{"id":42968,"date":"2026-06-18T14:08:00","date_gmt":"2026-06-18T14:08:00","guid":{"rendered":"https:\/\/www.iprofesional.com\/tecnologia\/457673-ciberseguridad-financiera-que-cambia-con-la-nueva-normativa-del-bcra"},"modified":"2026-06-18T14:08:00","modified_gmt":"2026-06-18T14:08:00","slug":"soberania-digital-el-reto-de-auditar-la-nube-en-el-sistema-financiero","status":"publish","type":"post","link":"https:\/\/latecordoba.com\/index.php\/2026\/06\/18\/soberania-digital-el-reto-de-auditar-la-nube-en-el-sistema-financiero\/","title":{"rendered":"Soberan\u00eda digital, el reto de auditar la nube en el sistema financiero"},"content":{"rendered":"\n
<\/div>\n

El sistema financiero argentino atraviesa un punto de inflexi\u00f3n. Con la reciente Comunicaci\u00f3n “A” 8398 del BCRA, las reglas de juego cambiaron, y equiparan las exigencias de ciberseguridad<\/a> <\/strong>para los proveedores de servicios de pago (PSP) con las de la banca tradicional. Pero este ajuste normativo es solo la punta del iceberg en un escenario donde la digitalizaci\u00f3n acelerada, la adopci\u00f3n de infraestructuras en servidores de acceso remoto (computaci\u00f3n en la nube, en la jerga inform\u00e1tica) y el despliegue de la inteligencia artificial generativa reconfiguraron el mapa de amenazas.<\/p>\n

La ciberseguridad dej\u00f3 de ser una cuesti\u00f3n t\u00e9cnica confinada a los departamentos de tecnolog\u00edas de la informaci\u00f3n (TI) para transformarse en el pilar fundamental de la confianza digital y la continuidad de negocio. Ante un aumento en ataques de “ransomware<\/strong>” y una sofisticaci\u00f3n creciente de los fraudes v\u00eda ingenier\u00eda social, los directivos se enfrentan a un desaf\u00edo doble: blindar las operaciones sin perder la agilidad que demanda el usuario.<\/p>\n

Para analizar este complejo escenario, Cecilia Oriolo<\/strong>, experta en ciberseguridad, desglosa en esta entrevista de iProfesional<\/strong> el impacto de la nueva normativa del Banco Central, los desaf\u00edos de la soberan\u00eda digital en un mundo que depende de nubes globales, y por qu\u00e9 el pr\u00f3ximo gran salto del cibercrimen ser\u00e1 tecnol\u00f3gico y una cuesti\u00f3n de escala y automatizaci\u00f3n.<\/p>\n

Docente titular de ITIC (FCE-UBA) y directora de la empresa Platinum Cibersecurity<\/strong>, Oriolo est\u00e1 especializada en ciberseguridad, gesti\u00f3n de riesgos tecnol\u00f3gicos y gobierno de datos, y en el asesoramiento para empresas del sector financiero, en la transformaci\u00f3n de infraestructuras cr\u00edticas y en la implementaci\u00f3n de modelos de defensa avanzada frente a las amenazas globales.<\/p>\n

-A partir de la Comunicaci\u00f3n “A” 8398 del BCRA, se equiparan las exigencias de ciberseguridad de los proveedores de servicios de pago (PSP) con las de los bancos tradicionales. \u00bfC\u00f3mo eval\u00faa el impacto de esta normativa? \u00bfConsidera que nivela la cancha o cree que esta carga operativa puede frenar la innovaci\u00f3n en las billeteras digitales m\u00e1s peque\u00f1as?<\/em><\/h3>\n

-La Comunicaci\u00f3n “A” 8398 del Banco Central de la Rep\u00fablica Argentina refleja una tendencia regulatoria internacional orientada a reconocer que el riesgo sist\u00e9mico<\/a>, ya no se concentra exclusivamente en las entidades bancarias tradicionales. El crecimiento de los proveedores de servicios de pago y de las billeteras digitales <\/strong>ampli\u00f3 significativamente la superficie de exposici\u00f3n del ecosistema financiero, particularmente en materia de fraude, disponibilidad operativa y protecci\u00f3n de datos.<\/p>\n

