Billeteras virtuales: los desafíos de seguridad tras la nueva norma del BCRA

El sistema financiero argentino atraviesa un punto de inflexión. Con la reciente Comunicación "A" 8398 del BCRA, las reglas de juego cambiaron, y equiparan las exigencias de ciberseguridad para los proveedores de servicios de pago (PSP) con las de la banca tradicional. Pero este ajuste normativo es solo la punta del iceberg en un escenario donde la digitalización acelerada, la adopción de infraestructuras en servidores de acceso remoto (computación en la nube, en la jerga informática) y el despliegue de la inteligencia artificial generativa reconfiguraron el mapa de amenazas.

La ciberseguridad dejó de ser una cuestión técnica confinada a los departamentos de tecnologías de la información (TI) para transformarse en el pilar fundamental de la confianza digital y la continuidad de negocio. Ante un aumento en ataques de "ransomware" y una sofisticación creciente de los fraudes vía ingeniería social, los directivos se enfrentan a un desafío doble: blindar las operaciones sin perder la agilidad que demanda el usuario.

Para analizar este complejo escenario, Cecilia Oriolo, experta en ciberseguridad, desglosa en esta entrevista de iProfesional el impacto de la nueva normativa del Banco Central, los desafíos de la soberanía digital en un mundo que depende de nubes globales, y por qué el próximo gran salto del cibercrimen será tecnológico y una cuestión de escala y automatización.

Docente titular de ITIC (FCE-UBA) y directora de la empresa Platinum Cibersecurity, Oriolo está especializada en ciberseguridad, gestión de riesgos tecnológicos y gobierno de datos, y en el asesoramiento para empresas del sector financiero, en la transformación de infraestructuras críticas y en la implementación de modelos de defensa avanzada frente a las amenazas globales.

-A partir de la Comunicación "A" 8398 del BCRA, se equiparan las exigencias de ciberseguridad de los proveedores de servicios de pago (PSP) con las de los bancos tradicionales. ¿Cómo evalúa el impacto de esta normativa? ¿Considera que nivela la cancha o cree que esta carga operativa puede frenar la innovación en las billeteras digitales más pequeñas?

-La Comunicación "A" 8398 del Banco Central de la República Argentina refleja una tendencia regulatoria internacional orientada a reconocer que el riesgo sistémico, ya no se concentra exclusivamente en las entidades bancarias tradicionales. El crecimiento de los proveedores de servicios de pago y de las billeteras digitales amplió significativamente la superficie de exposición del ecosistema financiero, particularmente en materia de fraude, disponibilidad operativa y protección de datos.

Desde una perspectiva de industria, la norma contribuye a reducir asimetrías regulatorias y establece un marco homogéneo de responsabilidades mínimas en ciberseguridad para todas aquellas organizaciones que administran, procesan o tienen acceso a información sensible de terceros. Esto fortalece la resiliencia del sistema financiero en su conjunto y promueve una mayor confianza tanto de usuarios como de inversores.

No obstante, también es importante considerar que este cambio introduce exigencias relevantes para empresas que anteriormente no se encontraban alcanzadas por niveles regulatorios equivalentes a los del sistema bancario tradicional. La simetría que busca la normativa puede generar, en determinados casos, un desbalance para PSP de menor escala, donde la carga operativa y de cumplimiento podría transformarse en una barrera de entrada o incluso acelerar procesos de consolidación del mercado.

Las organizaciones con menor madurez tecnológica o capacidades limitadas de gobierno, gestión de riesgos y cumplimiento probablemente enfrenten mayores dificultades para absorber costos asociados a monitoreo continuo, gestión de incidentes, auditorías técnicas o controles de terceros. En este contexto, el principal desafío regulatorio será lograr un equilibrio adecuado entre supervisión efectiva y proporcionalidad basada en riesgo, evitando que el cumplimiento normativo termine afectando indirectamente la capacidad de innovación del ecosistema.

Es importante considerar que los PSP cuentan con un plazo relativamente acotado —180 días corridos— para adecuarse a los requerimientos establecidos por la circular. Esto genera que deban incorporar estos requisitos en el corto plazo, en un escenario donde no solo importa cumplir formalmente con la normativa, sino también comprender el objetivo de control y resiliencia que persigue el regulador.

-El nuevo régimen del BCRA enfatiza que la responsabilidad por la seguridad de la información no es delegable. Ante la creciente dependencia de infraestructuras globales en la nube (IaaS/PaaS), ¿cómo logran las entidades financieras en la Argentina garantizar la trazabilidad y la capacidad de auditoría sobre proveedores que operan fuera de nuestra jurisdicción?

