El reloj cibernético no se detiene: Reducir el riesgo de las tecnologías emergentes en los servicios financieros

Nota: Hacemos nuestro mejor esfuerzo por preservar el espíritu original y los matices de nuestros artículos. Sin embargo, nos disculpamos de antemano por cualquier falla de traducción que pueda notar. Agradecemos sus comentarios en reader_input@mckinsey.com

Conforme las empresas de servicios financieros de todo el mundo se apresuran a seguir el ritmo de un panorama tecnológico en rápida evolución, deberían tener en cuenta no solo las ventajas que ofrecen las nuevas tecnologías emergentes, sino también los riesgos que implican.

Para entender cómo están lidiando las empresas con las mejores formas de utilizar y proteger las tecnologías de hoy y mañana, McKinsey se asoció con el Instituto de Finanzas Internacionales (Institute of International Finance, o IIF) para encuestar a instituciones financieras de todo el mundo sobre su uso actual y previsto de diez tecnologías emergentes clave. (Para más detalles sobre la metodología de investigación, incluida la preselección de las principales tendencias tecnológicas, basada en las tendencias globales de la industria, consulte el “Apéndice: Enfoque y metodología”). ¿Cómo están abordando las empresas las tecnologías emergentes? ¿Qué tecnologías emergentes están adoptando? ¿Cómo planean proteger y mitigar los riesgos cibernéticos asociados? ¿Qué capacidades de ciberseguridad serán necesarias para adoptar y proteger con éxito las nuevas tecnologías?

Apéndice: Enfoque y metodología

Las perspectivas de este informe proceden de una encuesta realizada en 2023 a 37 empresas de servicios financieros de todo el mundo. Entre las instituciones encuestadas había gestoras de activos y empresas de capital privado; bancos minoristas, corporativos y de inversión; empresas de pagos y cámaras de compensación; mercados de capitales; aseguradoras; y un importante proveedor de datos. Veintiséis de las instituciones reportaron menos de $30 mil millones de dólares de ingresos anuales, y cinco reportaron al menos $60 mil millones de dólares (gráfica).

Para ayudar a estructurar y optimizar nuestra encuesta, nos remitimos al Marco de Seguridad Cibernética del Instituto Nacional de Estándares y Tecnología (National Institute of Standards and Technology’s Cybersecurity Framework), a las tendencias tecnológicas de la industria y a las preguntas de encuestas anteriores de McKinsey y el Instituto de Finanzas Internacionales (IIF).

De las tecnologías emergentes incluidas en la encuesta (véase el recuadro “Diez tecnologías emergentes”), la mayoría de las empresas de servicios financieros indicaron que están dando prioridad a la adopción e inversión en cuatro de ellas: computación en la nube y en el borde, inteligencia artificial (IA) aplicada, desarrollo de software de próxima generación, y arquitecturas de confianza e identidad digital (Gráfica 1). Es probable que estas cuatro tecnologías se adopten más rápidamente que la conectividad avanzada, la movilidad del futuro, la realidad inmersiva, la cuántica, el aprendizaje automático y la Web3. Quizá esto se debe a su amplia aplicabilidad y madurez, así como a sus casos de uso probados y basados en el valor para las empresas de servicios financieros.

Diez tecnologías emergentes

Computación en la nube y en el borde. En estas tecnologías, las cargas de trabajo se distribuyen entre distintas ubicaciones, como centros de datos remotos a hiperescala, centros regionales y nodos locales, para mejorar la latencia, los costos de transferencia de datos, el cumplimiento de la normativa sobre soberanía de los datos, la autonomía sobre los datos y la seguridad.

IA aplicada (incluida la IA generativa). Los modelos entrenados en aprendizaje automático pueden utilizarse para resolver problemas de clasificación, predicción y control para automatizar actividades, añadir o aumentar capacidades y ofertas, y tomar mejores decisiones. Nótese que, en el momento del desarrollo y la publicación de la encuesta, la IA generativa (la próxima generación de IA aplicada, que puede automatizar, aumentar y acelerar el trabajo aprovechando conjuntos de datos no estructurados de modalidad mixta para permitir la creación de nuevos contenidos en varias formas, como texto, vídeo, código e incluso secuencia de proteínas) se incluyó como subconjunto de la categoría de tecnología de IA aplicada.

Desarrollo de software de próxima generación. Las nuevas herramientas de software, incluidas las que permiten modernas canalizaciones de despliegue de código y la generación, comprobación, refactorización y traducción automatizadas de código, pueden mejorar la calidad de las aplicaciones y los procesos de desarrollo.

Arquitecturas de confianza e identidad digital. Las tecnologías de confianza digital permiten a las organizaciones crear, ampliar y mantener la confianza de las partes interesadas en el uso de sus datos y sus productos y servicios digitales.

Aprendizaje automático industrializado. Un ecosistema de soluciones de software y hardware en rápida evolución está permitiendo prácticas que aceleran y reducen los riesgos del desarrollo, la implementación y el mantenimiento de soluciones de aprendizaje automático.

Web3. La Web3 incluye plataformas y aplicaciones que tienen como objetivo permitir cambios hacia una Internet del futuro descentralizada con normas y protocolos abiertos, protegiendo al mismo tiempo los derechos de propiedad digital. No se trata simplemente de inversiones en criptomoneda, sino de una forma transformadora de diseñar software para fines específicos. Este cambio potencialmente proporciona a los usuarios una mayor propiedad de sus datos y cataliza nuevos modelos de negocios.

