que se conectaba cada usuario. Un empleado del área comercial recibió un correo que parecía ser del proveedor de software que usaban a diario. Ingresó a un portal idéntico al real. Puso su usuario, su contraseña, aprobó el MFA en su celular como siempre. Lo que no sabía es que el portal era falso — y que en ese momento, un atacante en otro país estaba copiando su token de sesión activo.

El token de sesión es lo que el sistema usa para reconocer que "ya validaste quién eres" durante las horas siguientes. No requiere contraseña ni MFA nuevamente. Es una llave temporal — y el atacante acababa de copiarla.

Durante las siguientes seis semanas, el atacante accedió al CRM, descargó la base de datos de clientes completa y exploró los sistemas de nómina. El sistema registraba todo como acceso legítimo del empleado. Nadie sospechó nada hasta que un cliente llamó para preguntar por una llamada que nunca realizó.

Resultado: base de datos de 12,000 clientes comprometida. Multa regulatoria. Pérdida de tres clientes corporativos que cancelaron contratos al enterarse. Costo total estimado: entre 8 y 12 millones de pesos. El MFA siguió activo durante todo el proceso — y no sirvió de nada.

Caso 02 · Empresa grande · Sector manufactura y retail · LATAM

"El ex empleado se fue hace seis meses. Seguía teniendo acceso."

Una empresa con operaciones en cuatro países y más de 2,000 empleados tenía un proceso de baja de personal que incluía, en papel, la revocación de accesos digitales. En la práctica, el proceso dependía de que RRHH notificara a TI, TI notificara a cada administrador de sistema, y cada administrador ejecutara la baja en su plataforma respectiva. Correo. ERP. Sistema de ventas. Almacén. Plataforma de proveedores. Diecinueve sistemas en total.

Un supervisor de operaciones fue dado de baja en términos no amistosos. RRHH notificó a TI. TI ejecutó la baja en los sistemas principales. Pero en tres plataformas secundarias — incluida la de gestión de proveedores y la de aprobación de órdenes de compra — el acceso nunca fue revocado. El supervisor lo sabía. Esperó cuatro meses.

Luego comenzó a aprobar órdenes de compra a un proveedor que era de su propiedad, a través de la plataforma que seguía siendo accesible con sus credenciales originales. El sistema los registraba como órdenes legítimas aprobadas internamente.

Resultado: fraude detectado en la auditoría anual, siete meses después de la baja. Monto desviado: aproximadamente 4.3 millones de pesos. Proceso legal en curso. El director de TI argumentó que el proceso existía. El director general respondió que el proceso no funcionaba — y ambos tenían razón.

Caso 03 · Consejo de administración · Empresa regulada · México

"Pasamos la auditoría. Nos hackearon tres semanas después."

Una empresa del sector salud con presencia en doce estados había invertido el año anterior en una consultoría de seguridad que certificó sus sistemas bajo estándares internacionales. El reporte fue presentado al consejo con resultados positivos. La empresa había invertido bien, había mejorado sus controles, había pasado el pentest. El consejo aprobó el informe y pasó al siguiente punto del orden del día.

Lo que la auditoría no evaluó — porque no estaba en su alcance — era el comportamiento de los dispositivos desde los que el personal directivo se conectaba a los sistemas. Tres miembros del comité ejecutivo usaban sus laptops personales para acceder al sistema de expedientes médicos y al ERP financiero. Esas laptops no tenían cifrado activado, no tenían antivirus corporativo, no estaban inscritas en ningún sistema de gestión de dispositivos. Nunca habían sido revisadas por nadie.

Un ataque de infostealer — un programa malicioso que se instala silenciosamente y registra todo lo que se escribe y todo a lo que se accede — había estado activo en una de esas laptops durante meses antes de la auditoría. Los certificados de seguridad del sistema no decían nada de eso. El sistema estaba seguro. El equipo desde el que se accedía al sistema, no.

