Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial EXPLORAR KITEWORKS
Home > Blog de Seguridad y Cumplimiento > Sin categorizar > La realidad de la seguridad bancaria que los clientes no ven

La realidad de la seguridad bancaria que los clientes no ven

by Patrick Spencer updated marzo 12, 2026 Gestión de Riesgos de Ciberseguridad
Reading Time: 12 minutes

Existe una versión de la seguridad bancaria que se refleja en los registros de incidentes, paneles de operaciones e informes ejecutivos. Y existe otra versión en la mente de los clientes a quienes atienden esos bancos. El Informe Integris sobre Confianza y Tecnología Bancaria 2026 deja claro que estas dos versiones tienen casi nada en común—y que la distancia entre ambas representa uno de los riesgos no gestionados más relevantes en la banca actual.

Conclusiones clave

  1. Los bancos sufren filtraciones de manera rutinaria. Los clientes no tienen idea. El Informe Integris sobre Confianza y Tecnología Bancaria 2026 reveló que el 51% de los bancos reportó una filtración significativa basada en correo electrónico y el 50% una filtración en dispositivos móviles en los últimos 12 meses. Mientras tanto, el 57% de sus clientes cree que el banco nunca ha sufrido una filtración. Las filtraciones ya son una realidad operativa rutinaria. La percepción del cliente aún no lo refleja.
  2. La confianza del cliente es alta, estructuralmente frágil y a un incidente de colapsar. Casi 9 de cada 10 clientes bancarios confían en que su banco protege sus datos personales y financieros, y el 51% eligió su institución específicamente por confiar en su seguridad. Pero el 67% afirma que probablemente cambiaría de banco tras una filtración grave. La confianza que los bancos han acumulado durante años puede desaparecer en un solo ciclo de noticias.
  3. Los presupuestos tecnológicos están creciendo drásticamente—pero la mayoría de los ejecutivos bancarios no sabe cuánto gastan actualmente. El 45% de los ejecutivos espera que los presupuestos tecnológicos aumenten un 40% o más en 2026, y el 18% prevé incrementos superiores al 60%. Sin embargo, el 64% dice no estar seguro de cuánto gasta su banco en TI en total. Gastar más en un sistema que no puedes ver no es una estrategia de seguridad.
  4. Los bancos implementan herramientas de detección de fraude y puntuación de riesgo que más de un tercio de sus propios ejecutivos no puede auditar. Más del 36% de los ejecutivos bancarios afirma que les cuesta interpretar los resultados automatizados o entender cómo se generan ciertas recomendaciones del sistema. Los marcos regulatorios sobre gestión de riesgos de modelos ya están presionando exactamente sobre esta brecha. La exposición de cumplimiento es real, no teórica.
  5. Externalizar la seguridad a un MSP sin mantener supervisión no es gestión de riesgos—es trasladar el riesgo. Aproximadamente el 87% de los bancos depende de MSP para ciberseguridad, respaldo, recuperación ante desastres y servicios en la nube. Sin embargo, persisten tensiones de cumplimiento, retos de integración de datos y preocupaciones de seguridad en los mismos ámbitos que los MSP deberían cubrir. Los reguladores responsabilizan al banco. Los MSP no asumen esa responsabilidad cuando asumen la función.

En los últimos 12 meses, el 51% de los bancos encuestados reportó una filtración de seguridad significativa basada en correo electrónico, y el 50% reportó una filtración relevante en dispositivos móviles. No se trata de pruebas, incidentes menores o exposiciones teóricas. Son incidentes lo suficientemente graves como para que los ejecutivos bancarios los reconocieran en una encuesta formal de investigación. En términos operativos, las filtraciones ahora son una característica recurrente del entorno bancario—no una catástrofe rara que ocurre cada varios años y desencadena una respuesta de crisis.

