{"id":6904,"date":"2025-02-02T23:33:33","date_gmt":"2025-02-03T04:33:33","guid":{"rendered":"https:\/\/gladiium.com\/?p=6904"},"modified":"2026-04-16T13:30:23","modified_gmt":"2026-04-16T17:30:23","slug":"seguridad-datos-servicios-financieros-transito","status":"publish","type":"post","link":"https:\/\/gladiium.com\/es\/securing-financial-services-data-in-transit\/","title":{"rendered":"Asegurar los datos de servicios financieros en tr\u00e1nsito"},"content":{"rendered":"
\n\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t\t\t

La industria de servicios financieros es el sector m\u00e1s atacado por los ciberdelincuentes a nivel mundial, y con raz\u00f3n. Las instituciones financieras y sus clientes intercambian vol\u00famenes masivos de los datos m\u00e1s valiosos que existen en la econom\u00eda digital: credenciales de cuentas, informaci\u00f3n de pago, registros de transacciones, perfiles financieros personales e instrucciones de transferencia bancaria que mueven millones de d\u00f3lares diariamente. Para bancos, compa\u00f1\u00edas de seguros, cooperativas, empresas fintech y proveedores de servicios financieros en Honduras, Panam\u00e1, Costa Rica, El Salvador, M\u00e9xico, Miami y Puerto Rico, asegurar los datos financieros en tr\u00e1nsito no es una cortes\u00eda t\u00e9cnica, es un requisito fundamental de negocio y regulatorio.<\/p>\n\n

Por qu\u00e9 los datos financieros en tr\u00e1nsito son un objetivo de ataque principal<\/h2>\n

Los datos \u201cen tr\u00e1nsito\u201d se refieren a cualquier dato que se est\u00e1 moviendo entre sistemas, aplicaciones o redes, a diferencia de los datos \u201cen reposo\u201d (almacenados en bases de datos o archivos) o los datos \u201cen uso\u201d (siendo procesados en memoria). Los datos financieros en tr\u00e1nsito incluyen:<\/p>\n

    \n
  • Credenciales de autenticaci\u00f3n que se env\u00edan a portales bancarios y aplicaciones financieras<\/li>\n
  • Datos de transacci\u00f3n que fluyen entre terminales de pago, procesadores y bancos adquirentes.<\/li>\n
  • Instrucciones de transferencia electr\u00f3nica transmitidas entre instituciones financieras a trav\u00e9s de SWIFT y otras redes interbancarias<\/li>\n
  • Datos financieros del cliente transmitidos entre aplicaciones de banca m\u00f3vil y servidores de backend<\/li>\n
  • Presentaci\u00f3n de informes financieros internos y datos de tesorer\u00eda que se mueven entre aplicaciones corporativas y sistemas bancarios.<\/li>\n
  • Llamadas de API entre plataformas fintech y las instituciones financieras a las que se conectan<\/li>\n<\/ul>\n

    Cada uno de estos flujos representa un punto de interceptaci\u00f3n potencial para atacantes que utilizan t\u00e9cnicas de hombre en el medio (man-in-the-middle),\u00a0vigilancia de red (network sniffing) o sistemas intermedios comprometidos. Las consecuencias de una interceptaci\u00f3n exitosa van desde el robo de credenciales utilizado para la toma de control de cuentas, hasta transferencias bancarias redirigidas que nunca se recuperar\u00e1n, pasando por la exposici\u00f3n de perfiles financieros de clientes que permiten un fraude dirigido a gran escala.<\/p>\n\n

    El marco regulatorio: Lo que las instituciones financieras deben hacer<\/h2>\n

    La protecci\u00f3n de datos financieros en tr\u00e1nsito no es solo una pr\u00e1ctica de seguridad recomendada, sino un requisito regulatorio en todas las jurisdicciones donde opera GLADiiUM. Las instituciones financieras que no cumplan con estos requisitos enfrentan multas, restricciones operativas y, en algunos casos, responsabilidad penal.<\/p>\n\n