Resultado: expedientes de 8,400 pacientes expuestos. Notificación obligatoria a INAI. Investigación por parte del organismo regulador. Cobertura en medios especializados. El sistema nunca fue vulnerado — el acceso fue completamente legítimo, desde las credenciales correctas, desde un equipo que nadie había revisado porque no era "parte del perímetro de seguridad".

En los tres casos el sistema hizo exactamente lo que debía.
Verificó al usuario. Aprobó el acceso. Registró la sesión.
Nadie le preguntó al sistema si el equipo era de confianza.
Nadie se lo había enseñado a preguntar.

Qué es Zero Trust — en lenguaje de personas

Zero Trust no es un producto. No se compra en una tienda de software. No es una caja que se instala y listo. Es una decisión sobre cómo tu empresa piensa acerca de la confianza — y la decisión es esta: no confiar en nada de forma automática, verificar todo de forma continua.

En el modelo tradicional de seguridad, la lógica era: si estás dentro de la red de la empresa, eres de confianza. Si pasaste el acceso inicial, eres de confianza. Si tienes la contraseña correcta y el MFA, eres de confianza. Esa lógica funcionaba cuando todos trabajaban en la misma oficina, en las mismas computadoras, conectados al mismo servidor físico.

En 2026, esa realidad no existe. El correo está en la nube. El CRM está en la nube. El sistema de nómina está en la nube. Los empleados se conectan desde casa, desde el aeropuerto, desde su celular personal, desde la laptop que compraron ellos mismos. El "perímetro de seguridad" que antes era las cuatro paredes de la oficina ahora no existe. Y sin embargo, la mayoría de las empresas siguen usando el modelo de seguridad diseñado para ese perímetro que ya no está ahí.

Zero Trust no desconfía de las personas. Desconfía de los supuestos. La diferencia es que en lugar de asumir que alguien es de confianza porque ya pasó el primer filtro, verifica continuamente: ¿quién es?, ¿desde qué equipo?, ¿está ese equipo sano?, ¿debería poder hacer esto ahora?

Esas cuatro preguntas — repetidas en cada acceso, en cada sesión, en cada transacción — son la diferencia entre los tres casos que acabas de leer y una empresa que los hubiera detectado antes de que se convirtieran en crisis.

La decisión de implementar Zero Trust no la toma el área de TI. La toma el director general cuando decide que la seguridad de los sistemas es un tema de agenda en el consejo — no una línea en el reporte técnico trimestral.

Por qué esto es un problema del consejo, no del área de TI

Aquí está el punto que más incomoda en las conversaciones con dirección: en los tres casos anteriores, el área de TI hizo su trabajo. Implementó lo que le pidieron. Reportó lo que podía reportar. El problema no estaba en la tecnología — estaba en las decisiones que se tomaron por encima de ella.

La decisión de permitir que directivos usen equipos personales sin control corporativo no la tomó TI. La tomó alguien que pensó que pedir a un director que usara una laptop de empresa era incómodo. La decisión de no invertir en un sistema centralizado de gestión de accesos que revoque credenciales automáticamente cuando alguien es dado de baja no la tomó TI — la tomó quien aprobó el presupuesto y decidió que no era prioritario. La decisión de celebrar que "pasaron el pentest" sin preguntar qué no estaba en el alcance de ese pentest la tomó quien recibió el reporte y lo archivó.

Bajo ISO 31000 — el estándar de gestión de riesgo operacional — estos escenarios no son accidentes. Son riesgos identificables, medibles y mitigables que deben estar en la matriz de riesgo de cualquier empresa que opere con datos, sistemas o clientes. Y bajo las disposiciones de la CNBV para entidades financieras reguladas, la responsabilidad de esa matriz no recae en el CISO. Recae en el consejo.

El riesgo operacional tecnológico que no está en tu matriz no desaparece. Sigue ahí. Solo que ahora no tienes plan de respuesta cuando ocurra.