-La premisa de que la responsabilidad no es delegable es correcta; pero introduce una tensión práctica: gran parte de la infraestructura crítica hoy reside en nubes globales. Por otro lado, todas las empresas que contratan servicios en la nube (sean de la industria financiera o no) deben entender que, aunque se delegue parte de la operación y mantenimiento tecnológico en proveedores globales de nube; la responsabilidad regulatoria y reputacional continúa recayendo sobre la organización local.

El nuevo régimen del Banco Central de la República Argentina introduce un concepto central para el ecosistema financiero actual: la responsabilidad sobre la seguridad de la información no puede transferirse.

Este punto adquiere especial relevancia en Argentina, donde muchas entidades financieras dependen de infraestructuras IaaS y PaaS cuyos centros de operación, almacenamiento y administración se encuentran fuera de la jurisdicción nacional.

Allí se genera uno nuevo desafío de ciberseguridad: cómo garantizar trazabilidad, capacidad de auditoría y control efectivo sobre entornos altamente distribuidos y que por lo tanto no están físicamente bajo control de la organización, ni alcanzados directamente por el marco regulatorio local.

Desde la perspectiva de seguridad, el problema no se limita únicamente a dónde residen los datos, sino a qué capacidad real tiene la entidad para acceder a evidencias, auditar eventos de seguridad, exigir tiempos de respuesta ante incidentes o incluso comprender bajo qué legislación podrían quedar expuestos determinados activos críticos frente a requerimientos judiciales o regulatorios de otros países. Lo que podemos concentrar en el concepto de soberanía digital, que conlleva una especial importancia en procesos críticos o información sensible vinculada con el sistema financiero.

El desafío para las organizaciones no es solamente tecnológico, sino también jurídico y estratégico. La globalización de la infraestructura cloud obliga a repensar el concepto tradicional de perímetro de seguridad, ya que hoy los riesgos asociados a la jurisdicción del proveedor, la localización de los datos y la dependencia operativa de plataformas internacionales forman parte integral de la gestión del ciber riesgo tanto para las empresas argentinas como para el resto del mundo.

-¿Qué tan cerca estamos en la Argentina de implementar herramientas de biometría de comportamiento que logren distinguir en tiempo real a un humano de una clonación de voz o video?

-Las tecnologías de biometría de comportamiento presentan un nivel de madurez alto y estable, y ya forman parte de los mecanismos avanzados de prevención de fraude en mercados financieros internacionales. En Argentina, no puede hablarse de una adopción masiva y homogénea, pero se se visualizan avances por parte de algunas entidades que están aprovechando estas ventajas. Las herramientas de biometría de comportamiento (análisis de patrones de tipeo, uso del dispositivo y navegación) son efectivas como segunda capa de protección.

El principal desafío no reside únicamente en la precisión algorítmica, sino en la capacidad de integrar múltiples señales de riesgo en tiempo real. Variables como patrones de escritura, dinámica de navegación, geolocalización, huella digital del dispositivo y comportamiento transaccional permiten construir perfiles de normalidad que fortalecen la detección de anomalías.

No obstante, la evolución de tecnologías de inteligencia artificial generativa y deepfakes plantean un escenario dinámico donde la autenticación tradicional basada en voz o imagen aislada comienza a perder robustez.

Por ello, la tendencia internacional apunta hacia modelos de autenticación continua y contextual, más que a verificaciones estáticas de identidad. El desafío es no solo detectar humanos sino dedicarle más atención a identificar las anomalías en contexto.

-Los reportes de la UFECI muestran un aumento interanual del 20% en ataques de ransomware durante 2024, que afectan al ecosistema de servicios públicos y energía. ¿Cuál es hoy el estándar de "recuperación ante desastres" que demanda la banca local para asegurar que una brecha en un proveedor no paralice todo el sistema de pagos?

-Te agradezco por la pregunta, ya que voy a comenzar a contestar remarcando un concepto fundamental y que todos tenemos que tener presente: "debemos estar preparados para recuperarnos de la mejor manera posible frente a un ataque, ya que el ataque va a ocurrir".

El aumento de ataques observado por la UFECI obliga a redefinir qué significa resiliencia. Ya no alcanza con planes de disaster recovery tradicionales que fueron diseñados bajo la premisa de fallas operativas o contingencias técnicas.

Hoy el estándar implícito en la banca local apunta a:

• Segmentación fuerte de entornos críticos.
• Backups inmutables y fuera de línea.
• Redundancia geográfica.
• Capacidades de recuperación comprobadas.
• Tiempos de recuperación medidos en horas.

Asimismo, existe una creciente preocupación por el riesgo de concentración tecnológica en proveedores críticos. La continuidad operativa ya no depende exclusivamente de la robustez de una organización, junto a sus medidas de recuperación; sino también se debe analizar la capacidad de recuperación coordinada de empresas externas cuyos servicios contratados son estratégicos (como de electricidad y comunicaciones) que participan en la cadena de valor del sistema financiero.

