Ciberseguridad bancaria en Honduras: CNBS

  • Inicio
  • Blog
  • Ciberseguridad bancaria en Honduras: CNBS

Contenido

Regulación de ciberseguridad bancaria en Honduras: el marco de la CNBS

La Comisión Nacional de Bancos y Seguros (CNBS) de Honduras emitió en 2023 dos circulares que establecen lineamientos mínimos de ciberseguridad para las entidades financieras supervisadas. Aunque Honduras no cuenta aún con una ley general de protección de datos, la CNBS avanza con controles específicos para el sector bancario: gestión de contraseñas, autenticación de dos factores y límites para contraseñas de un solo uso son requisitos obligatorios desde ese año.

Honduras: sin ley de protección de datos vigente

Honduras no cuenta con una ley marco de protección de datos personales en vigor. Las protecciones existentes se limitan al sector público y la regulación en este ámbito es muy acotada. No existe una autoridad técnica designada para supervisar el tratamiento de datos de ciudadanos en el sector privado.

Esta situación contrasta con el avance regulatorio del sistema financiero, donde la CNBS ha tomado la iniciativa de establecer controles mínimos de ciberseguridad. Las empresas no financieras que operan en Honduras enfrentan un vacío normativo que podría llenarse en los próximos años, siguiendo la tendencia regional observada en países como Nicaragua con su Ley Nº 787 de Protección de Datos Personales.

CNBS — Normas de Gestión de TI, Ciberseguridad y Continuidad de Negocio

La CNBS es el órgano encargado de la supervisión, regulación y vigilancia del sistema financiero hondureño. Su mandato legal incluye la emisión de normas prudenciales obligatorias, la revisión y verificación de las instituciones supervisadas y la garantía de estabilidad, transparencia e inclusión financiera.

Dentro de este marco, la CNBS publicó las Normas de Gestión de Tecnologías de la Información, Ciberseguridad y Continuidad de Negocio, orientadas a:

  • Establecer pautas mínimas para la prevención y mitigación del fraude cibernético en las instituciones del sistema financiero.
  • Definir controles mínimos de seguridad que las entidades deben implementar y mantener.
  • Promover una mayor conciencia y educación financiera entre los usuarios de servicios bancarios, fortaleciendo la primera línea de defensa ante el fraude.

La gestión de vulnerabilidades es un componente clave para dar cumplimiento a estas normas de forma continua y auditable.

Requisitos mínimos específicos de la CNBS

Las normas de la CNBS establecen controles concretos que toda entidad financiera supervisada debe implementar:

  • Cultura robusta de contraseñas: las instituciones deben exigir contraseñas seguras con políticas de complejidad, historial y renovación periódica, acompañadas de programas de educación a usuarios.
  • Autenticación de dos factores (2FA): el acceso a sistemas críticos y canales digitales debe requerir un segundo factor de autenticación, reduciendo el riesgo de compromisos por credenciales robadas.
  • Límites en intentos de login: los sistemas deben bloquear o escalar automáticamente tras un número definido de intentos fallidos de acceso, mitigando ataques de fuerza bruta.
  • Límites de validez para contraseñas de un solo uso (OTP): los códigos OTP deben tener una ventana de validez acotada, reduciendo la exposición ante interceptación o reutilización maliciosa.

Estos controles representan el nivel básico que la CNBS considera indispensable para operar en el sistema financiero hondureño. Implementar una cultura de ciberseguridad sólida en la organización facilita el cumplimiento sostenido de estos requisitos.

Circular CNBS No. 003 de 2023: supervisión de fraudes cibernéticos

La Circular CNBS No. 003 de 2023 establece los lineamientos mínimos para supervisar fraudes cibernéticos en las instituciones del sistema financiero. Esta circular define los criterios que la CNBS utilizará para auditar los controles anti-fraude de las entidades supervisadas.