El CISO y TI no son lo mismo — y confundirlos sale caro

Hay una confusión costosa que se repite en demasiadas organizaciones mexicanas: creer que el área de TI y el CISO son el mismo problema. No lo son. TI opera los sistemas. El CISO protege la información. Cuando una sola persona o un solo equipo hace las dos cosas, inevitablemente una de las dos se hace mal — y casi siempre es la seguridad la que cede ante la operación.

El CISO no es un técnico avanzado. Es un perfil de riesgo: alguien que entiende qué información tiene la empresa, qué valor tiene, quién puede acceder a ella, cómo podría salir, y qué controles existen para detectarlo cuando ocurra. Ese perfil necesita dos cosas que pocas empresas le dan: independencia del área de TI para reportar riesgos sin filtros, y acceso directo al consejo para que los riesgos lleguen a quienes tienen autoridad para mitigarlos.

Tener CISO en el organigrama sin darle independencia, presupuesto y acceso al consejo es tener la ilusión de seguridad — que es exactamente lo más peligroso que puede tener una empresa.

La CISA — la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos — y el NIST CSF 2.0 coinciden en algo que en México todavía cuesta escuchar: la gobernanza de seguridad no es función del área técnica. Es función del consejo. El CSF 2.0 añadió por primera vez una función explícita de Govern — Gobernar — como el primero de sus seis pilares, por encima de Identificar, Proteger, Detectar, Responder y Recuperar. Porque sin gobernanza, los otros cinco no funcionan.

Cifrado, desarrollo seguro y el principio de privilegio mínimo

Hay tres prácticas que las organizaciones más serias del mundo aplican de forma consistente y que en México siguen siendo la excepción. No son complejas. Son disciplina.

Cifrado en todas las capas, no solo en tránsito. La mayoría de las empresas cifra los datos cuando viajan entre sistemas — el "candado" del navegador que todos conocen. Lo que pocas hacen es cifrar los datos en reposo: archivos almacenados en servidores, bases de datos, laptops corporativas, discos de respaldo. Un atacante que obtiene acceso a un servidor sin cifrado no necesita credenciales adicionales. Tiene todo. El NIST CSF 2.0 y la CISA son explícitos: cifrado de datos en reposo y en uso no es opcional en entornos que manejan información sensible. Incluso enmascarar información para que no se copiada, bloquear copiado de pantallas, etc. Expiración de sesiones, tokens, blindar dispositivos si presentan cambios.

Desarrollo seguro desde el inicio, no como revisión final. La mayoría de las vulnerabilidades en sistemas empresariales no vienen de ataques sofisticados externos. Vienen de código mal escrito, validaciones faltantes, credenciales hardcodeadas en repositorios, APIs sin autenticación adecuada. El principio de Secure by Design — impulsado actualmente por CISA como estándar para proveedores tecnológicos que operan en infraestructura crítica — establece que la seguridad no es una capa que se añade al final del desarrollo. Es un requisito que se diseña desde el primer día, en cada función, en cada API, en cada endpoint. Se valida todo, no solo una parte, se protege activamente cada servicio/API, se limita, etc.

Privilegio mínimo en todo, sin excepciones. El principio de privilegio mínimo (Least Privilege) significa que cada usuario, cada sistema y cada proceso tiene acceso únicamente a lo que necesita para hacer su trabajo — nada más. No porque no se confíe en las personas, sino porque el alcance del daño posible se limita drásticamente cuando los accesos están calibrados. El director general no necesita acceso de escritura a la base de datos de producción. El sistema de nómina no necesita leer los expedientes de clientes. El proveedor de mantenimiento no necesita acceso permanente — necesita acceso temporal, acotado, registrado y revocable. Elige entre roles y atributos, pero haz algo.

El código inseguro no falla el día que se escribe. Falla meses después, en producción, con datos reales, cuando el costo de corregirlo es entre 10 y 100 veces mayor que haberlo escrito bien desde el principio. Eso no es un dato técnico. Es un dato financiero.