Conectividad avanzada. Las redes inalámbricas de baja potencia, las redes celulares 5G/6G, Wi-Fi 6 y 7, los satélites de órbita terrestre baja y otras tecnologías apoyan una serie de soluciones digitales que pueden impulsar el crecimiento y la productividad en todos los sectores, hoy y en el futuro.

Tecnologías cuánticas. Las tecnologías basadas en la cuántica podrían proporcionar un aumento exponencial del rendimiento computacional para determinados problemas y transformar las redes de comunicaciones haciéndolas más seguras.

Futuro de la movilidad. Las tecnologías de movilidad pretenden mejorar la eficiencia y la sostenibilidad del transporte terrestre y aéreo de personas y mercancías, utilizando soluciones autónomas, conectadas, eléctricas y compartidas.

Tecnologías de realidad inmersiva. Las tecnologías de realidad inmersiva utilizan tecnologías de detección y computación espacial para ayudar a los usuarios a "ver el mundo de manera diferente” a través de la realidad mixta o aumentada, o a "ver un mundo diferente" a través de la realidad virtual.

Si bien estas tecnologías pueden proporcionar beneficios exponenciales, también pueden conllevar riesgos cibernéticos que las empresas deben mitigar utilizando sus capacidades de ciberseguridad existentes. La investigación muestra que las capacidades actuales no están a la altura de estos riesgos. La mayoría de los encuestados también reconocen la necesidad de fortalecer las capacidades críticas de ciberseguridad, incluida la gestión de terceros o de la cadena de suministro y la gestión de acceso privilegiado (privileged access management, o PAM). A medida que las empresas continúan aumentando su dependencia de tecnologías más nuevas, deben asegurarse de que han pensado e implementado las capacidades de gestión de riesgos necesarias. De lo contrario, es posible que descubran que los riesgos superan a los beneficios.

Más perspectivas de McKinsey en Español

Mire nuestra colección de artículos en Español y suscríbase a nuestro newsletter mensual en Español.

Navegue por la colección

Dado que el panorama tecnológico del sector de servicios financieros seguirá evolucionando rápidamente en los próximos tres a cinco años, y que los riesgos asociados aumentan, ahora es el momento de preparar el entorno para el futuro. Las instituciones financieras pueden sentar las bases para la acción planteándose cuatro preguntas sobre su búsqueda de tecnologías emergentes:

¿Estamos dando prioridad a las tecnologías y capacidades de ciberseguridad adecuadas? ¿Están alineadas nuestras prioridades tecnológicas con nuestras capacidades de seguridad?
¿Estamos invirtiendo en las tecnologías y capacidades de ciberseguridad adecuadas?
¿Tenemos las métricas y los informes adecuados? ¿Podemos, y lo hacemos, medir con precisión y confianza nuestro apetito de riesgo, brindar transparencia a los reguladores y ejecutivos, e identificar las fortalezas y debilidades?
¿Disponemos del talento adecuado para cerrar las brechas de capacidad? ¿Contamos con el talento suficiente y adecuado no solo para mantener las capacidades actuales, sino también para respaldar la madurez y las expansiones tecnológicas futuras?

Las instituciones financieras tienen las tecnologías emergentes en el punto de mira

En un panorama tecnológico cada vez más saturado y cambiante, las empresas se enfrentan a la presión de mantener el ritmo.

Las instituciones financieras no solo deben lidiar con la mejor manera de emplear y proteger sus tecnologías actuales, sino también prestar cada vez más atención al creciente campo de las tecnologías emergentes que prometen fortalecer sus negocios, ofreciendo beneficios como una mayor automatización, escalabilidad y ahorro de costos.

Para comprender mejor cómo las instituciones abordan y priorizan las nuevas tecnologías, encuestamos a empresas de todo el mundo sobre la aplicabilidad de diez tecnologías emergentes a sus negocios.

Los resultados de la encuesta revelan que las empresas de servicios financieros no están explorando todas las tecnologías emergentes por igual. Por el contrario, se están concentrando en las que perciben como más aplicables a sus organizaciones y que probablemente les aporten el mayor valor, teniendo en cuenta sus capacidades tecnológicas actuales, sus estrategias empresariales y tecnológicas a largo plazo, y las posibles repercusiones regulatorias.

En los últimos años, las empresas de servicios financieros han evolucionado hasta convertirse en empresas impulsadas por la tecnología. Este enfoque centrado en la tecnología es visible en las formas en que están priorizando sus inversiones; además de adoptar tecnologías de software, están priorizando las inversiones en la ampliación del desarrollo de tecnología, como DevOps (desarrollo de software y operaciones de TI), e industrializando el aprendizaje automático y la inteligencia artificial.

Las instituciones también están sopesando el nivel actual de madurez de cada tecnología en sus planes, considerando los casos de uso probados (y no probados) que podrían agregar valor a sus negocios. Las tecnologías más aplicables estaban en una fase de madurez más avanzada que algunas de las consideradas menos relevantes.

La computación en la nube y en el borde encabezan la lista, con un 84 por ciento de los encuestados que reconocen su relevancia para sus negocios. Entre los encuestados, seis de cada diez afirmaron que más del 25 por ciento de su carga de trabajo ahora reside en la nube. Sin duda, este porcentaje aumentará a medida que las capacidades de la nube sigan evolucionando y las empresas continúen transformando su infraestructura de TI mediante la migración a la nube y la inversión en infraestructura nativa de la nube, atraídas por ventajas como la flexibilidad, la escalabilidad y la eficiencia de costos que no ofrecen los centros de datos in situ tradicionales.