Desde una perspectiva de industria, la norma contribuye a reducir asimetr\u00edas regulatorias <\/strong>y establece un marco homog\u00e9neo de responsabilidades m\u00ednimas en ciberseguridad para todas aquellas organizaciones que administran, procesan o tienen acceso a informaci\u00f3n sensible de terceros. Esto fortalece la resiliencia del sistema financiero en su conjunto y promueve una mayor confianza tanto de usuarios como de inversores.<\/p>\n

No obstante, tambi\u00e9n es importante considerar que este cambio introduce exigencias relevantes para empresas que anteriormente no se encontraban alcanzadas por niveles regulatorios equivalentes a los del sistema bancario tradicional. La simetr\u00eda que busca la normativa puede generar, en determinados casos, un desbalance para PSP de menor escala<\/strong>, donde la carga operativa y de cumplimiento podr\u00eda transformarse en una barrera de entrada o incluso acelerar procesos de consolidaci\u00f3n del mercado.<\/p>\n

Las organizaciones con menor madurez tecnol\u00f3gica o capacidades limitadas de gobierno, gesti\u00f3n de riesgos y cumplimiento probablemente enfrenten mayores dificultades para absorber costos asociados a monitoreo continuo, gesti\u00f3n de incidentes, auditor\u00edas t\u00e9cnicas o controles de terceros. En este contexto, el principal desaf\u00edo regulatorio ser\u00e1 lograr un equilibrio adecuado entre supervisi\u00f3n efectiva y proporcionalidad basada en riesgo<\/span>, evitando que el cumplimiento normativo termine afectando indirectamente la capacidad de innovaci\u00f3n del ecosistema.<\/p>\n

Es importante considerar que los PSP cuentan con un plazo relativamente acotado<\/strong> \u2014180 d\u00edas corridos\u2014 para adecuarse a los requerimientos establecidos por la circular. Esto genera que deban incorporar estos requisitos en el corto plazo, en un escenario donde no solo importa cumplir formalmente con la normativa, sino tambi\u00e9n comprender el objetivo de control y resiliencia que persigue el regulador.<\/p>\n

\"Cecilia<\/p>\n

Cecilia Oriolo<\/p>\n<\/div>\n

-El nuevo r\u00e9gimen del BCRA enfatiza que la responsabilidad por la seguridad de la informaci\u00f3n no es delegable. Ante la creciente dependencia de infraestructuras globales en la nube (IaaS\/PaaS), \u00bfc\u00f3mo logran las entidades financieras en la Argentina garantizar la trazabilidad y la capacidad de auditor\u00eda sobre proveedores que operan fuera de nuestra jurisdicci\u00f3n?<\/em><\/h3>\n

-La premisa de que la responsabilidad no es delegable es correcta; pero introduce una tensi\u00f3n pr\u00e1ctica<\/strong>: gran parte de la infraestructura cr\u00edtica hoy reside en nubes globales. Por otro lado, todas las empresas que contratan servicios en la nube (sean de la industria financiera o no) deben entender que, aunque se delegue parte de la operaci\u00f3n y mantenimiento tecnol\u00f3gico en proveedores globales de nube; la responsabilidad regulatoria y reputacional contin\u00faa recayendo sobre la organizaci\u00f3n local.<\/p>\n

El nuevo r\u00e9gimen del Banco Central de la Rep\u00fablica Argentina introduce un concepto central para el ecosistema financiero actual: la responsabilidad sobre la seguridad de la informaci\u00f3n no puede transferirse.<\/span><\/p>\n

Este punto adquiere especial relevancia en Argentina, donde muchas entidades financieras dependen de infraestructuras IaaS y PaaS cuyos centros de operaci\u00f3n, almacenamiento y administraci\u00f3n se encuentran fuera de la jurisdicci\u00f3n nacional<\/strong>.<\/p>\n

All\u00ed se genera uno nuevo desaf\u00edo de ciberseguridad<\/a>: c\u00f3mo garantizar trazabilidad<\/strong>, capacidad de auditor\u00eda y control efectivo sobre entornos altamente distribuidos y que por lo tanto no est\u00e1n f\u00edsicamente bajo control de la organizaci\u00f3n, ni alcanzados directamente por el marco regulatorio local.<\/p>\n

