SBS 504-2021: ciberseguridad obligatoria para el sector financiero en Perú
La Resolución SBS 504-2021 establece los requisitos mínimos de seguridad de la información y ciberseguridad para el sistema financiero peruano. Vigente desde el 1 de julio de 2021, obliga a bancos, AFP, Banco de la Nación, COFIDE, MIVIVIENDA, Derramas y Cajas a implementar un Sistema de Gestión de Seguridad de la Información y Ciberseguridad (SGSI-C) alineado con estándares internacionales como NIST e ISO/IEC.
¿Qué es la Resolución SBS 504-2021?
La Superintendencia de Banca, Seguros y Administradoras (SBS) de Perú emitió la Resolución 504-2021 como el marco regulatorio central de ciberseguridad para las entidades bajo su supervisión. Su vigencia inició el 1 de julio de 2021.
Las entidades obligadas a cumplir esta resolución incluyen:
- Empresas del sistema financiero supervisadas por la SBS
- Administradoras de Fondos de Pensiones (AFP)
- Banco de la Nación y Banco Agropecuario
- COFIDE y MIVIVIENDA
- Derramas y Cajas
El objetivo central es que estas organizaciones cuenten con mecanismos formales para proteger la información de sus clientes, detectar incidentes y responder de manera coordinada ante amenazas cibernéticas.
El Sistema de Gestión de Seguridad de la Información y Ciberseguridad (SGSI-C)
El núcleo de la Resolución SBS 504-2021 es la exigencia de implementar un SGSI-C. Este sistema no es un producto tecnológico sino un conjunto estructurado de elementos que la entidad debe instaurar y mantener:
- Políticas, procesos y procedimientos documentados que definan cómo se gestiona la seguridad de la información en toda la organización.
- Roles y responsabilidades claramente asignados: quién es responsable de qué aspecto de la seguridad y ante quién rinde cuentas.
- Identificación y protección de activos de información: inventario de datos críticos, sistemas y canales digitales, con controles proporcionales al nivel de riesgo de cada activo.
- Detección y respuesta a eventos de seguridad: mecanismos para monitorear el entorno, identificar anomalías y activar protocolos de respuesta ante incidentes.
Un SGSI-C maduro requiere que la institución no solo defina políticas en papel, sino que las opere de forma continua. Herramientas como la gestión de vulnerabilidades son parte central de ese proceso de monitoreo y respuesta.
Control de acceso a servicios digitales
La resolución establece controles específicos para la autenticación en canales digitales. Los métodos de acceso a servicios financieros por internet, aplicaciones móviles y otros canales deben ser robustos y seguros.
Esto implica que las entidades financieras peruanas deben superar modelos de autenticación débiles basados únicamente en usuario y contraseña, avanzando hacia mecanismos de autenticación multifactor y controles adaptativos que reduzcan el riesgo de fraude en línea.
La verificación periódica de la solidez de estos controles de acceso, mediante pruebas de penetración y evaluaciones de seguridad de aplicaciones, es una práctica recomendada para demostrar el cumplimiento ante la SBS.
Reporte obligatorio de incidentes
La SBS 504-2021 exige que las entidades notifiquen a la SBS cuando ocurra un incidente de ciberseguridad con alguna de las siguientes características:
- Impacto adverso significativo en la operación de la entidad o en sus clientes.
- Pérdida o robo de información de clientes o datos internos sensibles.
- Fraude interno o externo relacionado con sistemas de información.
- Impacto en imagen y reputación institucional.
- Interrupción de operaciones que afecte la disponibilidad de servicios financieros.
El reporte oportuno no es solo una obligación regulatoria: permite que la SBS tenga visibilidad del panorama de amenazas en el sistema financiero y coordine respuestas cuando los incidentes tienen alcance sistémico.
Referencias internacionales: NIST e ISO/IEC
La Resolución SBS 504-2021 no inventa sus controles en el vacío: se fundamenta explícitamente en dos marcos de referencia de amplio reconocimiento internacional.
El NIST Cybersecurity Framework estructura las capacidades de ciberseguridad en cinco funciones: Identificar, Proteger, Detectar, Responder y Recuperar. La familia de estándares ISO/IEC, especialmente ISO/IEC 27001, complementa ese enfoque con requisitos de gestión del sistema de seguridad de la información.
Las entidades que ya tienen certificación ISO/IEC 27001 o que alinean su programa con el NIST CSF tienen una ventaja significativa al momento de demostrar cumplimiento ante la SBS.
Panorama de amenazas en Perú 2024
El contexto regulatorio de la Resolución SBS 504-2021 se explica en parte por el crecimiento sostenido de los ciberdelitos en Perú. Las denuncias de incidentes pasaron de 8,674 en 2020 a más de 42,000 en 2024, un incremento de casi cinco veces en cuatro años.
El 70% de estos incidentes está asociado a fraude computacional y robo de identidad, lo que afecta directamente a los clientes del sistema financiero y explica por qué la SBS decidió reforzar las exigencias de ciberseguridad mediante una resolución de cumplimiento obligatorio.
Para las entidades que operan en Perú, ignorar la resolución no es solo un riesgo regulatorio: es un riesgo de negocio real, dado el volumen y sofisticación de los ataques dirigidos al sector financiero peruano.
¿Tu entidad necesita evaluar su cumplimiento con la SBS 504-2021? Conoce más sobre regulaciones de protección de datos en Perú en nuestro artículo Ley 29733 Perú: datos personales en empresas.