Ley Fintech México: claves de ciberseguridad para Instituciones de Tecnología Financiera
La Ley para Regular las Instituciones de Tecnología Financiera (Ley Fintech) de México, vigente desde 2018 y reformada en enero de 2024, establece obligaciones técnicas de ciberseguridad para todas las ITF que operan en el sistema financiero mexicano. La supervisión recae en una tríada regulatoria: la Secretaría de Hacienda (SHCP), la Comisión Nacional Bancaria y de Valores (CNBV) y el Banco de México (Banxico). Su incumplimiento implica riesgos regulatorios, operativos y reputacionales significativos.
La Ley Fintech de México (2018) y sus reformas de enero 2024
La Ley Fintech fue el primer marco legal de América Latina diseñado específicamente para regular a las plataformas de tecnología financiera. Creó la categoría de Instituciones de Tecnología Financiera (ITF) e impuso requisitos operativos y de seguridad para operar en México.
Las reformas de enero de 2024 actualizaron los requisitos técnicos y reforzaron las obligaciones de seguridad de la información para las ITF, en particular en materia de:
- Protección de datos personales y financieros de los usuarios con estándares internacionales reconocidos.
- Obligación de compartir datos con terceros únicamente con consentimiento expreso del usuario, aplicando controles criptográficos en la transferencia.
- Alineación con buenas prácticas internacionales de gestión de riesgos cibernéticos.
La tríada regulatoria: SHCP, CNBV y Banco de México (Banxico)
La Ley Fintech distribuye la supervisión entre tres organismos, cada uno con competencias específicas sobre distintos aspectos del cumplimiento:
Secretaría de Hacienda y Crédito Público (SHCP): Define el marco de política general para las ITF, incluyendo los criterios de autorización y las condiciones de operación.
Comisión Nacional Bancaria y de Valores (CNBV): Supervisa el cumplimiento de los requisitos de ciberseguridad y las disposiciones técnicas aplicables a las ITF. Es la autoridad que emite y actualiza las circulares de seguridad y que puede imponer sanciones por incumplimiento.
Banco de México (Banxico): Regula los sistemas de pago y las operaciones con activos virtuales. Las ITF que operan plataformas de fondos de pago electrónico o activos virtuales quedan sujetas a sus disposiciones técnicas y a la Estrategia de Ciberseguridad del Banco de México, que establece la política de seguridad de la información aplicable.
Obligaciones de protección de datos y estándares internacionales
La Ley Fintech exige que las ITF implementen estándares internacionales de protección de datos en todos sus procesos de tratamiento de información de usuarios. Esto incluye:
- Documentar políticas de privacidad y tratamiento de datos alineadas con la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP).
- Obtener consentimiento informado y específico antes de compartir datos con terceros, incluyendo socios tecnológicos y plataformas de open finance.
- Conservar registros de las autorizaciones de uso de datos y facilitar su ejercicio por parte de los titulares (derechos ARCO: Acceso, Rectificación, Cancelación y Oposición).
La detección de vulnerabilidades en los sistemas que procesan datos de usuarios es una práctica obligatoria, no opcional, bajo este marco.
Protocolos de seguridad: encriptación, validación biométrica y 2FA
Las disposiciones técnicas vinculadas a la Ley Fintech exigen protocolos de seguridad avanzados para las operaciones de las ITF:
- Encriptación: Los datos personales y financieros deben cifrarse tanto en tránsito como en reposo, aplicando algoritmos reconocidos internacionalmente.
- Validación biométrica: Las ITF que ofrecen apertura de cuentas o autorización de operaciones de alto valor deben implementar mecanismos de verificación de identidad que pueden incluir reconocimiento facial o dactilar.
- Autenticación de dos factores (2FA): Las operaciones sensibles requieren un segundo factor de autenticación que combine algo que el usuario sabe (contraseña) con algo que posee (token, dispositivo) o algo que es (biométrico).
El desarrollo seguro de software es la base técnica para implementar estos controles desde el ciclo de vida del producto y no como parche posterior.
CNBV Circular Única de Ciberseguridad (en desarrollo 2024-2025)
Uno de los avances regulatorios más relevantes del entorno mexicano es el desarrollo de la Circular Única de Ciberseguridad de la CNBV, en proceso de elaboración durante 2024-2025. Este instrumento busca:
- Crear un marco jurídico unificado de ciberseguridad que hoy se encuentra disperso en múltiples disposiciones sectoriales.
- Establecer normas mínimas de mitigación de riesgos cibernéticos aplicables de forma homogénea.
- Estandarizar los reportes de incidentes de ciberseguridad que las entidades deben presentar ante la CNBV.
- Ampliar su alcance más allá de los bancos tradicionales: la circular aplicará a bancos, Sofomes, Sofipos, casas de bolsa e intermediarios financieros no bancarios.
Esta homologación regulatoria eliminará las discrepancias que hoy existen entre entidades supervisadas por distintos organismos y elevará el nivel mínimo de seguridad exigible en todo el sistema financiero mexicano.
Incremento del 78% en ciberataques a México en 2024 y Plan Nacional 2025-2030
El contexto de amenazas que enfrentan las ITF mexicanas es crítico. México registró en 2024 un incremento interanual del 78% en ciberataques, con 15 ataques documentados contra instituciones financieras, incluyendo ataques a sistemas de pago, fugas de información y robos de credenciales.
Ante este panorama, México desarrolló el Plan Nacional de Ciberseguridad 2025-2030, orientado a:
- Fortalecer el gobierno institucional de la ciberseguridad nacional.
- Proteger la infraestructura crítica del país, incluyendo el sistema financiero.
- Desarrollar capacidades nacionales de respuesta a incidentes cibernéticos.
Para las ITF, este contexto refuerza la necesidad de implementar programas de pentest periódicos que evalúen la resiliencia de sus sistemas ante los vectores de ataque más frecuentes del ecosistema financiero mexicano.
Adoptar el NIST Cybersecurity Framework como estructura base permite a las ITF mexicanas alinear sus controles con las exigencias de la CNBV, Banxico y SHCP, y demostrar madurez regulatoria ante los auditores de cada organismo supervisor.
¿Tu ITF necesita cumplir con los requisitos de la Ley Fintech reformada en 2024? WhiteJaguars ofrece servicios de evaluación de seguridad, pruebas de penetración y desarrollo seguro diseñados para instituciones financieras bajo supervisión de la CNBV y Banxico. También puedes conocer las obligaciones de protección de datos bajo la LFPDPPP.