La percepción del cliente va directamente en sentido contrario a esta realidad. Solo alrededor de 1 de cada 10 clientes bancarios recuerda haber recibido alguna vez una notificación de filtración de su institución. El 57% cree que su banco nunca ha sufrido una filtración. Estos clientes no realizan evaluaciones independientes ni llegan a una conclusión favorable. Simplemente desconocen lo que ocurre dentro de las instituciones que gestionan su dinero—porque esas instituciones no se lo han comunicado.

El informe de Integris identifica esto como la «brecha de percepción de filtraciones», y es la tensión estructural que define todo el documento. La brecha no es benigna. Casi 9 de cada 10 clientes dicen confiar en que su banco protege sus datos personales y financieros. El 51% eligió su banco específicamente por confiar en su postura de seguridad. Y el 40% menciona a los atacantes maliciosos que roban datos bancarios como su mayor temor bancario. Los clientes que más confían también son los más expuestos a un colapso de confianza—porque su seguridad se basa en una imagen inexacta de lo que realmente ocurre.

El escenario de colapso está documentado en los datos. El 67% de los clientes afirma que probablemente cambiaría de institución tras una filtración grave. Esa cifra significa que más de dos tercios de los clientes cuya confianza se construyó durante años de relación bancaria se marcharían tras un solo incidente visible. La confianza es real. Su durabilidad no. Los bancos que permiten que la brecha de percepción de filtraciones persista acumulan una responsabilidad que crece con cada incidente no revelado y se hace exigible cuando el siguiente no puede gestionarse en silencio.

Gastar más sin ver más: la crisis de visibilidad de TI en la banca

La imagen de inversión tecnológica que presenta el informe de Integris es, en apariencia, tranquilizadora. Los bancos están invirtiendo. El 45% de los ejecutivos espera que los presupuestos tecnológicos crezcan un 40% o más en 2026. El 18% prevé un crecimiento superior al 60%. La ciberseguridad es uno de los principales motores, junto con la expansión en la nube, la demanda de canales digitales y la modernización tecnológica. Las asignaciones presupuestarias avanzan en la dirección que exige el entorno de amenazas.

El problema está una capa por debajo de las cifras de gasto. El 64% de los ejecutivos bancarios—los mismos que autorizan esos aumentos presupuestarios significativos—dicen no estar seguros de cuánto gasta actualmente su banco en TI en total. Se desconoce la línea base. El crecimiento se aplica a un entorno que la dirección no puede dimensionar completamente. Como lo describe el informe de Integris, las arquitecturas heredadas fragmentadas y el gasto en silos dificultan estructuralmente priorizar inversiones o medir cuánto riesgo de seguridad real se reduce con el dinero que sale.

No es principalmente un problema de gestión financiera. Es un problema de gobernanza de seguridad. Cuando una institución no puede mapear su gasto total en TI, tampoco puede determinar si las inversiones en seguridad son proporcionales a su exposición real al riesgo, si los controles existentes funcionan como se diseñaron o si las brechas más susceptibles de ser explotadas en el próximo incidente se están cerrando o simplemente rodeando con más herramientas. Invertir sin visibilidad produce una versión más costosa de la misma postura fragmentada, no una más segura.

Los bancos comunitarios y medianos enfrentan esto de forma más aguda. El informe los posiciona como instituciones que operan bajo los mismos estándares regulatorios y expectativas de clientes que los bancos nacionales, frente a un entorno de amenazas que calibra sus objetivos según la oportunidad y no el tamaño del activo, con presupuestos y personal que no pueden igualar los niveles de inversión absoluta de sus pares más grandes. Los bancos que navegan esto con mayor eficacia no son los que más gastan. Son los que logran visibilidad del gasto primero y luego toman decisiones deliberadas y basadas en evidencia sobre dónde cada euro genera la mayor protección por unidad de inversión.