Sin duda, la madurez y los casos de uso probados ayudan a impulsar la adopción generalizada y, de hecho, los encuestados confirmaron que la computación en la nube ya es la tecnología emergente más madura utilizada en las empresas de servicios financieros. Más del 70 por ciento de las empresas ven su adopción de la nube en la fase post-piloto, y el 42 por ciento considera que sus capacidades están totalmente adoptadas y en fase de mantenimiento.

La IA aplicada recibe casi la misma atención, ya que alrededor del 80 por ciento de los encuestados la consideran relevante para sus negocios. La IA y el aprendizaje automático tienen una larga historia en los servicios financieros. Los bancos corporativos y de inversión, así como las aseguradoras, fueron los primeros en adoptar la IA y el aprendizaje automático, décadas antes que otras instituciones financieras. El resto del sector de servicios financieros se ha puesto al día en los últimos años, y su adopción no ha hecho más que crecer.

Esto coincide con las tendencias tecnológicas más generales de los servicios financieros, a medida que las tecnologías de IA aplicada siguen evolucionando y ofrecen el potencial de aumentar el valor para las empresas. La próxima etapa de la IA –la IA generativa– promete una disrupción sin precedentes en la industria (véase el recuadro: “Las promesas –y los riesgos– de la IA generativa”).

Las promesas —y los riesgos— de la IA generativa

La IA generativa se ha convertido en líder de las tecnologías emergentes en 2024, creando una gran expectación en la industria y los medios de comunicación. En respuesta, las organizaciones están encontrando rápidamente formas para que la IA generativa impulse un crecimiento sostenible e inclusivo resolviendo problemas de manera eficiente. Nuestra investigación estima que la IA generativa podría agregar entre $200 mil y $340 mil millones de dólares en valor en los sectores bancario, mayorista y minorista, y añadir $4.4 billones de dólares en valor económico global.¹

Pero la IA tiene riesgos, incluidos algunos que quizá no podamos prever hoy. Las empresas de servicios financieros deben prepararse para reconocer y mitigar esos riesgos, aplicando los recursos, las herramientas y los controles adecuados para proteger sus datos, propiedad intelectual y reputación. La IA generativa, por ejemplo, sin duda podría ayudar a bancos, aseguradoras y gestores de dinero a satisfacer las necesidades de los clientes, como servicios de asesoría personalizados, pero plantea nuevos riesgos en términos de equidad y sesgo, así como de propiedad y gobernanza de los datos.

Sin embargo, a diferencia de la adopción de la nube, el nivel de madurez de la IA aplicada sigue evolucionando. Aunque muchas empresas de servicios financieros reconocen la relevancia de la IA aplicada, la mayoría de sus casos de uso aún están en las primeras etapas de desarrollo. El 70 por ciento de los encuestados declaró encontrarse en la fase piloto o antes. Algunos casos de uso, como los delitos financieros, el riesgo financiero y el modelado de activos, están bastante maduros. Entre los que se encuentran en las fases iniciales figuran la IA generativa y los grandes modelos de lenguaje. Muchas instituciones aún están explorando su uso en el apoyo a la interacción con el cliente, el marketing personalizado y el fraude. Estos esfuerzos ofrecen a las empresas la oportunidad de obtener una ventaja competitiva en el espacio de la IA aplicada antes de que la tecnología esté lista para su despliegue. Pueden implementar, por ejemplo, una supervisión adecuada y unas barreras y controles responsables para la tecnología de IA, acelerando así su adopción para cuando haya madurado lo suficiente.

Casi el 75 por ciento de los encuestados reconocen la aplicabilidad del desarrollo de software de próxima generación a sus empresas, atraídos por la capacidad de transformar su ciclo de vida de desarrollo de software y simplificar tareas de desarrollo personalizadas que antes eran complicadas. El desarrollo y las pruebas habilitados por IA, las herramientas de bajo código y sin código, y otros avances pueden mejorar los procesos y la calidad del software en cada etapa del ciclo de vida de desarrollo.

El desarrollo de software de próxima generación se encuentra en gran medida en fase piloto en muchas empresas. Éstas pueden transformar su ciclo de vida de desarrollo de software, cosechando los beneficios de simplificar tareas complicadas en el desarrollo de aplicaciones personalizadas. Aunque solo el 11 por ciento de los encuestados ha adoptado plenamente esta tecnología, más del 50 por ciento se encuentra en la fase piloto o de expansión post-piloto, lo que indica que han tenido tiempo de considerar las ventajas y los casos de uso de la tecnología.

La arquitectura de confianza y la identidad digital también están avanzadas en muchas empresas. Casi el 50 por ciento de los encuestados se sitúan en la fase post-piloto o de mantenimiento de la identidad digital, y el 70 por ciento considera que la arquitectura de confianza es aplicable a sus negocios, con casos de uso relacionados con la banca digital, la experiencia omnicanal del cliente, una visión de 360 grados de los clientes y ofertas de billeteras digitales. Estos esfuerzos han demostrado beneficios tales como una innovación más rápida, una mayor protección de los activos y una mejor experiencia del cliente, lo que ha persuadido aún más a las instituciones a invertir en tecnologías subyacentes, incluida la arquitectura de confianza cero, los sistemas de identidad digital y la ingeniería de privacidad.

Los esfuerzos en materia de confianza digital aumentarán con toda seguridad a medida que sigan creciendo las infracciones relacionadas con la identidad, especialmente los ciberataques a los sistemas de identidad. El 84 por ciento de las empresas que participaron en una encuesta de la Identity Defined Security Alliance en 2022 declararon haber sufrido una violación relacionada con la identidad durante ese año.¹ A medida que las organizaciones siguen expandiendo sus huellas digitales, deben construir de forma segura y supervisar de cerca sus capacidades relacionadas con la identidad.