-Las estadísticas de la UFECI revelan que los fraudes en línea representan el 63% de las denuncias, traccionados por el phishing y la ingeniería social. ¿De qué forma se trabaja desde la alta dirección para que la ciberseguridad deje de ser un tema exclusivo de tecnologías de la información (TI) y se convierta en una prioridad de todas las áreas del banco?

-El crecimiento sostenido de los fraudes digitales evidencia que la ciberseguridad dejó de ser un problema de sistemas para convertirse en un riesgo transversal de negocio, con impacto financiero, reputacional y regulatorio, lo que genera la atención de la alta dirección.

Las organizaciones más maduras están incorporando la gestión del ciber riesgo en los niveles de gobierno corporativo, integrándolo a comités ejecutivos y directorios mediante indicadores asociados a fraude, continuidad operativa, cumplimiento y exposición reputacional. Identificando de esta manera que es parte del negocio y la reputación organizacional.

El cambio clave es dejar de hablar de incidentes y empezar a hablar de riesgos de negocio. También se observan nuevos programas de concientización más interdisciplinarios, donde áreas comerciales, legales, recursos humanos y atención al cliente participan activamente en estrategias de prevención y respuesta. El objetivo es construir una cultura organizacional donde la seguridad sea entendida como un habilitador de confianza y no únicamente como una restricción técnica.

-Existe una tensión natural entre blindar las operaciones y no generar fricción. ¿Cómo se encuentra hoy el equilibrio justo entre proteger los fondos del cliente con autenticación multifactor (MFA) y mantener una experiencia digital ágil que no termine empujándolo hacia canales menos seguros?

-El gran desafío de la seguridad de la información consiste en maximizar la protección sin deteriorar la experiencia del usuario. Es por ello que desde la ciberseguridad nuestra meta es defender, pero de forma inteligente! Los modelos de autenticación de accesos rígidos pueden generar una experiencia digital inadecuada incrementando el descontento de los usuarios e incluso incentivándolos a conductas inseguras.

El MFA universal y rígido tiende a degradar la experiencia y, paradójicamente, puede empujar a los usuarios hacia comportamientos inseguros. La autenticación multifactor (MFA) es un método de seguridad que requiere dos o más pruebas distintas para verificar la identidad del usuario antes de dar acceso a un sistema.

Actúa como una segunda protección, incorporando a parte de una contraseña, un segundo elemento como puede ser: un código (recibido por SMS, un token, otra aplicación), biometría (por medio del uso huella dactilar, reconocimiento facial) Esto genera que la persona que tiene que autenticarse debe tener consigo un celular o u otro dispositivo que por medio de ella acceda a esta segunda información.

El beneficio de MFA está centrado en la seguridad reforzada. Generando que una persona con malas intenciones no pueda acceder si no cuenta también con el segundo factor. Obteniendo como resultado una reducción del riesgo del acceso a sistemas por robo de credenciales.

Pero pensando en la usabilidad y la seguridad, el enfoque más efectivo hoy no es MFA sino el de autenticación adaptativa, que ajusta los requisitos de inicio de sesión en tiempo real, evaluando el riesgo de cada acceso. Utiliza el contexto en tiempo real (ubicación, dispositivo, comportamiento), para en los casos que sea necesario, exigir factores adicionales (biometría, tokens), equilibrando alta seguridad con comodidad para el usuario. Esto significa escalar controles solo cuando es necesario.

La mejor seguridad es la que el usuario casi no percibe, pero que se activa con precisión cuando algo no encaja. Es por ello que este enfoque es fundamental para proteger datos sensibles, asegurando que solo los usuarios autorizados accedan, sin importar desde dónde se conecten.

-Muchas instituciones operan sobre capas tecnológicas de distintas épocas. Durante los procesos de migración o fusión, ¿qué riesgos específicos de seguridad enfrentan los bancos y cómo se asegura la integridad de los datos al integrar plataformas con niveles de madurez digital tan distintos?

-Cuando las entidades se encuentran en un período de integración o fusión entre empresas es un momento crucial, para todos los empleados y sus procesos. Los sistemas de información no se encuentran exentos de este momento y deben lograr la cohesión lo antes posible, sin perder en el camino ningún tipo de dato, funcionalidad o tecnología.

Durante este período las instituciones financieras tienen que analizar sus arquitecturas de sistemas para decidir cuál es la adecuada para su futuro. Una vez acordado esto, se enfrentarán al momento de mayor exposición: deberán hacer coexistir plataformas legacy con arquitecturas modernas; hasta que el proceso de adecuación termine, lo que suele generar inconsistencias y/o duplicidad en controles de acceso, trazabilidad, clasificación de datos y monitoreo de eventos.