Toma de decisiones automatizada en la banca: una brecha de cumplimiento que los reguladores ya vigilan

Las conclusiones sobre la toma de decisiones automatizada y basada en tecnología en el informe de Integris son de las más relevantes para el cumplimiento, y han recibido menos atención que las estadísticas de filtraciones. Más del 36% de los ejecutivos bancarios afirma que les cuesta interpretar los resultados de los sistemas automatizados o entender cómo se generan ciertas recomendaciones del sistema. No se trata de un problema general de alfabetización tecnológica. Es la descripción de una condición específica con implicaciones regulatorias directas: los bancos usan herramientas automatizadas en detección de fraude, monitoreo de transacciones y puntuación de riesgo, y los ejecutivos responsables de esas funciones no pueden auditar de forma fiable lo que esos sistemas recomiendan ni por qué.

Los marcos regulatorios están presionando exactamente sobre esta brecha. Las directrices de gestión de riesgos de modelos de la OCC, FDIC y la Reserva Federal ya exigen documentación de modelos, procesos de validación y supervisión humana para decisiones automatizadas de alto impacto. La expectativa de que los bancos puedan demostrar equidad, auditabilidad y explicabilidad en sistemas automatizados que afectan las cuentas de los clientes no es emergente—es actual. El informe de Integris es explícito en la receta: los bancos deben formalizar políticas de uso aceptable para herramientas de decisión automatizada, documentar los modelos y las decisiones que producen, mantener procesos de revisión humana para resultados relevantes y construir vías de escalamiento para incidencias generadas por el sistema que requieran intervención humana para satisfacer tanto los requisitos regulatorios como las expectativas de los clientes afectados.

La dimensión del cliente multiplica la presión de cumplimiento de formas que van más allá de la regulación formal. El 52% de los clientes bancarios teme que los sistemas automatizados puedan congelar erróneamente sus cuentas o bloquear transacciones legítimas. Alrededor del 40% teme que estos sistemas puedan exponer sus datos personales. El 23% afirma no entender cómo su banco utiliza la tecnología para tomar decisiones sobre sus cuentas. El informe hace una observación clara: los clientes experimentan un bloqueo automatizado erróneo como equivalente a una filtración de seguridad. Bloquea el acceso a fondos. Socava la confianza en la institución. Provoca la misma reacción—alarma, pérdida de confianza y consideración de cambio—que un evento de exposición de datos, independientemente de si hubo o no filtración real.

Esto genera una obligación de cumplimiento y gobernanza que opera en dos vías simultáneamente. En la vía regulatoria formal: documentación de modelos, validación, registros de auditoría y requisitos de explicabilidad ya presentes en la normativa y cada vez más prescriptivos. En la vía de confianza del cliente: la obligación práctica de garantizar que los sistemas automatizados que afectan el acceso a cuentas funcionen correctamente, puedan ser revisados y corregidos cuando no lo hagan, y que los clientes tengan cierto entendimiento de cómo operan esos sistemas. Los bancos que han implementado herramientas de decisión automatizada sin construir la infraestructura de gobernanza para cumplir ambas obligaciones están asumiendo una exposición que quizá no han dimensionado completamente.

La brecha de responsabilidad del MSP: dónde termina la externalización de la seguridad y comienza la responsabilidad de cumplimiento

La dependencia de proveedores de servicios gestionados documentada en el informe de Integris define la estructura operativa de la seguridad bancaria para la gran mayoría de las instituciones encuestadas. Aproximadamente el 87% de los bancos utiliza MSP para funciones de ciberseguridad básicas y avanzadas. Más del 80% depende de MSP para respaldo y recuperación ante desastres, servicios en la nube y operaciones de mesa de ayuda. El 34% planea ampliar el uso de MSP específicamente para apoyo en cumplimiento y regulación en los próximos seis a doce meses. Los MSP no son un complemento de las operaciones de seguridad bancaria—para la mayoría de las instituciones comunitarias y medianas, son la función de operaciones de seguridad.