Observabilidad: no puedes defender lo que no puedes ver

Una de las razones por las que los atacantes permanecen dentro de los sistemas durante 258 días en promedio es que la mayoría de las empresas no tienen visibilidad real de lo que ocurre en su infraestructura. Tienen herramientas de monitoreo. Tienen logs. Tienen alertas. Pero no tienen la capacidad de correlacionar todo eso en tiempo real y detectar el patrón anómalo antes de que se convierta en crisis.

Observabilidad no es lo mismo que monitoreo. El monitoreo te dice qué pasó. La observabilidad te dice por qué pasó, dónde empezó y cómo se está propagando — en tiempo real, antes de que el daño sea completo. Incluye trazabilidad de todas las sesiones activas, correlación de comportamiento por usuario y dispositivo, alertas automáticas cuando un perfil de acceso se desvía del patrón habitual, y la capacidad de cerrar una sesión comprometida en segundos, no en días.

El NIST CSF 2.0 lo llama Detect — Detectar — y lo coloca como función crítica paralela a la protección. Porque una organización que solo protege pero no detecta está apostando a que nunca falle ningún control. Y esa apuesta, estadísticamente, ya la perdió.

Lo que la observabilidad real implica en la práctica: saber en este momento cuántas sesiones activas hay en tus sistemas, desde qué dispositivos, desde qué ubicaciones geográficas, y cuáles se comportan de forma diferente a su patrón histórico. Si no tienes esa respuesta disponible en menos de un minuto, no tienes observabilidad. Tienes logs.

El Excel con datos de clientes. El PDF de la propuesta comercial. La información que se regala.

Hay una categoría de riesgo de información que no aparece en ningún pentest, que no activa ninguna alerta de seguridad perimetral, y que en muchas organizaciones representa la mayor exposición real de datos sensibles: la información que sale por decisión humana, en formatos no controlados, sin ningún rastro.

El gerente comercial que exporta la base completa de clientes a un Excel para "trabajarla más fácil" desde casa. El director de finanzas que manda el estado de resultados por WhatsApp porque el correo corporativo "tarda mucho". El proveedor externo al que se le da acceso completo a la carpeta de Drive porque "necesita ver unos archivos". El consultor que se va con una copia de la base de datos de producción porque nadie formalizó qué datos podía llevarse.

Estos no son problemas de hackers. Son problemas de decisiones. Y son los más difíciles de controlar técnicamente porque no violan ningún sistema — son acciones autorizadas, tomadas por personas con acceso legítimo, que en ese momento no pensaron — o no les importó — el riesgo que estaban creando.

La información más valiosa de tu empresa no la roba un atacante sofisticado la mayoría de las veces. La regala alguien de adentro, en un archivo adjunto, sin mala intención y sin consecuencias visibles — hasta que las hay.

Las organizaciones serias resuelven esto con una combinación de política, tecnología y cultura: clasificación de información (no todos los datos tienen el mismo nivel de sensibilidad ni merecen las mismas restricciones), DLP —Data Loss Prevention— que detecta y bloquea transferencias no autorizadas de información sensible, y una cultura donde las personas entienden el valor de los datos que manejan, no como regla burocrática, sino como parte de su responsabilidad profesional.

El costo real de los falsos ahorros

Hay una conversación que ocurre en muchas juntas de presupuesto y que, vista desde afuera, es difícil de entender. La empresa decide no invertir en gestión de identidades centralizada porque "es caro". No contratar un CISO dedicado porque "TI puede cubrirlo". No implementar cifrado en los laptops del equipo directivo porque "eso complica el trabajo". No revisar los accesos de proveedores porque "es mucho proceso".

Esas decisiones tienen un costo calculable. No hipotético — calculable, con los datos que ya existen:

$4.88M

costo promedio de una brecha global 2024. El "ahorro" de no invertir en seguridad tiene precio de lista.

