¿Por qué es importante tener un área con capacidades de ciberinteligencia en Bancos y Fintech?

Con el actual crecimiento de ataques y amenazas en el entorno cibernético, hoy me aventuro a escribir acerca del porqué se está volviendo sumamente necesario contar con capacidades de ciberinteligencia en las organizaciones, puntualmente para este artículo voy a hablar de los bancos y las fintechs, donde no solo busco plasmar la necesidad urgente de este sector crítico sino también aportar mi experiencia y porque no, mi observación como un profesional de este rubro.

Recientemente en mi trabajo de Especialización me enfoque en el mundo del ciberfraude y combinado con los años que me tocó trabajar con este tipo de organizaciones financieras como consultor en materia de inteligencia, actualmente me permite poder dar una mirada más subjetiva del porque creo necesario que estas entidades deben empezar a adaptarse a este entorno proactivo.

Para arrancar, me gustaría citar el trabajo «Cybersecurity Economics for Emerging Markets» de Estefanía Vergara Cobos que analiza las causas y consecuencias de los incidentes cibernéticos a nivel mundial, centrándose en los mercados emergentes. Este estudio revela cómo el crecimiento acelerado de la digitalización en estos países ha traído consigo una explosión en los incidentes cibernéticos, con un aumento del 21 % anual en los casos divulgados públicamente. América Latina, en particular, se ha convertido en una de las regiones más afectadas, debido a la combinación de una infraestructura digital frágil, regulaciones insuficientes y una rápida adopción de tecnologías sin medidas de seguridad adecuadas.

El libro destaca que los sectores financieros y gubernamentales son algunos de los más golpeados por este panorama. Como bien señala la autora, la falta de inversión en ciberseguridad y la carencia de un enfoque preventivo han dejado a estas instituciones expuestas a amenazas cada vez más sofisticadas. En mi experiencia, esto es particularmente crítico para las entidades financieras, donde los ataques no solo generan pérdidas económicas directas, sino que también erosionan la confianza de los clientes y el ecosistema digital en su conjunto.

Otro punto clave del estudio es la necesidad de adoptar inteligencia de amenazas para fortalecer la resiliencia cibernética. En mercados emergentes, donde las estrategias de ciberseguridad suelen ser más reactivas que preventivas, se vuelve imprescindible cambiar este enfoque. Aquí es donde entra en juego la importancia de integrar inteligencia de amenazas en la toma de decisiones estratégicas, permitiendo identificar patrones de ataque, anticiparse a posibles vulnerabilidades y diseñar respuestas más efectivas.

– https://openknowledge.worldbank.org/handle/10986/42130 –

Estado actual de CTI en los bancos y fintech

Durante este último tiempo ha tomado tanta relevancia la inteligencia de amenazas dentro de las organizaciones que hemos empezado a ver como en los diferentes países están saliendo normativas donde se vuelve obligatorio contar con estas capacidades, y para citar algunos ejemplos tenemos la tradicional norma ISO 27001:2022 donde en el anexo 5.7 (Inteligencia de Amenazas), se pide específicamente que las organizaciones recopilen, analicen y produzcan inteligencia de amenazas con respecto a las amenazas de seguridad de la información, también vemos reglamentaciones más amplias como la reciente promulgación de DORA (Reglamento de Resiliencia Operativa Digital) de la unión europea que establece un marco integral para fortalecer la resiliencia operativa digital en el sector financiero hablando de estos temas. Podría citar algo más regional como es el caso de Chile en la promulgación de la Ley Marco de Ciberseguridad que destaca la importancia de la identificación proactiva de las amenazas. Como verán, podría seguir buscando más pero queda demostrado que poco a poco vamos avanzando con esta mirada en común del CTI.

Si bien en lugares como EE.UU o Europa ya podemos observar hace un tiempo que las entidades bancarias más reconocidas han tomado carta en esto y cuentan con equipos y departamentos exclusivos de ciberinteligencia, un gran porcentaje en el resto del mundo y sobre todo en latinoamérica recién están tratando de orientar ese rumbo a intentar desarrollar dichas áreas o contratar este tipo de profesionales, algunas por la obligación de las normativas, leyes y reglamentaciones y otras por mera innovación y entendimiento del problema que están afrontando.

¿Y las Fintech?