El problema estructural surge en lo que el informe encuentra junto a esas cifras de implementación. El 31% de los ejecutivos reporta tensión de cumplimiento como un reto persistente—aun en instituciones que dependen de MSP para apoyo regulatorio y documentación automatizada de cumplimiento. Los retos de integración de datos, preocupaciones de seguridad y dificultades en la planificación tecnológica persisten justo en los ámbitos donde los MSP deberían estar aportando soluciones. Los bancos externalizan la ejecución de funciones de seguridad y cumplimiento y siguen reportando las mismas brechas que esas funciones debían cerrar.

La interpretación del informe es inequívoca: externalizar sin una supervisión sólida y visibilidad sobre los entornos gestionados por MSP deja brechas importantes en el entorno de control. Un MSP puede operar la monitorización de seguridad de un banco, gestionar su infraestructura en la nube y encargarse de la documentación de cumplimiento. Lo que un MSP no puede hacer es asumir la responsabilidad regulatoria del banco. Cuando los examinadores de la OCC, FDIC o reguladores estatales llegan y piden evidencia de controles—registros de incidentes, registros de auditoría, documentación de validación de modelos, documentación de gobernanza de accesos—el banco debe presentarla. Si el banco no tiene visibilidad independiente sobre lo que su MSP está monitorizando, qué alertas se están gestionando y qué evidencia se está generando en su nombre, el banco no ha transferido sus obligaciones de cumplimiento. Ha transferido su capacidad de verificar que esas obligaciones se están cumpliendo. Esa es una condición materialmente distinta y mucho más peligrosa de lo que parece a simple vista, como señala el informe de Integris.

La solución de gobernanza que señala el informe no es reducir el uso de MSP—es estructurar mejor la responsabilidad en torno al uso de MSP. Marcos contractuales de responsabilidad más claros. Visibilidad desde el banco sobre la monitorización, alertas y generación de evidencia que ocurre en los entornos gestionados por MSP. Capacidades de supervisión que permitan al banco verificar de forma independiente que los controles que paga a un MSP realmente funcionan. Para los bancos comunitarios que planean ampliar el uso de MSP para fines de cumplimiento, construir esa infraestructura de supervisión antes de la expansión es la diferencia entre un programa de cumplimiento que escala y uno que genera una responsabilidad creciente a medida que crece.

El cumplimiento como obligación de comunicación: por qué no basta con estar seguro

Uno de los argumentos más claros del informe de Integris es que el cumplimiento de datos en 2026 no puede definirse solo por lo que exigen los reguladores. También debe abarcar lo que los clientes comprenden. Los datos que respaldan este argumento son directos. El 15% de los clientes bancarios dice que su banco rara vez o nunca comunica actualizaciones de seguridad. Casi la mitad reporta que las comunicaciones de seguridad de su banco son poco frecuentes. La brecha de percepción de filtraciones—donde el 57% de los clientes cree que su banco nunca ha sufrido una filtración mientras los datos operativos muestran filtraciones en la mayoría de las instituciones—no es un accidente de desatención del cliente. Es el resultado previsible de bancos que comunican lo mínimo requerido y tratan la transparencia en seguridad como un pasivo y no como un activo.

Los requisitos de notificación de filtraciones bajo GLBA, leyes estatales de protección de datos y directrices sectoriales establecen umbrales mínimos sobre cuándo y cómo se debe informar a los clientes sobre incidentes. Los bancos pueden cumplir técnicamente con todos esos requisitos y, al mismo tiempo, permitir que su base de clientes desarrolle una imagen fundamentalmente inexacta de la postura de seguridad de la institución. Cuando un incidente relevante finalmente obliga a una revelación para la que los clientes no estaban preparados, la corrección no se recibe como una actualización transparente. Se percibe como una revelación de ocultamiento previo—y desencadena el colapso de confianza que predicen los datos del informe.

Los bancos comunitarios enfrentan la versión más aguda de este reto. Son altamente dependientes de MSP. Se les exige cumplir expectativas de seguridad digital y cumplimiento que han convergido con las de los bancos nacionales. Tienen equipos de comunicación más pequeños y menos recursos para construir el tipo de mensajes de seguridad consistentes y proactivos que cerrarían la brecha de percepción antes de una crisis. Y sus relaciones con los clientes—a menudo más personales y duraderas que en instituciones más grandes—hacen que un colapso de confianza sea simultáneamente más dañino y más recuperable, dependiendo de cómo gestione la institución la transparencia cuando ocurren incidentes.

