Open Finance en Colombia: ciberseguridad obligatoria para bancos y fintechs según la SFC
La Superintendencia Financiera de Colombia (SFC) ha establecido desde 2024 un marco regulatorio de Open Finance que obliga a bancos, fintechs y entidades financieras a implementar estándares técnicos de ciberseguridad como condición para operar ecosistemas de datos abiertos. La Circular 004 y la Circular 029 de la SFC definen los requisitos específicos que toda entidad vigilada debe cumplir para participar en el sistema financiero abierto de Colombia.
Open Finance Circular SFC 004 de 2024
La Circular Externa 004 de 2024 de la Superintendencia Financiera de Colombia establece los estándares que deben cumplir los participantes del ecosistema de Open Finance, con énfasis particular en la figura de los data receivers (receptores de datos):
- Las entidades que actúen como receptoras de datos deben demostrar capacidades técnicas de protección de la información antes de acceder a los datos compartidos por otras entidades del sistema.
- Se establecen requisitos de protección de datos personales alineados con la Ley 1581 de 2012, que deben cumplirse de forma continua y no solo al momento de la habilitación.
- Los requisitos de ciberseguridad incluyen controles mínimos de autenticación, cifrado en tránsito y en reposo, y gestión de accesos privilegiados.
- Las entidades deben implementar un proceso de pentest y evaluaciones de seguridad sobre sus sistemas de integración con APIs de terceros antes de julio de 2025.
Decreto 0368 de 2026 — Open Finance obligatorio con APIs estandarizadas
El Decreto 0368 de 2026 elevó el Open Finance de opcional a obligatorio en Colombia. Las principales implicaciones para las entidades financieras son:
- Las entidades reguladas por la SFC deben compartir datos autorizados a través de APIs estandarizadas con los participantes habilitados del ecosistema.
- Los estándares técnicos de las APIs son definidos por la SFC, lo que obliga a las entidades a actualizar sus arquitecturas de integración.
- La obligatoriedad del Open Finance amplía significativamente la superficie de ataque de las entidades financieras: cada API expuesta es un vector potencial de ataque si no está debidamente protegida.
- Las fintechs que deseen participar como data receivers deben someterse al proceso de habilitación regulatoria con los controles de ciberseguridad exigidos por la Circular 004.
Para las entidades financieras, esto implica que la seguridad de aplicaciones de sus APIs de Open Finance pasa a ser un requisito regulatorio, no solo una buena práctica.
SFC Circular External 029 de 2024 — Resiliencia cibernética obligatoria
La Circular Externa 029 de 2024 de la SFC introduce requisitos de resiliencia cibernética que refuerzan el marco legal existente en Colombia:
- Las entidades vigiladas deben realizar pruebas de resiliencia cibernética de forma periódica. Estas pruebas evalúan la capacidad de la organización para resistir, absorber y recuperarse de un ciberataque.
- Se exigen ejercicios de simulación de incidentes que incluyan escenarios de ransomware, exfiltración de datos y ataques a la cadena de suministro. Los resultados deben documentarse y reportarse a la SFC.
- La circular fortalece el marco legal existente al traducir principios generales de resiliencia en requisitos operativos concretos con plazos definidos.
El pentest como servicio representa una forma eficiente de cumplir con los ejercicios de prueba exigidos por la Circular 029, ya que permite programar evaluaciones de seguridad de forma continua y generar la evidencia documentada que requiere la SFC.
Inversión del sector bancario colombiano en ciberseguridad 2024
Los indicadores de la SFC revelan un incremento significativo en la inversión en seguridad de la información por parte del sector bancario colombiano:
- Los bancos bajo supervisión de la SFC invirtieron $510 mil millones de pesos colombianos en seguridad de la información y ciberseguridad durante 2024.
- Esta inversión representa un incremento del 16% respecto a 2023, lo que refleja la creciente presión regulatoria y el aumento del volumen de amenazas.
- Los reportes de indicadores anuales que las entidades deben presentar a la SFC incluyen métricas de inversión, incidentes gestionados y estado de cumplimiento de las circulares vigentes.
Esta tendencia de inversión creciente se explica en parte por el contexto de amenazas: Colombia registró 70,000+ incidentes cibernéticos en 2024, con un incremento del 29% respecto al año anterior, y las entidades bancarias enfrentaron 36 mil millones de ataques durante ese período.
Qué deben hacer bancos, fintechs y APIs financieras para cumplir
El cumplimiento del marco regulatorio de la SFC requiere un enfoque estructurado que combine controles técnicos, procesos y gobernanza:
Para la Circular 004 (Open Finance): - Implementar controles de seguridad en las APIs de integración: autenticación OAuth 2.0, cifrado TLS 1.2+, gestión de tokens y monitoreo de accesos. - Documentar los controles de protección de datos personales y vincularlos con la política de tratamiento de datos de la entidad. - Realizar evaluaciones de seguridad periódicas sobre los sistemas de integración de Open Finance, incluyendo pruebas de penetración con cobertura de APIs.
Para la Circular 029 (Resiliencia cibernética): - Diseñar y ejecutar ejercicios de simulación de incidentes que cubran los escenarios exigidos por la SFC. - Documentar los resultados, lecciones aprendidas y planes de mejora derivados de cada ejercicio. - Establecer métricas de resiliencia (RTO, RPO, MTTD, MTTR) y reportarlas en los indicadores anuales.
Adoptar el NIST Cybersecurity Framework como estructura base permite a las entidades colombianas alinear sus controles con las exigencias de la SFC y demostrar madurez ante los auditores regulatorios.
¿Tu organización necesita cumplir con la Circular 004 o la Circular 029 de la SFC? WhiteJaguars ofrece servicios de evaluación de seguridad, pentest de APIs financieras y ejercicios de simulación de incidentes diseñados para entidades bajo supervisión de la SFC. También puedes leer sobre las obligaciones de protección de datos en Colombia según la Ley 1581.