Tomo un párrafo aparte para el ecosistema Fintech porque todos sabemos que es un sector en auge en el mundo en general, y esta rapidez también se refleja en su creciente atractivo para los ciberdelincuentes. Mientras que el mundo bancario tradicional suele avanzar con mayor cautela en términos de innovación y regulación, las fintech operan en un entorno de alta dinámica tecnológica, lo que las convierte en un blanco atractivo para ataques cibernéticos. Su espectro abarca desde la banca digital hasta múltiples activos valiosos como pagos digitales, blockchain, criptomonedas, tarjetas y billeteras electrónicas, cada uno con su propio conjunto de riesgos y vulnerabilidades.

Si bien las fintech han revolucionado el acceso a los servicios financieros con rapidez e innovación, esta misma agilidad las expone a amenazas cibernéticas especializadas. Los ataques a estas compañías no solo buscan acceso a datos financieros de usuarios, sino también manipular transacciones, explotar vulnerabilidades en contratos inteligentes o comprometer plataformas enteras. Según un informe de Prodaft, los grupos de ciberdelincuentes han adaptado sus técnicas específicamente para atacar a fintech y criptoactivos, aprovechando la falta de regulaciones estrictas en comparación con los bancos tradicionales.

Principales desafíos que he observado

Durante estos años tuve la oportunidad de trabajar con múltiples bancos y fintech asesorandolos como consultor para el desarrollo de la madurez en temas de ciberinteligencia, armado de equipos, inversiones en tecnología, entre otras tareas más operativas.

De esta experiencia junto a investigaciones propias para trabajos académicos me permitieron observar diferentes desafíos a los que hoy se enfrentan aquellos que recién están tomando esta bandera para desarrollar esta disciplina de manera interna.

El principal desafío que puedo mencionar es el entendimiento, el no conocer con certeza que es la ciberinteligencia, sus aportes, beneficios y el porqué es necesario realmente invertir en ello. Usualmente me encuentro con equipos de ciberseguridad tradicionales sobre todo en los bancos donde el mindset sigue siendo muy reactivo y duro, esto lleva a que únicamente quieran contratar un servicio externo que cubra este hueco sin aprovechar lo que estratégicamente se podrían beneficiar, sin contar que sus equipos siguen sin disponer de dichas capacidades reales.
El siguiente desafío está relacionado con el primer punto, pero desde otra perspectiva: la creencia de que la función de ciberinteligencia es meramente técnica y que su integración en un SOC tradicional, apoyada solo en herramientas, es suficiente para solucionar todos los problemas. Desde mi experiencia profesional, considero que esta visión es limitada y puede reducir el verdadero potencial de la disciplina. (escribo un espacio específico más adelante sobre esto).
Avanzamos al tercer desafío y es dentro de lo más conocido en el espectro de la ciberseguridad general y tiene que ver con la escasez y fuga de talento, si ya hay mucha faltante en ciberseguridad, que en parte déjenme decir se debe a no brindar las oportunidades necesarias a los talentos Juniors, imaginense que es aún mayor encontrar profesionales dedicados a ciberinteligencia o ciberfraudes en todos sus niveles que realmente puedan desarrollar un área sin sesgos y con las capacidades que estén a la verdadera altura.

Beneficios que aporta un área dedicada de ciberinteligencia en estas entidades

Aquí entramos en lo que creo que muchos desean leer de este artículo: entender cuál es realmente la importancia de esta disciplina y qué valor tangible aporta. Tal como mencioné anteriormente, la ciberinteligencia es proactiva y su objetivo es la anticipación y el entendimiento profundo de las amenazas, permitiendo una toma de decisiones estratégicas basada en datos y análisis. No se trata solo de reaccionar ante incidentes, sino de prevenir, mitigar riesgos y mejorar la resiliencia de la organización.

A continuación, expongo algunos de los beneficios clave que aporta un área de ciberinteligencia madura:

Identificación temprana de amenazas y actores maliciosos

Permite detectar ataques antes de que sucedan mediante el monitoreo constante de fuentes abiertas, deep y dark web.
Se pueden identificar campañas de phishing, fraude financiero, ransomware y vulnerabilidades explotables antes de que impacten a la organización.
Un equipo de inteligencia dedicado puede analizar patrones de ataque y anticipar movimientos de grupos APT o ciberdelincuentes especializados en el sector financiero.