IBM 2024

$1.76M

costo adicional promedio cuando la brecha ocurre en organizaciones con escasez de personal de seguridad

IBM Cost of Data Breach 2024

$2.2M

ahorro promedio en costo de brecha para organizaciones que usan IA y automatización en seguridad

IBM 2024

100 días

más rápido detectan y contienen brechas las empresas con IA en seguridad vs las que no la tienen

IBM Cost of Data Breach 2024

La empresa que decidió no invertir $200,000 pesos en gestión de accesos centralizada tampoco contrató el proceso de revocación automática. El ex empleado del Caso 02 desvió 4.3 millones de pesos. La empresa que no cifró las laptops del equipo directivo ahorró quizás $50,000 pesos en licencias de software. El Caso 03 resultó en notificación al INAI u otra Entidad, investigación regulatoria, cobertura en medios y pérdida de contratos institucionales. No hay una forma honesta de calcular el "ahorro" sin ponerlo junto al costo de lo que evitó.

Lo más costoso en seguridad no es la inversión en los controles correctos. Es la ausencia de ellos en el momento equivocado.

Lo que un director puede pedir mañana — sin saber nada de tecnología

No hace falta entender cómo funciona un token de sesión para hacer las preguntas correctas. Estas preguntas, hechas en la próxima junta con TI, con el CISO o con el proveedor de seguridad, cambian la conversación de operativa a estratégica:

1

¿Tenemos una lista actualizada de quién tiene acceso a qué sistema — y desde qué equipos? Si no existe o no está al día, es el primer problema. Esa lista es el inventario de riesgo más básico que existe.

2

¿Qué pasa realmente con los accesos cuando alguien se va? No el proceso en papel — el proceso real. ¿Cuánto tarda? ¿En todos los sistemas? ¿Quién lo verifica? Pide el registro del último caso.

3

¿Los datos en nuestros servidores y laptops están cifrados — no solo cuando viajan, sino cuando están guardados? Si la respuesta es "no sé", la respuesta es no.

4

¿Cuántas sesiones activas hay en este momento en nuestros sistemas, y hay alguna que debería haberse cerrado? Si ese reporte tarda más de un día en producirse, no hay observabilidad real.

5

¿Los equipos personales del equipo directivo tienen los mismos controles que las laptops corporativas? Si no, los ejecutivos con mayor acceso son el mayor riesgo. Siempre.

6

¿Hay un proceso para detectar cuando alguien exporta información sensible — una base de clientes, un archivo financiero — fuera de los sistemas controlados? Si la respuesta es no, la información ya está saliendo.

7

¿El riesgo operacional tecnológico está en nuestra matriz de riesgo, con responsable, con métrica y con plan de respuesta? Si no está en la matriz, no existe para el consejo — aunque exista en la realidad.

Una última cosa

En más de veinte años construyendo y asegurando plataformas en sectores regulados — fintech con aprobación CNBV, salud con COFEPRIS, energía con ASEA, aviación, etc — he visto este patrón repetirse con una consistencia que ya no me sorprende, pero que sigue costando caro cada vez.

La empresa que invirtió en el pentest y pensó que con eso alcanzaba. El consejo que aprobó la política de seguridad sin saber que sus propias laptops eran el punto débil. El director que confundió "cumplir con el estándar" con "estar protegido". El proveedor que vendió la herramienta correcta sin decirle al cliente que la herramienta sola no resuelve el problema de comportamiento. El ejecutivo que decidió no contratar al CISO porque "TI puede hacerlo" — y que tres años después estuvo sentado frente al regulador explicando por qué los datos de sus clientes estaban en un foro de la dark web.

Y he visto lo contrario también. Las organizaciones donde alguien tomó la decisión de construir la seguridad como arquitectura, no como parche. Donde el CISO tiene acceso al consejo y presupuesto real. Donde el desarrollo seguro es un requisito, no una aspiración. Donde los datos se tratan como el activo que son — con clasificación, con controles, con rendición de cuentas.