Las instituciones deben documentar sus procedimientos de detección, respuesta y reporte de fraudes cibernéticos, y demostrar que cuentan con mecanismos activos para identificar transacciones sospechosas y proteger a los usuarios. Las pruebas de penetración mediante pentest permiten validar que los controles implementados resisten ataques reales antes de que la CNBS los audite.

Circular CNBS No. 008 de 2023: tecnologías habilitadoras

La Circular CNBS No. 008 de 2023 regula el uso de tecnologías habilitadoras en el sector financiero hondureño. Esta circular aborda los requisitos de seguridad aplicables a las tecnologías que las instituciones adopten para prestar servicios digitales, procesamiento automatizado y operaciones en canales no presenciales.

Las entidades que incorporen nuevas tecnologías deben evaluar los riesgos asociados, implementar controles de seguridad acordes y mantener documentación actualizada. El marco de referencia del NIST Cybersecurity Framework proporciona una estructura reconocida internacionalmente que facilita el cumplimiento de los requisitos de la Circular 008.

Qué deben hacer las entidades financieras en Honduras

Las instituciones supervisadas por la CNBS deben revisar y actualizar sus programas de ciberseguridad para alinearse con los requisitos vigentes. Las acciones prioritarias incluyen:

  1. Implementar y documentar la política de contraseñas: definir reglas de complejidad, historial, rotación y bloqueo por intentos fallidos, con evidencia de capacitación a usuarios.
  2. Activar 2FA en todos los canales críticos: canales digitales de banca en línea, sistemas internos y accesos administrativos deben requerir un segundo factor.
  3. Configurar límites de OTP: establecer ventanas de validez cortas (típicamente 30-60 segundos) y un número máximo de usos por código.
  4. Mapear el uso de tecnologías habilitadoras: inventariar las tecnologías digitales en producción y documentar los controles de seguridad asociados, conforme a la Circular 008.
  5. Establecer un programa de gestión de fraude: los procedimientos de detección, respuesta y reporte deben cumplir los lineamientos de la Circular 003 y estar listos para auditoría de la CNBS.
  6. Realizar pruebas de penetración periódicas: el pentest valida que los controles implementados resisten ataques reales y entrega evidencia para los procesos de supervisión.

¿Tu institución financiera en Honduras necesita alinear sus controles con las Circulares CNBS 003 y 008 de 2023? Contáctanos para implementar un programa de ciberseguridad auditado y preparado para la supervisión de la CNBS.

Publicado el

Mario Robles

CEO & Founder

Hacker Ético con más de 20 años de experiencia, creador de herramientas de ciberseguridad, ex-líder de OWASP Costa Rica y miembro activo de Cybersec Cluster y el capítulo de ciberseguridad de CAMTIC.

¿Necesitas ayuda?

Nuestro equipo de especialistas puede ayudarte a implementar las mejores prácticas de ciberseguridad en tu organización.

Consulta Gratuita

¿Necesitas proteger tu empresa?

Consulta Gratuita

También te podría interesar

BCP Paraguay: ciberseguridad y cloud banking

El BCP regula la ciberseguridad bancaria con Resolución 12/2021 y cloud computing para entidades financieras. Obligaciones mínimas para bancos en Paraguay.

Leer: BCP Paraguay: ciberseguridad y cloud ...

Ciberseguridad bancaria en Uruguay: BCU

El BCU regula la seguridad bancaria en Uruguay con estándares ISO/NIST. Conoce la Ley 18.331 y qué exige a bancos y fintechs uruguayos.

Leer: Ciberseguridad bancaria en Uruguay: BCU

CONASSIF 5-24: ciberseguridad en Costa Rica

El CONASSIF 5-24 regula gobernanza y ciberseguridad de entidades financieras en Costa Rica. Qué exige sobre resiliencia operacional, TI y alta dirección.

Leer: CONASSIF 5-24: ciberseguridad en Cost...
Este sitio web utiliza cookies para mejorar su experiencia, puede consultar nuestra política de privacidad.