Análisis geopolítico: El factor que muchos ignoran

Este es uno de los puntos que muy pocas organizaciones toman en cuenta sesgados por la tradicional ciberseguridad, pero que sin dudas es un aporte muy valioso y les cuento porque.

La realidad es que la mayoría de los ataques cibernéticos no ocurren en un vacío, sino que están influenciados por factores geopolíticos, económicos y estratégicos. Entonces veamos punto por punto a que hago referencia:

Tensiones entre países, conflictos políticos y sanciones económicas pueden desencadenar ataques cibernéticos contra el sector financiero.
Los actores de amenazas (APTs, grupos de ransomware, ciberdelincuentes organizados) adaptan sus tácticas dependiendo de la coyuntura internacional.
Si un ataque golpea al sector financiero en una región específica, es posible que el mismo patrón se replique en otras regiones.
El cumplimiento de normativas como DORA en Europa, la Ley Marco de Ciberseguridad en Chile y otras regulaciones en América Latina influye en cómo operan tanto los defensores como los atacantes.

Ejemplo: Durante las tensiones entre Rusia y Ucrania, varios bancos europeos sufrieron ataques DDoS y campañas de desinformación, aunque no tuvieran un vínculo directo con el conflicto. Las entidades que habían integrado un análisis geopolítico dentro de su ciberinteligencia pudieron anticipar estos ataques y reforzar sus defensas con antelación.

Reducción de fraudes financieros y detección de amenazas en la dark web

Las fintech y bancos manejan un gran volumen de transacciones digitales, lo que las convierte en un objetivo atractivo para fraudes, robo de identidad y ataques financieros.
Identificación de credenciales y datos filtrados en foros clandestinos antes de que sean explotados en ataques de phishing o fraude digital.
Monitoreo de tácticas de fraude emergentes, desde deepfakes hasta esquemas de scam basados en inteligencia artificial.
Prevención de transacciones fraudulentas mediante la correlación de patrones sospechosos en pagos digitales y criptomonedas.

Ejemplo: Si un banco o fintech detecta un incremento en intentos de fraude en transacciones, el área de ciberinteligencia puede investigar la causa en diferentes fuentes y anticipar si se trata de una campaña criminal dirigida a la entidad o regional.

Apoyo a la alta dirección con inteligencia estratégica

Intel no solo beneficia a los equipos técnicos, sino que también aporta información clave para la toma de decisiones a nivel gerencial.

Provee una visión macroeconómica del riesgo cibernético, alineando estrategias de negocio con el panorama de amenazas.
Anticipa tendencias de ciberseguridad que pueden impactar la operatividad de la empresa a mediano y largo plazo.
Permite a la dirección entender cómo las amenazas afectan el negocio, desde la pérdida de confianza del cliente hasta los riesgos regulatorios.

Ejemplo: Un banco con operaciones en varios países puede usar ciberinteligencia para evaluar si ciertos cambios en regulaciones de privacidad o ciberseguridad impactarán sus operaciones y qué ajustes de seguridad deben realizarse con anticipación.

Protección de la reputación y confianza del cliente

Un ataque bien ejecutado no solo genera pérdidas económicas, sino que también daña la imagen de la empresa.

Monitoreo constante de menciones en redes sociales, foros y deep web para detectar campañas de desprestigio o ataques de desinformación.
Prevención de suplantación de identidad, detectando aplicaciones y sitios falsos que intentan engañar a los clientes.
Reducción del impacto reputacional con planes de acción basados en inteligencia estratégica.

¿Y si el incidente ya sucedió?

Hasta ahora, he hablado sobre la importancia de la ciberinteligencia para anticipar ataques y fortalecer la seguridad en bancos y fintech, pero también hay un punto clave que no podemos ignorar: ¿qué pasa si el ataque ya ocurrió?

Aquí es donde un área de inteligencia realmente demuestra su valor. No se trata solo de prevenir, sino de entender qué sucedió, mitigar el impacto y asegurarse de que no vuelva a ocurrir (en lo posible). En mi experiencia, he visto cómo muchas organizaciones se enfocan únicamente en la contención de un ataque sin aprovechar la información que este deja para mejorar su seguridad a futuro.