    Honduras \u2014 Requisitos de la CNBS<\/h3>\n

    La Comisi\u00f3n Nacional de Bancos y Seguros (CNBS) ha establecido requisitos de ciberseguridad para las instituciones financieras hondure\u00f1as que incluyen controles espec\u00edficos en torno a la protecci\u00f3n de datos en tr\u00e1nsito. Las instituciones financieras que operan en Honduras deben implementar cifrado para todas las comunicaciones electr\u00f3nicas que contengan datos sensibles de clientes, mantener canales de comunicaci\u00f3n seguros para transacciones interbancarias y demostrar el cumplimiento mediante evaluaciones de seguridad peri\u00f3dicas.<\/p>\n\n

    Panam\u00e1 \u2014 Superintendencia de Bancos (SBP)<\/h3>\n

    El supervisor bancario de Panam\u00e1 exige a las instituciones financieras implementar programas integrales de seguridad de datos, que incluyen el cifrado de datos en tr\u00e1nsito, el dise\u00f1o seguro de API para servicios de banca digital y pruebas de penetraci\u00f3n regulares de los sistemas financieros expuestos a Internet. La posici\u00f3n de Panam\u00e1 como centro financiero regional hace que el cumplimiento de la SBP sea particularmente importante para las operaciones bancarias multinacionales.<\/p>\n\n

    M\u00e9xico \u2014 Circular \u00danica de Bancos de la CNBV<\/h3>\n

    La Comisi\u00f3n Bancaria de M\u00e9xico impone controles t\u00e9cnicos espec\u00edficos para la protecci\u00f3n de los datos financieros de los clientes, incluidos los requisitos de cifrado para los datos transmitidos entre los sistemas bancarios y los clientes, y protocolos espec\u00edficos para la seguridad de los sistemas de pago electr\u00f3nicos. La LFPDPPP adem\u00e1s exige que las organizaciones que manejan datos financieros personales implementen medidas de seguridad t\u00e9cnica que incluyan la protecci\u00f3n de los datos en tr\u00e1nsito.<\/p>\n\n

    Estados Unidos (Miami, Puerto Rico) \u2014 Norma de salvaguardias de GLBA<\/h3>\n

    La Regla de Salvaguardias de la Ley Gramm-Leach-Bliley exige a las instituciones financieras estadounidenses, incluidas aquellas que operan en Miami y Puerto Rico, implementar salvaguardias t\u00e9cnicas espec\u00edficas que protejan la informaci\u00f3n financiera de los clientes. Los requisitos actualizados de la Regla de Salvaguardias de la FTC exigen expl\u00edcitamente el cifrado de la informaci\u00f3n del cliente en tr\u00e1nsito y en reposo, la autenticaci\u00f3n multifactor para acceder a los datos del cliente y pr\u00e1cticas de desarrollo seguro para aplicaciones financieras dirigidas al cliente.<\/p>\n\n

    PCI-DSS \u2014 Est\u00e1ndar Global de Tarjetas de Pago<\/h3>\n

    Cualquier organizaci\u00f3n que acepte, procese o transmita datos de tarjetas de pago, independientemente de la jurisdicci\u00f3n, debe cumplir con los requisitos de PCI-DSS, que son muy espec\u00edficos sobre la protecci\u00f3n de los datos del titular de la tarjeta en tr\u00e1nsito. El requisito 4 de PCI-DSS exige el uso de criptograf\u00eda s\u00f3lida para transmitir datos del titular de la tarjeta a trav\u00e9s de redes abiertas y p\u00fablicas, con requisitos espec\u00edficos para los protocolos criptogr\u00e1ficos y las pr\u00e1cticas de gesti\u00f3n de claves que deben implementarse.<\/p>\n\n

    Controles T\u00e9cnicos Esenciales para Datos Financieros en Tr\u00e1nsito<\/h2>\n\n

    1. Cifrado: el fundamento innegociable<\/h3>\n

    El cifrado transforma datos financieros legibles en texto cifrado que carece de sentido sin la clave de descifrado correspondiente. Para los datos financieros en tr\u00e1nsito, el cifrado debe implementarse en cada punto donde los datos se muevan entre sistemas:<\/p>\n