En el otro extremo del espectro, menos de un tercio de los encuestados considera que las siguientes tecnologías emergentes que pueden beneficiar a las empresas de servicios financieros son aplicables a sus empresas en la actualidad: cuántica, futuro de la movilidad y realidad inmersiva. Es posible que muchas instituciones no vean que la adopción de estas tecnologías se produzca pronto y, por lo tanto, no les den prioridad hoy, debido a que el plazo de adopción es más largo. Podría ser que los avances en computación cuántica en los próximos años hagan que esta se convierta rápidamente en una de las principales preocupaciones, dado su potencial para afectar materialmente a áreas como la violación de contraseñas y la ruptura de cifrado.

Si bien esta perspectiva es adecuada si se considera la madurez actual de estas tecnologías, especialmente en comparación con otras más avanzadas y ampliamente adoptadas como la computación en la nube y en el borde, las empresas de servicios financieros no deberían descartarlas tan rápidamente. Por ejemplo, se estima que la computación cuántica aportará más de $600 mil millones de dólares de valor a las finanzas, con beneficios potenciales como la toma de decisiones automatizada en tiempo real y actividades de apoyo como los estímulos holísticos de liquidez o los estímulos de riesgo como parte de operaciones a gran escala y con grandes márgenes.

Se espera que la adopción y la madurez de estas tecnologías, y sin duda de otras, no haga sino aumentar, ya que las empresas creen que deberían gastar más en las que perciben como más aplicables a sus organizaciones. Muchos señalaron que no creen que estén gastando lo suficiente en tecnologías aplicables. Más de la mitad de los encuestados reconocen la necesidad de gastar más para continuar desarrollando sus capacidades en la industrialización del aprendizaje automático, el desarrollo de software de próxima generación, la inteligencia artificial aplicada, la movilidad futura, la arquitectura de confianza y la identidad digital (Gráfica 2). Este imperativo de gasto no hará sino acelerarse a medida que las tecnologías listas para la inversión sigan madurando y proliferando.

Las tecnologías emergentes amplifican los riesgos existentes y añaden otros nuevos

Las tecnologías emergentes pueden ofrecer importantes ventajas, pero también pueden exacerbar los riesgos existentes e introducir nuevos riesgos cibernéticos.

La gestión del riesgo cibernético no es nada nuevo para las empresas de servicios financieros, pero la importancia de una estrategia sólida e integral nunca ha sido más crítica y solo aumentará a medida que las instituciones amplíen su huella tecnológica. Los ciberataques siguen aumentando y las empresas de servicios financieros se enfrentan a ciberdelincuentes bien financiados, altamente organizados y bien entrenados. Estos delincuentes también están adoptando tecnologías emergentes para ayudar en sus ataques, incluidos los recientes ataques que utilizan la IA generativa como parte de sofisticadas campañas de suplantación de identidad (phishing).

Los incidentes cibernéticos están aumentando tanto en frecuencia como en gravedad año tras año, y las instituciones deben mantenerse vigilantes en sus capacidades para defenderse y proteger sus activos y finanzas contra la delincuencia electrónica (Gráfica 3). Según el informe sobre amenazas globales 2024 de CrowdStrike, el crimen electrónico (eCrime) sigue creciendo y lideró como la amenaza más generalizada en 2023. La extorsión por robo de datos también sigue creciendo, y en 2023 se produjo un aumento del 76 por ciento en el número de víctimas citadas en los sitios de filtración dedicados al eCrime en comparación con 2022.² A medida que las empresas aumentan su uso de la tecnología, también se incrementa el número de vías para un posible ciberataque por parte de actores de amenazas maduros.

Además, encuestamos a instituciones financieras para comprender mejor qué riesgos cibernéticos eran los más importantes. Según reportaron, los mayores riesgos a los que se enfrentan sus organizaciones incluyen los ciberataques, la inteligencia artificial, la gestión del talento, la gestión de terceros y de la cadena de suministro, y la seguridad de los datos (Gráfica 4). Si bien esto demuestra que las empresas son conscientes de los riesgos a los que se enfrentan y los tienen en cuenta, también plantea un par de preguntas: ¿Disponen de las capacidades adecuadas para mitigar los riesgos? ¿Están considerando la posibilidad de que aumenten los riesgos a medida que amplían la adopción de nuevas tecnologías? Aunque en su inmensa mayoría reconocen que están bajo ataque y que las tecnologías emergentes introducen riesgos, siguen careciendo del talento adecuado para abordar estos riesgos.

A medida que las empresas amplían su adopción de tecnología, es probable que aumenten los riesgos cibernéticos. En concreto, cada una de las cuatro tecnologías que recibieron mayor atención por parte de los encuestados presenta sus propios riesgos.

Por ejemplo, la migración a la nube. A medida que las instituciones financieras trasladan sus cargas de trabajo a la nube y desaparecen los límites de la red, aumenta el riesgo de exposición a agentes de amenazas y a que los estados-nación obtengan acceso a las redes. Sin una gestión adecuada anclada en una robusta estrategia de seguridad en la nube y sólidas capacidades de seguridad, las empresas se enfrentan a una multitud de riesgos cibernéticos, incluyendo configuraciones erróneas, violaciones de la privacidad de los datos y pérdida de datos. Los controles de acceso estrictos, los programas de gestión de vulnerabilidad, la protección de datos y las capacidades de gestión de terceros son fundamentales para mitigar estos riesgos; de lo contrario, las organizaciones pueden encontrarse susceptibles a riesgos como la pérdida de datos a través de conexiones internas débiles e interrupciones del servicio debido a una gran dependencia de la exposición a terceros.