Cito 2 ejemplos para comprender que se podría abordar:

Identificación del atacante y su motivación: Cuando trabajé en investigaciones de incidentes, una de las primeras preguntas que surgía siempre era: ¿quién está detrás de esto y qué busca? Saber si el ataque vino de cibercriminales, hacktivistas, insiders o grupos de APT cambia completamente la estrategia de mitigación. Por ejemplo, si un banco es víctima de ransomware, analizar qué grupo lo ejecutó y cómo ha operado en casos anteriores permite anticipar si van a negociar, si filtrarán datos o si seguirán atacando la misma infraestructura.
Manejo de crisis y reputación: Cuando un banco o fintech sufre un ataque, no solo está en juego la infraestructura, sino la confianza del cliente y la reputación de la empresa. He visto cómo un mal manejo de crisis puede agravar el impacto de un incidente, por eso la ciberinteligencia también juega un rol clave en la respuesta, ejemplo: Si una fintech sufre una filtración de datos, no basta con alertar a los clientes. Es fundamental rastrear si los datos ya se venden en foros, si se están usando en ataques de phishing o si hay nuevas amenazas derivadas del incidente.

Diferencia de contar con un área independiente de ciberinteligencia

Aquí es donde entro en un tema, que como dije en los desafíos, suele ser motivo de debate y esto es meramente una opinión mía, lo cual no lo vuelve una certeza sino un aporte profesional.

En mi experiencia, he visto que, si bien un SOC con capacidades de inteligencia de amenazas mejora la detección y respuesta a incidentes, esto no reemplaza la necesidad de un área con ciberinteligencia independiente. ¿Por qué? Porque una cosa es tener inteligencia de amenazas enfocada en eventos en tiempo real y otra muy distinta es contar con una unidad dedicada a analizar tendencias globales, anticipar riesgos emergentes y apoyar múltiples áreas estratégicas dentro de la organización.

Cuando la inteligencia de amenazas está integrada únicamente dentro del SOC, con una mirada y estructura muy tradicional, su alcance suele ser reactivo, enfocado en alimentar herramientas de seguridad con indicadores de compromiso (IOCs) y correlaciones de eventos. Pero la ciberinteligencia es mucho más que eso. Un área de inteligencia dedicada no solo detecta y responde, sino que también analiza, previene, investiga y perfila actores de amenazas, permitiendo que la organización tenga una visión completa del panorama de riesgos.

Ahora que he planteado la diferencia conceptual, quiero profundizar en por qué no es lo mismo tener inteligencia de amenazas integrada dentro del SOC que contar con un área de ciberinteligencia independiente. La clave está en el alcance, la proactividad y la capacidad de análisis.

Enfoque y Alcance

SOC con inteligencia de amenazas integrada:

Se centra en eventos en tiempo real y en la detección de amenazas activas dentro de la red.
La inteligencia de amenazas está limitada a alimentar el SIEM y otras herramientas de monitoreo, con el objetivo de mejorar la detección y respuesta ante incidentes.
Es principalmente táctico y reactivo: se basa en indicadores de compromiso y correlaciones de eventos para generar alertas.

Área independiente de ciberinteligencia:

No se limita al SOC, sino que apoya a múltiples áreas como CSIRT, fraude, gobierno, gestión de riesgos y dirección.
Tiene una visión estratégica y prospectiva, analizando tendencias globales y perfilando actores de amenazas.
No solo se enfoca en ataques en curso, sino que busca anticipar futuros ataques basándose en inteligencia de fuentes abiertas (OSINT), análisis de la dark web y estudios de comportamiento de atacantes.

Ejemplo: Si un SOC detecta un intento de phishing, la inteligencia de amenazas integrada permitirá bloquear los dominios maliciosos y generar alertas. Sin embargo, un equipo de ciberinteligencia independiente investigará la campaña completa, identificará qué grupo está detrás, analizará si hay objetivos similares en otros países y propondrá estrategias para prevenir ataques futuros.

Diferencias en la Proactividad

SOC con inteligencia de amenazas:

Depende de eventos detectados en la red para generar alertas.
Actúa una vez que la amenaza ya está dentro del ecosistema de la organización.
Reacciona a incidentes con base en reglas de correlación y firmas de ataques conocidos.

Área de ciberinteligencia independiente:

No espera a que el ataque ocurra, sino que busca identificar amenazas antes de que lleguen a la red.
Investiga tendencias globales y geopolíticas para entender qué ataques pueden impactar a la organización en el futuro.