La receta del informe para 2026 es una cadencia de comunicación consistente sobre seguridad y gobernanza—no revelaciones ocasionales motivadas por mínimos regulatorios, sino educación continua al cliente sobre cómo funcionan las protecciones de seguridad, qué ocurre cuando hay incidentes, cómo se gobiernan los sistemas automatizados que afectan sus cuentas y a dónde pueden acudir los clientes cuando tienen inquietudes. Los bancos que establecen esta cadencia no solo gestionan el riesgo reputacional. Construyen una confianza informada del cliente lo suficientemente sólida como para sobrevivir a un incidente en vez de colapsar ante él.

Qué significa el Informe Integris 2026 para el programa de seguridad y cumplimiento de tu banco

El Informe Integris sobre Confianza y Tecnología Bancaria 2026 no describe un sector bancario que fracasa en seguridad. Describe uno que invierte fuertemente en seguridad mientras opera con puntos ciegos estructurales que limitan la capacidad de demostrar, medir y comunicar el valor de esa inversión. Las brechas que documenta son consistentes y se refuerzan mutuamente: entre la frecuencia de filtraciones y la percepción del cliente, entre el gasto tecnológico y la visibilidad de ese gasto, entre la implementación de sistemas automatizados y la gobernanza que requieren, entre la dependencia de MSP y la supervisión desde el banco, y entre las obligaciones formales de cumplimiento y la comunicación al cliente que esas obligaciones no cubren completamente.

Cuatro ajustes concentran el mayor impacto para los programas de seguridad y cumplimiento bancario según los hallazgos del informe. Primero, trata la brecha de percepción de filtraciones como un riesgo activo de cumplimiento y confianza, no como un tema secundario de comunicación. Cada incidente no revelado que un cliente no puede contextualizar suma a la deuda de confianza que se hará exigible cuando llegue el siguiente visible. Los bancos que han cerrado proactivamente esta brecha mediante comunicación consistente de seguridad gestionarán su próximo incidente de forma fundamentalmente diferente a los que no lo han hecho.

Segundo, establece visibilidad del gasto en TI antes de comprometerte con los aumentos presupuestarios que el 45% de los ejecutivos ya planea. Sin una línea base clara, el crecimiento del gasto en seguridad no puede dirigirse a las brechas de mayor riesgo, no puede medirse su efectividad ni defenderse ante examinadores o juntas con la especificidad que exige una buena gobernanza. Tercero, formaliza el marco de gobernanza para las herramientas de decisión automatizada implementadas en detección de fraude, puntuación de riesgo y monitoreo de transacciones. Documenta los modelos. Establece procesos de revisión humana para resultados relevantes. Construye vías de escalamiento. No es un ejercicio a futuro—el informe de Integris lo identifica como una exposición regulatoria actual para el 36% de los ejecutivos bancarios que actualmente no pueden auditar los resultados de esos sistemas.

Cuarto, y de forma más inmediata para el 34% de los bancos que planean ampliar el uso de MSP para fines de cumplimiento: construye la infraestructura de supervisión antes de ampliar la relación. Define la responsabilidad contractual de forma explícita. Establece visibilidad desde el banco sobre la monitorización, documentación y generación de evidencia que ocurre en los entornos gestionados por MSP. Los reguladores responsabilizarán al banco por lo que el MSP produce en su nombre. Si el banco no puede verificar de forma independiente que el MSP lo está produciendo, la brecha de responsabilidad recae en el banco.