Entre los principales riesgos se destacan la propagación de vulnerabilidades heredadas, la pérdida de visibilidad sobre activos críticos y la aparición de integraciones transitorias que terminan consolidándose sin adecuados controles de seguridad.

La clave está en gestionar estos procesos como proyectos de seguridad desde el día uno. Para mitigar los riesgos de forma controlada y con el enfoque de gobierno de datos robustos, acompañados por inventarios integrales de activos, validaciones de integridad, segregación de ambientes y pruebas exhaustivas de interoperabilidad, junto a la continuidad operativa con el mínimo impacto en el usuario final.

-¿Cuál es el nivel actual de intercambio de información e "inteligencia de amenazas" (Threat Intelligence) entre la banca privada y organismos como la UFECI para detectar fraudes en tiempo real y bloquear fondos preventivamente?

-El intercambio de inteligencia de amenazas entre entidades financieras y organismos especializados como la UFECI ha mejorado a lo largo del tiempo, particularmente en materia de coordinación frente a campañas de fraude y análisis de indicadores de compromiso. Pero aún es reactivo en muchos casos.

La protección financiera ya no es solo tecnológica, sino una necesidad de cumplimiento normativo y confianza en la industria. Sin embargo, persisten desafíos asociados a la velocidad del intercambio, la interoperabilidad de plataformas y los marcos de confianza entre actores (públicos y privados).

La efectividad de la inteligencia compartida depende no solo de la disponibilidad de información, sino también de la capacidad de transformarla en acciones preventivas automatizadas. La evolución esperable del sector apunta hacia modelos colaborativos más dinámicos, donde los mecanismos de detección y bloqueo puedan operar prácticamente en tiempo real, reduciendo la ventana de monetización del fraude. No obstante, en Argentina todavía transitamos dicho camino y nos hallamos distantes de alcanzar la meta.

-En un mercado donde los productos financieros tienden a "comoditizarse", la seguridad se vuelve un activo intangible fundamental. ¿De qué manera comunica un banco su robustez digital para generar confianza en un cliente corporativo o minorista que vive bombardeado por noticias de hackeos y estafas virtuales?

-La confianza digital se ha convertido en un componente estratégico de diferenciación competitiva. En un entorno donde los productos financieros son similares, la percepción de seguridad influye directamente en la fidelización y en la adopción de canales digitales. Por otro lado, desde la pandemia el comportamiento de la banca y sus usuarios muto al uso de canales digitales, convirtiéndose estos en un medio fundamental para los bancos.

Sin embargo, comunicar seguridad representa un desafío complejo. Un exceso de mensajes técnicos puede generar confusión y desgaste, mientras que una comunicación excesivamente simplificada puede percibirse como meramente publicitaria.

Las entidades más avanzadas están adoptando enfoques basados en mensajes compresibles, transparencia e incorporación de métodos seguros evidenciados en las transacciones. Esto incluye comunicar políticas de protección al cliente, capacidades de monitoreo y programas de prevención de fraude. La confianza no surge de afirmar que un entorno es invulnerable o diciendo "somo seguros", sino demostrando cómo se responde cuando algo falla.

-¿Cuál cree que será el próximo gran salto de los delincuentes y qué tecnologías emergentes, como la computación cuántica o el cifrado avanzado, ya deberían estar en la hoja de ruta estratégica de los directores de tecnología y operaciones en el país?

-El próximo salto no será solo tecnológico, sino de escala y automatización. La combinación de IA generativa con ingeniería social ya está reduciendo el costo de los ataques y aumentando su efectividad. La capacidad de producir campañas altamente personalizadas, deepfakes convincentes y ataques automatizados a gran escala reducirá significativamente las barreras de entrada para los actores maliciosos.

En paralelo, tecnologías como la computación cuántica plantean un riesgo sobre los esquemas criptográficos actuales. Planteando interrogantes estratégicos respecto de la vigencia futura de los esquemas criptográficos actuales. Esto explica el creciente interés internacional en criptografía post-cuántica y modelos avanzados de protección de identidad y datos.

En este escenario, los directivos y C-level de las organizaciones (CIO, CTO, COO) deberán priorizar arquitecturas resilientes y "zero trust", automatización de respuesta y capacidades analíticas avanzadas, modelos de identidad descentralizada, criptografía post cuántica. La discusión ya no pasa únicamente por prevenir ataques conocidos, sino por construir organizaciones con capacidad adaptativa frente a escenarios de incertidumbre donde se tendrá que lidiar con amenazas emergentes.