Desde la perspectiva de seguridad, el problema no se limita \u00fanicamente a d\u00f3nde residen los datos, sino a qu\u00e9 capacidad real tiene la entidad para acceder a evidencias, auditar eventos de seguridad, exigir tiempos de respuesta ante incidentes <\/strong>o incluso comprender bajo qu\u00e9 legislaci\u00f3n podr\u00edan quedar expuestos determinados activos cr\u00edticos frente a requerimientos judiciales o regulatorios de otros pa\u00edses. Lo que podemos concentrar en el concepto de soberan\u00eda digital, que conlleva una especial importancia en procesos cr\u00edticos o informaci\u00f3n sensible vinculada con el sistema financiero.<\/p>\n

El desaf\u00edo para las organizaciones no es solamente tecnol\u00f3gico, sino tambi\u00e9n jur\u00eddico y estrat\u00e9gico<\/strong>. La globalizaci\u00f3n de la infraestructura cloud obliga a repensar el concepto tradicional de per\u00edmetro de seguridad, ya que hoy los riesgos asociados a la jurisdicci\u00f3n del proveedor, la localizaci\u00f3n de los datos y la dependencia operativa de plataformas internacionales forman parte integral de la gesti\u00f3n del ciber riesgo tanto para las empresas argentinas como para el resto del mundo.<\/p>\n

-\u00bfQu\u00e9 tan cerca estamos en la Argentina de implementar herramientas de biometr\u00eda de comportamiento que logren distinguir en tiempo real a un humano de una clonaci\u00f3n de voz o video?<\/em><\/h3>\n

-Las tecnolog\u00edas de biometr\u00eda de comportamiento presentan un nivel de madurez alto y estable, y ya forman parte de los mecanismos avanzados de prevenci\u00f3n de fraude en mercados financieros internacionales. En Argentina, no puede hablarse de una adopci\u00f3n masiva y homog\u00e9nea, pero se se visualizan avances por parte de algunas entidades que est\u00e1n aprovechando estas ventajas. Las herramientas de biometr\u00eda de comportamiento (an\u00e1lisis de patrones de tipeo, uso del dispositivo y navegaci\u00f3n) son efectivas como segunda capa de protecci\u00f3n<\/strong>.<\/p>\n

El principal desaf\u00edo no reside \u00fanicamente en la precisi\u00f3n algor\u00edtmica, sino en la capacidad de integrar m\u00faltiples se\u00f1ales de riesgo en tiempo real. Variables como patrones de escritura<\/strong>, din\u00e1mica de navegaci\u00f3n, geolocalizaci\u00f3n, huella digital del dispositivo y comportamiento transaccional permiten construir perfiles de normalidad que fortalecen la detecci\u00f3n de anomal\u00edas.<\/p>\n

No obstante, la evoluci\u00f3n de tecnolog\u00edas de inteligencia artificial generativa y deepfakes <\/strong>plantean un escenario din\u00e1mico donde la autenticaci\u00f3n tradicional basada en voz o imagen aislada comienza a perder robustez.<\/p>\n

Por ello, la tendencia internacional apunta hacia modelos de autenticaci\u00f3n continua y contextual<\/strong>, m\u00e1s que a verificaciones est\u00e1ticas de identidad. El desaf\u00edo es no solo detectar humanos sino dedicarle m\u00e1s atenci\u00f3n a identificar las anomal\u00edas en contexto.<\/p>\n

-Los reportes de la UFECI muestran un aumento interanual del 20% en ataques de ransomware durante 2024, que afectan al ecosistema de servicios p\u00fablicos y energ\u00eda. \u00bfCu\u00e1l es hoy el est\u00e1ndar de “recuperaci\u00f3n ante desastres” que demanda la banca local para asegurar que una brecha en un proveedor no paralice todo el sistema de pagos?<\/em><\/h3>\n

-Te agradezco por la pregunta, ya que voy a comenzar a contestar remarcando un concepto fundamental y que todos tenemos que tener presente: “debemos estar preparados para recuperarnos de la mejor manera posible frente a un ataque, ya que el ataque va a ocurrir<\/span>“.<\/p>\n

El aumento de ataques observado por la UFECI obliga a redefinir qu\u00e9 significa resiliencia<\/strong>. Ya no alcanza con planes de disaster recovery tradicionales que fueron dise\u00f1ados bajo la premisa de fallas operativas o contingencias t\u00e9cnicas.<\/p>\n

Hoy el est\u00e1ndar impl\u00edcito <\/strong>en la banca local apunta a:<\/p>\n