Ejemplo: Un banco que solo tiene inteligencia de amenazas en su SOC reaccionará cuando detecta actividad sospechosa en su red. En cambio, un equipo de ciberinteligencia independiente monitoreará foros y mercados de la dark web para detectar si están vendiendo credenciales de sus clientes antes de que sean utilizadas en un ataque.

Cobertura y Aplicación

SOC:

Su alcance está limitado a la infraestructura interna: redes, endpoints, firewalls y herramientas de seguridad.
Se enfoca en eventos de ciberseguridad técnica, como malware, phishing o tráfico anómalo en la red.
No tiene visibilidad sobre amenazas externas hasta que ingresan a la organización.

Área de ciberinteligencia:

Monitorea actores de amenazas fuera de la organización, investigando su actividad en redes sociales, la dark web y foros clandestinos.
Apoya en fraude financiero, analizando tendencias de scam, deepfakes y ataques a clientes de fintechs y bancos.
Evalúa proveedores y terceros en la cadena de suministro para detectar vulnerabilidades antes de que sean explotadas.

Ejemplo: Un SOC podría detectar accesos inusuales en cuentas de clientes sólo cuando los ataques ya están ocurriendo. Un área de ciberinteligencia podría haber identificado la filtración de credenciales en un foro o canal de Telegram días antes y haber alertado a la organización para tomar medidas preventivas.

Independencia y Objetividad

SOC:

Enfocado en la operación y la seguridad del día a día.
Puede ser más reactivo, priorizando incidentes inmediatos sobre el análisis estratégico de amenazas.
Muchas veces no tiene el tiempo ni los recursos para realizar análisis profundos o investigaciones estratégicas.

Área de ciberinteligencia:

No está atada a la urgencia operativa del SOC, lo que le permite realizar análisis más detallados.
Funciona como un hub de inteligencia que proporciona información compartida a múltiples áreas internas como a otros bancos o fintech.
Puede investigar grupos de amenazas y ataques dirigidos, sin estar limitado por la infraestructura interna de la organización.

Ejemplo: Si un ransomware ataca una fintech, el SOC se enfocará en contener la amenaza, pero un equipo de ciberinteligencia investigará si el ataque fue dirigido, quién está detrás, cómo operan y si hay señales de una segunda ola de ataques.

Nuevamente, esto no significa que la ciberinteligencia no pueda desarrollarse dentro de un SOC. Simplemente comparto mi visión basada en mi experiencia y en los trabajos realizados, y considero que, para aprovechar al máximo su potencial, el enfoque ideal es que funcione como un área independiente. En caso de que forme parte de la estructura del SOC, es fundamental garantizar su autonomía con su propio equipo de analistas y un líder o supervisor dedicado, evitando así sesgos asociados. De lo contrario, en un escenario de crisis, los analistas podrían verse forzados a adoptar una mentalidad reactiva, perdiendo el enfoque estratégico y neutral que caracteriza a la inteligencia, y que es clave para una mayor prospectiva y anticipación de amenazas.

Hasta aquí llego con este artículo que hace tiempo quería abordar pero me parecía interesante presentarlo sobre todo para generar conciencia en cuanto a comenzar a pensar en estrategias para incluir este tipo de servicios o armar equipos internos dedicados.

Los bancos y fintechs que aún no han desarrollado un área de ciberinteligencia están jugando a la defensiva en un campo de ataque constante. No se trata solo de reaccionar a los incidentes, sino de comprender el panorama global, anticiparse y actuar antes de que el problema llegue. La pregunta no es si deben hacerlo, sino cuánto tiempo pueden permitirse esperar antes de ser el próximo objetivo.

Próximamente les estaré trayendo otro escrito del porque considero que deberían de existir los roles directivos en temas de inteligencia. Gracias por leerme.

Un comentario sobre “¿Por qué es importante tener un área con capacidades de ciberinteligencia en Bancos y Fintech?”

Añadir comentario

PEDRO VIÑAYA CRUZ dice:

marzo 9, 2025 a las 10:38 pm

Me encantó el abordaje, simple y conciso, divulgando la importancia de la defensa basada en amenazas y como en la actualidad es imprescindible y como profesional del campo CTI debemos acercar a los decisores las ventajas que brinda esta disciplina. Por otro lado el hecho que hoy las empresas mínimamente no adopten como base la ISO27001, sin dudas serán las empresas que tendrán una alta probabilidad de verse afectados. Felicidades Braian y un abrazo.

Me gustaLe gusta a 1 persona

Responder