El uso de la IA aplicada y la IA generativa introduce importantes riesgos normativos para las empresas. Los reguladores están cada vez más atentos a los riesgos asociados a la IA y están desarrollando requisitos, como los establecidos en la Ley de IA de la UE, que probablemente se aplicarán en los próximos años. Las empresas de servicios financieros deben desarrollar sus capacidades de seguridad –incluidos informes, gobernanza y privacidad de los datos– de acuerdo con las normativas emergentes antes de que entren en vigor.

El desarrollo de software de próxima generación y la arquitectura de confianza también pueden exponer a las empresas a riesgos si no se desarrollan e implementan de forma segura. Ambas tecnologías pueden proporcionar mayores eficiencias y aumentar la seguridad dentro del entorno tecnológico de una organización, pero con ellas viene el riesgo de no involucrar las habilidades adecuadas en el desarrollo y la implementación, o de no integrar las tecnologías de forma completa y segura en el entorno.

Pensemos en la implementación de una arquitectura de confianza cero. La mala configuración de la seguridad y los problemas de integración asociados a las herramientas heredadas pueden aumentar los riesgos de pérdida de datos, daños a la reputación y amenazas internas.

Las empresas de servicios financieros deben confiar en sus capacidades fundamentales de ciberseguridad para asegurar sus tecnologías y proteger sus entornos. Las capacidades de ciberseguridad deben tener prioridad dentro del negocio a medida que las instituciones continúan experimentando transformaciones tecnológicas y reconocen los beneficios que traen consigo. Sin una sólidas capacidades y controles de seguridad fundamentales dentro de sus programas de ciberseguridad, las organizaciones estarán expuestas a los riesgos derivados de sus inversiones en tecnología.

“LA TRANSFORMACIÓN DIGITAL ESTÁ EN EL CENTRO DE NUESTRA ESTRATEGIA. RECONOCEMOS LA IMPORTANCIA DE ADOPTAR E INVERTIR EN TECNOLOGÍAS EMERGENTES, COMO LA NUBE Y LA IA. AL MISMO TIEMPO, GESTIONAR LOS RIESGOS CIBERNÉTICOS Y TECNOLÓGICOS ASOCIADOS ES DE SUMA IMPORTANCIA PARA GARANTIZAR LA RESILIENCIA GENERAL DE NUESTROS SERVICIOS VITALES. ESTO AYUDA A MEJORAR LA CONFIANZA DIGITAL DE NUESTROS CLIENTES MIENTRAS PROTEGE LA SEGURIDAD Y SOLIDEZ DEL BANCO.”

—JAY PUTHANVEEDU; DIRECTOR GLOBAL DE RESILIENCIA, FRAUDE CIBERNÉTICO Y DIGITAL; BNP PARIBAS

Teniendo en cuenta este riesgo, es fundamental que las organizaciones comprendan no solo los beneficios que pueden aportar las nuevas tecnologías, sino también los riesgos que las acompañan. Para que las instituciones realmente aprovechen sus ventajas, primero deben coordinar sus capacidades actuales invirtiendo estratégicamente en las que soportan las nuevas tecnologías y madurándolas. Aunque las empresas financieras reconocen sin duda la importancia de los riesgos cibernéticos y las acciones que deben tomar para gestionarlos, la cuestión es si son plenamente conscientes de los riesgos añadidlos que conllevan estas nuevas tecnologías.

Las empresas necesitan sólidas capacidades fundamentales de ciberseguridad para contrarrestar los riesgos cibernéticos

Las instituciones financieras sienten la presión de seguir el ritmo de otras organizaciones y les preocupa no estar invirtiendo el nivel adecuado de recursos en la adopción de nuevas tecnologías.

El 57 por ciento de los encuestados admitió estar preocupado por seguir el ritmo de las tecnologías emergentes, específicamente en lo que respecta a sus gastos en ciberseguridad.

Si bien reconocen la importancia de contar con sólidas capacidades de ciberseguridad para mitigar los riesgos cibernéticos, el 31 por ciento de las empresas no confía en que sus capacidades puedan hacerlo. Para comprender cómo priorizan y gestionan los riesgos las empresas, les pedimos que seleccionaran sus principales fortalezas y debilidades en sus capacidades de seguridad en ocho dominios y numerosos subdominios (Gráfica 5). ³Dado el gran número de opciones de subcapacidades, centramos nuestro análisis en las diez capacidades principales que recibieron el mayor número de selecciones de los encuestados. Reconocemos que cada organización de ciberseguridad es diferente, tiene competencias y alcances diferentes, y ofrece diferentes servicios, dependiendo de cómo se define la organización de ciberseguridad para esa empresa. Si bien las capacidades y subcapacidades del modelo pueden cambiar y evolucionar con el tiempo, utilizamos este marco como estándar de un momento dado para analizar la población de encuestados de manera consistente.

Las capacidades más débiles que identificaron requieren atención inmediata, ya que muchas de ellas son esenciales para desarrollar e implementar con éxito las cinco tecnologías de mayor interés para los encuestados (Gráfica 6):

Gestión de terceros y de la cadena de suministro. La gestión de terceros es, con diferencia, la mayor debilidad en cuanto a capacidades –encabeza la lista para el 65 por ciento de los encuestados– y es fundamental a medida que las empresas siguen ampliando el uso de tecnologías emergentes en la computación en la nube y la IA aplicada, que dependen en gran medida de servicios de terceros para componentes tan críticos como la informática, el uso de datos, el sesgo del modelo, el uso del modelo y la seguridad.