Esas organizaciones no son inmunes. Pero cuando ocurre un incidente, lo detectan en días, no en meses. Lo contienen antes de que sea crisis. Y tienen el plan de respuesta listo — porque sabían que tarde o temprano lo necesitarían.

Zero Trust no es cara. No es complicada en su esencia. Requiere hacer las preguntas correctas con la honestidad suficiente para aceptar que las respuestas actuales no son suficientes. Eso sí requiere algo que ninguna herramienta puede vender: la decisión de que la seguridad es un tema del negocio — y que empieza en el consejo.

Para compartir

"Tu empresa puso contraseña, puso MFA, pasó el pentest. El atacante entró igual — con las llaves de alguien que ya había entrado. No rompió nada. Solo esperó. Y tardaste 8 meses en darte cuenta." — JMCoach

Fuentes · IBM Cost of a Data Breach Report 2024 — costo promedio global $4.88M USD (+10% vs 2023, récord histórico); tiempo promedio identificar y contener brecha: 258 días; brechas por credenciales robadas: 292 días; escasez de personal de seguridad añade $1.76M al costo; IA y automatización reducen costo en $2.2M y aceleran detección 100 días · Verizon Data Breach Investigations Report (DBIR) 2025 — análisis de más de 20,000 incidentes; 60% de brechas con elemento humano; credenciales robadas en 22% como vector inicial; 88% de ataques a apps web con credenciales robadas; ransomware en 44% de brechas; 2,800 millones de contraseñas en foros criminales en 2024; 46% de dispositivos no administrados contienen credenciales corporativas · Verizon DBIR 2026 (publicado mayo 2026) — vulnerabilidades de software superan a contraseñas robadas como vector de acceso inicial en 2025 · NIST Cybersecurity Framework (CSF) 2.0, febrero 2024 — primera actualización mayor desde 2014; nueva función Govern como primer pilar; integración explícita de Zero Trust, privilegio mínimo, cifrado en reposo y en uso, protección de datos en tránsito y en reposo · nist.gov/cyberframework · NIST Special Publication 800-207 — Zero Trust Architecture (ZTA): verificación continua, privilegio mínimo, micro-segmentación, cifrado de todas las comunicaciones · CISA Zero Trust Maturity Model 2.0 (2023) — 5 pilares: Identidad, Dispositivos, Redes, Aplicaciones y Cargas de Trabajo, Datos + 3 capacidades transversales: Visibilidad y Analítica, Automatización y Orquestación, Gobernanza · cisa.gov/zero-trust · CISA Secure by Design (2024) — principios de desarrollo seguro para proveedores de software en infraestructura crítica; eliminar categorías enteras de vulnerabilidades por diseño · ISO 31000:2018 — gestión de riesgo operacional; matriz de riesgo como responsabilidad del consejo · ISO 27001:2022 — sistema de gestión de seguridad de la información; controles de acceso, cifrado, gestión de activos, continuidad · CNBV — Disposiciones de Carácter General aplicables a Instituciones de Crédito (Circular Única de Bancos); responsabilidad del consejo en riesgo tecnológico y operacional · INAI — Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP); obligación de notificación de brechas; sanciones por exposición no autorizada · Infografía de referencia: @CycuraMX — "Una contraseña no garantiza un equipo seguro".

Si tu organización necesita traducir la seguridad tecnológica a decisiones de negocio — o construir la arquitectura correcta en un entorno regulado — la conversación vale la pena.

The How Maker · #JMCoach
Riesgo Operacional · Seguridad por Diseño · Zero Trust · Arquitectura en Sectores Regulados · Fintech · Salud · Energía · Gobierno · Asesoría Ejecutiva y de Consejo

mxjormer@gmail.com  ·  linkedin.com/in/mxjormer  ·  jmcoach-mx.blogspot.com  ·  @JormerMx