Las instituciones que cierren estas brechas en 2026 estarán mejor preparadas para su próxima revisión, mejor equipadas para gestionar los incidentes que los datos muestran que ya ocurren cada año y mejor posicionadas para mantener la confianza del cliente de la que depende toda su posición competitiva. Las que no lo hagan gestionarán los mismos puntos ciegos a mayor costo en un entorno regulatorio cada vez menos tolerante con las brechas de gobernanza que ya ha identificado y comunicado.

Preguntas frecuentes

El Informe Integris sobre Confianza y Tecnología Bancaria 2026 identifica tres áreas que probablemente llamarán la atención de los examinadores: visibilidad del gasto en TI (el 64% de los ejecutivos no puede justificar el gasto total en TI), gobernanza sobre herramientas de decisión automatizada implementadas en detección de fraude y puntuación de riesgo (el 36% no puede auditar los resultados del sistema) y MSP (el 87% de los bancos depende de MSP pero el 31% sigue reportando tensión de cumplimiento). Los reguladores esperan cada vez más responsabilidad documentada en las tres áreas y evidencia de controles que el propio banco pueda verificar de forma independiente.

Las filtraciones por correo electrónico ya son rutinarias: el 51% de los bancos en el informe de Integris reportó una filtración significativa basada en correo electrónico en los últimos 12 meses. El hallazgo central en comunicación del informe es que solo 1 de cada 10 clientes recuerda haber recibido una notificación de filtración de su banco, mientras el 57% cree que su banco nunca ha sufrido una filtración. Cumplir con los mínimos formales de notificación y dejar a los clientes con una imagen inexacta de la realidad de seguridad acumula deuda de confianza. El informe recomienda una cadencia consistente de comunicación de seguridad en lugar de revelaciones reactivas solo motivadas por umbrales regulatorios.

El informe de Integris plantea la gobernanza de herramientas de decisión automatizada como una obligación de cumplimiento actual, no una consideración a futuro. Más del 36% de los ejecutivos bancarios ya tiene dificultades para interpretar o auditar los resultados del sistema—una exposición directa en la gestión de riesgos de modelos. El informe especifica que los bancos deben formalizar políticas de uso aceptable, documentar los modelos y sus resultados, mantener revisión humana para decisiones automatizadas relevantes y construir vías claras de escalamiento para incidencias generadas por el sistema. Los reguladores esperan auditabilidad documentada y demostración de equidad en estas funciones bajo la normativa vigente.

El Informe Integris sobre Confianza y Tecnología Bancaria 2026 es claro: externalizar sin supervisión sólida deja brechas importantes en el entorno de control. La responsabilidad de cumplimiento no se transfiere al MSP—los reguladores responsabilizan al banco por la evidencia y los resultados que el MSP debe producir. El 31% de los ejecutivos bancarios reporta tensión de cumplimiento incluso en ámbitos apoyados por MSP. El informe recomienda responsabilidad contractual explícita, visibilidad desde el banco sobre la monitorización y documentación generadas por el MSP y verificación independiente de que los controles funcionan como se espera.

Las altas calificaciones de confianza son un punto de partida, no una garantía, según el informe de Integris. Casi 9 de cada 10 clientes dicen confiar en su banco con datos personales y financieros, pero el 67% afirma que probablemente cambiaría tras una filtración grave, y el 52% teme que los sistemas automatizados congelen erróneamente sus cuentas—un evento que el informe equipara a una filtración de seguridad en la percepción del cliente. La confianza basada en el desconocimiento de la frecuencia real de filtraciones es frágil. Cuando un incidente visible cierra involuntariamente la brecha de percepción de filtraciones, el colapso resultante puede ser rápido y difícil de revertir sin una base de comunicación previa.

Comienza ahora.

Es fácil comenzar a asegurar el cumplimiento normativo y gestionar eficazmente los riesgos con Kiteworks. Únete a las miles de organizaciones que confían en cómo intercambian datos confidenciales entre personas, máquinas y sistemas. Empieza hoy mismo.

Agenda una Demo

Table of Contents

Table of Content
Compartir
Twittear
Compartir
Explore Kiteworks