A medida que las empresas de servicios financieros dependen cada vez más de los servicios de terceros, deben mejorar sus propias capacidades de seguridad para evitar exceder sus apetitos de riesgo y hacer que sus entornos sean vulnerables a los riesgos.
Métricas e informes. A pesar de que el cumplimiento normativo es un factor importante para la inversión en ciberseguridad, una parte significativa de los encuestados (41 por ciento) calificó sus capacidades en métricas e informes como una debilidad fundamental. Las empresas necesitan métricas e informes fiables y reveladores (como cumplimiento de seguridad, métricas de riesgo y seguimiento de vulnerabilidades) para demostrar a los reguladores la salud de sus capacidades de seguridad y gestionar dichas capacidades. Nuevas regulaciones, como la Regla de Divulgación Cibernética de la SEC de Estados Unidos (US SEC Cyber Disclosure Rule)⁴ y la Ley de Informes de Incidentes Cibernéticos para Infraestructuras Críticas de 2022 (Cyber Incident Reporting for Critical Infrastructure Act of 2022, o CIRCIA), así como normativas similares en todo el mundo, han subrayado la importancia de mejorar la presentación de informes, la transparencia y la gobernanza de los riesgos de ciberseguridad.⁵ Además, con una mayor atención en todo el mundo al cumplimiento de la normativa, la resiliencia operativa y la gestión del riesgo de terceros, cada vez más instituciones financieras se enfrentan al desafío de demostrar la resiliencia de sus proveedores y su fiabilidad en momentos de tensión extrema. Por lo tanto, es más importante que nunca que las empresas puedan medir sus riesgos adecuadamente.

Sin un proceso sólido para medir, informar y gobernar los riesgos asociados a las capacidades, las organizaciones están volando a ciegas, sin saber cuánto riesgo plantearán las tecnologías emergentes. Las empresas, por ejemplo, necesitarán controles evolucionados para medir el sesgo y el riesgo de los modelos, el tiempo medio dedicado a responder a incidentes en el entorno de la nube y la gravedad de las vulnerabilidades. Estos controles permiten a las empresas identificar sus fortalezas y debilidades, y abordar esas lagunas antes de que se materialice un problema.
Capacidades de gestión de identidades y accesos (Identity and access management, o IAM). Los encuestados emitieron un juicio similar sobre sus capacidades de IAM, específicamente la capacidad PAM de mayor riesgo. A pesar de la inversión en identidad digital y un mayor dominio de la tecnología para proteger, las empresas siguen teniendo dificultades para proteger las cuentas con acceso de alto riesgo. Sin una PAM adecuada, las capacidades tecnológicas emergentes siguen siendo vulnerables a los ataques por la puerta trasera de los actores de amenazas. Además, a medida que las instituciones financieras dependen cada vez más del desarrollo automatizado de software (como el desarrollo de software de próxima generación que financia el 74 por ciento de los encuestados), necesitan implementar prácticas seguras de IAM y PAM.
La nube. La nube amplía el entorno digital y el vector de ataque global que las empresas deben proteger. Mientras adoptan la confianza digital, las organizaciones luchan por gestionar sus identidades digitales. El despliegue automatizado y la infraestructura fácilmente escalable de la nube pueden aumentar el riesgo de exposición de los datos. Desafortunadamente, los desarrolladores suelen utilizar cuentas privilegiadas de administrador o maestro de dominio, y credenciales predeterminadas en el entorno de la nube. Sin una PAM adecuada, prácticamente están invitando a malos actores a apoderarse de las llaves del reino.
Gestión del ciclo de vida de los datos. Si bien muchas empresas de servicios financieros están utilizando el desarrollo de software de próxima generación y la IA aplicada para conseguir eficiencias y oportunidades de automatización, a menudo se quedan cortas en la importante capacidad fundamental de la gestión del ciclo de vida de los datos, como admitió el 30 por ciento de los encuestados. Sin una gestión de datos segura y fiable que siga las mejores prácticas desde la creación hasta la destrucción, las empresas tendrán dificultades para optimizar los beneficios de las tecnologías que requieren fuentes de datos fiables.

Pensemos en la IA aplicada. Es esencial proteger los datos de entrenamiento del modelo para evitar la manipulación y la introducción de sesgos. A medida que los modelos de IA se aplican a los conjuntos de datos y que los datos pasan a través de los modelos, es igualmente esencial comprender el ciclo de vida completo de la seguridad de los datos, desde el descubrimiento hasta la clasificación, la supervisión, el cumplimiento y la protección. Las principales tecnologías en las que están invirtiendo las instituciones también tienen la mayor correlación con capacidades más débiles. Asimismo, existe una desconexión entre los riesgos más importantes reportados y las debilidades de capacidades a las que se enfrentan las empresas. Estas desconexiones plantean enormes riesgos para las organizaciones, especialmente a medida que continúan invirtiendo, probando y desplegando rápidamente estas tecnologías en sus entornos. Las organizaciones deben reforzar estas capacidades ahora para protegerse en el futuro contra el creciente nivel de riesgo asociado a estas tecnologías.

¿Cómo están priorizando e invirtiendo las empresas en ciberseguridad?

Las capacidades de ciberseguridad de las organizaciones de servicios financieros están luchando por mantenerse al día con el rápido ritmo de adopción.

