JM-98-2025 Guatemala: riesgo tecnológico

  • Inicio
  • Blog
  • JM-98-2025 Guatemala: riesgo tecnológico

Contenido

Resolución JM-98-2025 Guatemala: riesgo tecnológico e inteligencia artificial en la banca

La Superintendencia de Bancos (SIB) de Guatemala actualizó en 2025 su marco de gestión de riesgo tecnológico mediante la Resolución JM-98-2025, que reemplaza y mejora la JM-104-2021. La nueva resolución incorpora mejores prácticas internacionales, exige el uso responsable de inteligencia artificial y establece controles de resiliencia operacional para los bancos supervisados. Para el sector financiero guatemalteco, el cumplimiento ya no es opcional: la SIB puede requerir planes de acción correctivos y auditar la implementación.

Guatemala: vacío legal en protección de datos y fintech

Guatemala no cuenta con una ley marco de protección de datos personales ni con regulación específica para entidades fintech. No existe una autoridad técnica designada para supervisar el tratamiento de datos de ciudadanos, y la regulación vigente opera bajo marcos financieros generales sin normas especializadas para tecnología financiera.

Esta situación contrasta con la evolución regulatoria del sector bancario, que sí ha avanzado a través de la SIB con resoluciones progresivamente más exigentes. Las empresas tecnológicas no financieras operan actualmente en un vacío regulatorio que podría llenarse en los próximos años, siguiendo la tendencia observada en El Salvador con su Ley de Ciberseguridad de 2024.

SIB Resolución JM-104-2021: la base regulatoria inicial

La Resolución JM-104-2021 estableció los primeros requisitos mínimos formales para la administración del riesgo tecnológico en el sistema bancario guatemalteco. Sus obligaciones incluyen:

  • Gestión de infraestructura TI: los bancos deben mantener controles sobre sus activos tecnológicos críticos.
  • Seguridad de sistemas de información: protección de los sistemas que procesan datos financieros y transacciones.
  • Continuidad operacional: planes documentados para mantener la operación ante incidentes tecnológicos.
  • Contratación de terceros: requisitos para evaluar y supervisar a proveedores de servicios tecnológicos.

Esta resolución sentó el marco base, pero no contemplaba las amenazas emergentes ni los avances tecnológicos de los años siguientes.

SIB Resolución JM-98-2025: la actualización con IA y resiliencia

La nueva Resolución JM-98-2025 amplía significativamente los requisitos, alineando el sector bancario guatemalteco con los estándares internacionales más recientes. Los cambios más relevantes son:

  • Mejores prácticas internacionales: la resolución actualiza el marco con base en referentes globales de gestión de riesgo tecnológico.
  • Ciberamenazas crecientes: reconoce el incremento en sofisticación y frecuencia de los ataques, exigiendo controles acordes al panorama actual.
  • Uso responsable de inteligencia artificial: los bancos que empleen IA en sus procesos deben hacerlo bajo parámetros de seguridad y gobernanza definidos.
  • Análisis predictivo de amenazas: la SIB espera que las entidades adopten capacidades de detección proactiva, no solo reactiva.
  • Alineación con estándares globales de IA: los controles sobre inteligencia artificial deben seguir marcos reconocidos internacionalmente.
  • Procesamiento y almacenamiento de datos: regulación sobre dónde y cómo se procesan y almacenan datos dentro y fuera del país.
  • Contratación de terceros y análisis de criticidad: los proveedores tecnológicos deben clasificarse según su criticidad y supervisarse de forma diferenciada.
  • Planes de recuperación y resiliencia operacional: los bancos deben demostrar capacidad de recuperación ante incidentes graves, con planes probados y actualizados.

La detección de vulnerabilidades y la gestión continua de riesgos son componentes centrales para cumplir con estos requisitos de forma sistemática.

Qué deben implementar los bancos en Guatemala

Los bancos supervisados por la SIB deben revisar sus programas actuales de riesgo tecnológico y actualizar sus controles para alinearse con la JM-98-2025. Las acciones prioritarias incluyen:

  1. Evaluar el uso de IA: inventariar los sistemas de inteligencia artificial en producción y documentar sus controles de seguridad y gobernanza.
  2. Implementar análisis predictivo: fortalecer las capacidades de detección temprana de amenazas mediante herramientas de monitoreo continuo.
  3. Revisar la cadena de proveedores: clasificar los terceros tecnológicos por criticidad y reforzar los controles sobre los de mayor impacto.
  4. Actualizar planes de recuperación: los planes de continuidad y recuperación deben reflejar las nuevas amenazas y probarse con simulacros documentados.
  5. Integrar gestión de vulnerabilidades: la gestión continua de vulnerabilidades permite identificar y corregir brechas antes de que sean explotadas.
  6. Fortalecer la seguridad mediante pentest: las pruebas de penetración periódicas validan que los controles implementados resisten ataques reales.

Seguir el NIST Cybersecurity Framework proporciona una estructura reconocida internacionalmente para organizar los controles exigidos por la JM-98-2025 y facilitar futuras auditorías de la SIB.


Si operas también en Honduras, consulta cómo la CNBS regula la ciberseguridad bancaria en Honduras con los requisitos de sus Circulares 003 y 008 de 2023.


¿Tu banco o entidad financiera en Guatemala necesita alinear sus controles con la Resolución JM-98-2025? Contáctanos para implementar un programa de gestión de riesgo tecnológico auditado y alineado con los estándares de la SIB.

Publicado el

Mario Robles

CEO & Founder

Hacker Ético con más de 20 años de experiencia, creador de herramientas de ciberseguridad, ex-líder de OWASP Costa Rica y miembro activo de Cybersec Cluster y el capítulo de ciberseguridad de CAMTIC.

¿Necesitas ayuda?

Nuestro equipo de especialistas puede ayudarte a implementar las mejores prácticas de ciberseguridad en tu organización.

Consulta Gratuita

¿Necesitas proteger tu empresa?

Consulta Gratuita

También te podría interesar

BCP Paraguay: ciberseguridad y cloud banking

El BCP regula la ciberseguridad bancaria con Resolución 12/2021 y cloud computing para entidades financieras. Obligaciones mínimas para bancos en Paraguay.

Leer: BCP Paraguay: ciberseguridad y cloud ...

Ciberseguridad bancaria en Uruguay: BCU

El BCU regula la seguridad bancaria en Uruguay con estándares ISO/NIST. Conoce la Ley 18.331 y qué exige a bancos y fintechs uruguayos.

Leer: Ciberseguridad bancaria en Uruguay: BCU

CONASSIF 5-24: ciberseguridad en Costa Rica

El CONASSIF 5-24 regula gobernanza y ciberseguridad de entidades financieras en Costa Rica. Qué exige sobre resiliencia operacional, TI y alta dirección.

Leer: CONASSIF 5-24: ciberseguridad en Cost...
Este sitio web utiliza cookies para mejorar su experiencia, puede consultar nuestra política de privacidad.