Para comprender mejor cómo las empresas abordan la ciberseguridad, nos planteamos tres preguntas importantes: ¿Qué está causando que las organizaciones maduren sus capacidades de ciberseguridad? ¿Cómo están priorizando el gasto en ciberseguridad? ¿Tienen el talento adecuado para abordar sus capacidades y carencias? (Véase el recuadro: “Computación en la nube y en el borde: Inversiones planeadas en tecnología, pero no en seguridad”).

El cumplimiento hace avanzar la madurez de la ciberseguridad

Computación en la nube y en el borde: Inversiones planeadas en tecnología, pero no en seguridad

Aunque cada vez son más las instituciones financieras que se pasan a la nube, no son suficientes las que prestan atención adecuada a los riesgos de seguridad asociados al entorno de la nube. Si bien el 84 por ciento de los encuestados considera que la computación en la nube y en el borde es aplicable a sus negocios, y alrededor del 70 por ciento han entrado en la fase post-piloto de implementación de la nube (lo que refleja una gran dependencia de esta tecnología), pocos planean invertir en una seguridad sólida en la nube. Casi el 30 por ciento tiene previsto mantener o reducir los costos, incluso mientras invierten más en tecnología de la nube.

Esto puede deberse a la creencia de que los proveedores de servicios en la nube gestionarán todas las capacidades de seguridad de las empresas. Aunque ciertamente gestionan parte de la seguridad, no se trata de una ecuación unilateral; las organizaciones deben dar prioridad a protegerse a sí mismas e implantar controles y prácticas seguras para la seguridad de sus entornos en la nube bajo su responsabilidad.

La gestión de los riesgos de seguridad de terceros y de la cadena de suministro fue la principal debilidad de las capacidades de ciberseguridad señalada por los encuestados. Dado que la computación y la seguridad en la nube dependen en gran medida de terceros, las empresas deberían pensárselo dos veces antes de reducir su inversión en seguridad en la nube y seguir capacitando a su talento para garantizar que estén incorporando prácticas seguras “por diseño” en sus entornos en la nube.

En cuanto a las causas que hacen que las instituciones financieras maduren sus capacidades de ciberseguridad, nuestra encuesta reveló que había dos factores comunes en todas las organizaciones de servicios financieros: un mayor cumplimiento de las regulaciones y una mayor defensa contra las amenazas externas. El 70 por ciento de las empresas dijeron que un mayor cumplimiento de las regulaciones hace que sus organizaciones maduren sus capacidades de ciberseguridad (Gráfica 7).

El deseo de una mayor protección contra las violaciones de la seguridad no es ninguna sorpresa; es el factor secundario más importante para la madurez. Del mismo modo, dada la creciente regulación de los servicios financieros, es comprensible que un mayor cumplimiento de las regulaciones impulse la madurez de las capacidades, probablemente en áreas con lagunas conocidas.

“UNA CLAVE PARA MEJORAR LA SEGURIDAD DE LAS TECNOLOGÍAS EMERGENTES Y CRÍTICAS ES DESARROLLAR NORMAS SOBRE CÓMO SE INTEGRAN LAS ACTUALES MEDIDAS DE CIBERSEGURIDAD Y SEGURIDAD DE LA INFORMACIÓN EN EL USO DE ESTAS TECNOLOGÍAS. UNA INTEGRACIÓN MÁS ESTRECHA ENTRE ESTAS NORMAS Y LOS MARCOS CIBERNÉTICOS ACTUALES, COMO ISO Y EL CSF DEL INSTITUTO NACIONAL DE NORMAS Y TECNOLOGÍA, CREARÁ UNIFORMIDAD EN LA FORMA EN QUE ESTAS TECNOLOGÍAS SE IMPLEMENTAN ENTRE LAS INSTITUCIONES FINANCIERAS Y LAS MEDIDAS DE SEGURIDAD ACORDADAS PARA ESTOS USOS TECNOLÓGICOS.”

—JASON HARRELL; DIRECTOR DE COMPROMISOS EXTERNOS, RIESGO OPERATIVO Y TECNOLÓGICO, DEPOSITORY TRUST AND CLEARING CORPORATION

Las empresas deben abordar el cumplimiento como la base mínima de expectativas, más que como el objetivo aspiracional. Del mismo modo, el cumplimiento de la normativa debe incorporarse de manera proactiva, en lugar de ser una reacción o una ocurrencia tardía, especialmente a medida que los legisladores profundizan en las tecnologías emergentes. En el caso de muchas tecnologías, las regulaciones aún están en fase de desarrollo (sobre todo en el espacio de la IA). A medida que la normativa se pone al día con el nivel de adopción en las organizaciones, las empresas deben estar preparadas para cumplirla. Al utilizar el cumplimiento como un aspecto esencial de la adopción, las organizaciones pueden preparar sus tecnologías para el futuro adelantándose a las regulaciones emergentes antes de su aplicación.

Hábitos de gasto: Las empresas reconocen una falta de inversión crítica en ciberseguridad

El reconocimiento del gasto insuficiente en capacidades ha aumentado en los últimos tres años. El 70 por ciento de los encuestados creen que no gastan lo suficiente y que deberían gastar más. Ninguna organización declaró haber gastado demasiado. Esto supone un cambio con respecto a encuestas anteriores: en la Encuesta sobre Resiliencia Cibernética (Cyber Resilience Survey) del IIF y McKinsey de 2020, solo el 58 por ciento de los encuestados reconocieron un gasto insuficiente. En 2023, la mayoría de las empresas dijeron que deberían aumentar el gasto en ciberseguridad más de un 20 por ciento para desarrollar las capacidades necesarias (Gráfica 8).

Hoy en día, las empresas de servicios financieros dedican, en promedio, un 13 por ciento de su presupuesto total de TI a la ciberseguridad. A medida que continúan invirtiendo fuertemente en tecnologías, deberían considerar las implicaciones a corto y largo plazo de estas tecnologías para la ciberseguridad, con el fin de mantener la protección de sus entornos.

Afortunadamente, se espera que el gasto en ciberseguridad aumente en los próximos dos o tres años, siendo los bancos regionales de nivel 2 (Tier 2) los que experimenten un mayor crecimiento. El gasto previsto en ciberseguridad de los bancos de nivel 2 probablemente se debe a que se acercan al umbral de capital de nivel 1 (Tier 1) y prevén un mayor escrutinio por parte de los reguladores (Gráfica 9).

Es probable que una parte del aumento previsto del financiamiento se destine a iniciativas especiales para hacer frente al creciente riesgo cibernético. Muchas empresas también reconocen que actualmente no están preparadas para mitigar los riesgos asociados a las tecnologías emergentes, y que deben poner en marcha iniciativas y controles especiales para proteger sus entornos. Pero con la necesidad cada vez mayor de financiamiento adicional, las iniciativas especiales no harán sino aumentar las tensiones presupuestarias existentes.

Más del 40 por ciento de los encuestados han lanzado iniciativas especiales para abordar las lagunas en los controles de seguridad relacionados con la adopción de tecnologías emergentes (Gráfica 10). Menos del 10 por ciento carece de planes para invertir en la protección de las cuatro tecnologías principales.

Las empresas confían en el talento para cerrar las brechas de capacidades

Los esfuerzos para cerrar las brechas de capacidades en materia de seguridad suelen girar en torno a la contratación de nuevos talentos y la mejora de las aptitudes del talento existente. Todos los encuestados afirmaron confiar en el talento existente, así como en el nuevo, para proteger sus tecnologías. Sin embargo, el 65 por ciento señaló su preocupación por conseguir y retener talentos debidamente cualificados en ciberseguridad. Si bien las empresas pueden subcontratar parte del trabajo de ciberseguridad, más de la mitad de los encuestados planean confiar en los recursos internos para cerrar las brechas de capacidad relacionadas con sus tecnologías emergentes (Gráfica 11).

Las empresas de servicios financieros pueden enfrentar obstáculos para encontrar y retener el talento adecuado para gestionar sus riesgos de seguridad particulares, ya que la atracción y retención de talento es una preocupación cada vez mayor para la ciberseguridad en general. Deberían considerar otras opciones, como el uso de la tecnología para aumentar el talento, por ejemplo, haciendo de la IA generativa un copiloto en las operaciones de seguridad.

Llamado a la acción: Un entorno preparado para el futuro

El panorama tecnológico en el sector de servicios financieros evolucionará rápidamente en los próximos tres a cinco años, acompañado de riesgos crecientes.

Las tecnologías que hoy son populares pueden cambiar mañana, y a medida que los casos de uso se desarrollan y maduran, es probable que las empresas reevalúen continuamente su aplicabilidad y sus prioridades de inversión. Ahora es el momento de actuar para preparar el futuro del entorno. Nuestra encuesta reveló que incluso las instituciones líderes se están quedando cortas y que las empresas más pequeñas, con un presupuesto o capacidad significativamente menor para atraer a los mejores talentos en seguridad, se enfrentan a retos aún mayores.

Las instituciones financieras deberían sentar las bases para la acción planteándose las cuatro preguntas siguientes sobre su búsqueda de tecnologías emergentes:

¿Tenemos las prioridades tecnológicas adecuadas y están alineadas con nuestras capacidades de seguridad? La expansión hacia tecnologías más novedosas, como la nube y la inteligencia artificial aplicada, suele significar una mayor dependencia de servicios de terceros. Las empresas deberían reflexionar sobre sus capacidades y la madurez de su seguridad antes de introducir cualquier tecnología. La capacidad de gestión de riesgos de terceros merece especial atención.
¿Tenemos las métricas y los informes adecuados? Ya sea para satisfacer a los reguladores o para que los equipos rindan cuentas, las empresas de servicios financieros necesitan métricas transparentes y basadas en valores para gestionar los riesgos cibernéticos. Pueden ayudar a supervisar el desempeño, fundamentar las decisiones e identificar los problemas emergentes para actuar con rapidez. Estas métricas deben medir el riesgo cibernético desde una perspectiva de tecnología emergente y reportarse adecuadamente a las partes interesadas apropiadas, incluidos los miembros del consejo directivo y los ejecutivos, las líneas de defensa y el equipo de gestión de riesgos.
¿Estamos invirtiendo en las cosas correctas? Las decisiones sobre inversiones en tecnología deben tener en cuenta las capacidades de seguridad, especialmente las de IAM. El creciente riesgo de violaciones de seguridad y la inminente necesidad de cumplir la normativa ponen de relieve estas capacidades.
¿Tenemos el talento y la tecnología adecuados para cerrar las brechas de capacidades? Toda organización necesita invertir en talento, pero contratar y retener el talento adecuado es un desafío y exige explorar otras formas de cubrir el déficit de talento, como el uso de las propias tecnologías emergentes, incluida la inteligencia artificial.

Las tecnologías emergentes están acaparando mucha atención en el sector de servicios financieros. Cada una conlleva oportunidades y riesgos cibernéticos. La mayoría de las empresas tendrán que desarrollar sus capacidades de ciberseguridad para afrontar los riesgos. Hoy es el momento de preparar el entorno para el futuro, garantizando el éxito para el mañana.

Explore a career with us

Search Openings