!Ciberseguridad Fintech

Checklist de ciberseguridad para fintechs en escala 2025

Cuando la fintech de préstamos personales de Luciana alcanzó 100 mil usuarios activos y cerró una ronda Serie A, los inversores le pidieron algo que no esperaba: un informe completo de seguridad antes de liberar los fondos. Tenía un desarrollador que "se encargaba de seguridad" entre otras cosas, autenticación de dos factores configurada, y los servidores en AWS. Pensó que era suficiente. El auditor externo encontró en la primera semana: accesos privilegiados sin MFA, credenciales de producción en repositorios de GitHub, ausencia total de inventario de APIs expuestas, y runbooks de respuesta a incidentes desactualizados desde hacía dos años. "O arreglamos esto en 90 días o el dinero no entra", le dijeron. Así arrancó su proceso de transformación en seguridad.

Mientras las fintechs crecen en usuarios, transacciones diarias, y alianzas bancarias con instituciones tradicionales, la ciberseguridad se convierte en mucho más que una obligación regulatoria: es un diferenciador comercial real. Cumplir con las regulaciones del BCRA no es opcional, garantizar la continuidad operativa cuando los sistemas están bajo ataque es fundamental, y evitar incidentes de seguridad que erosionen la confianza de usuarios y partners implica combinar tecnología de punta, procesos bien documentados, y cultura de seguridad en toda la organización.

Este checklist compila los controles prioritarios para startups financieras argentinas que operan billeteras digitales, plataformas de préstamos, sistemas de adquirencia, o servicios de banca abierta. Está basado en proyectos de implementación de seguridad que hicimos durante el último año con fintechs en distintas etapas de madurez, desde seed hasta Serie B, todas enfrentando el mismo desafío: escalar rápido sin comprometer la seguridad ni quedarse afuera del sistema financiero formal por incumplimientos regulatorios.

Gobierno y estrategia: el punto de partida

Lo primero es definir un CISO o responsable formal de seguridad con reporte directo al CEO o COO, no enterrado tres niveles abajo en el organigrama de tecnología. Esta persona tiene que tener poder real de veto en decisiones que comprometan seguridad, incluso si eso significa retrasar un lanzamiento comercial. Las políticas formales escritas y aprobadas por el directorio incluyen seguridad de la información general, clasificación de datos según sensibilidad, uso aceptable de recursos tecnológicos, y gestión rigurosa de terceros con acceso a sistemas o datos.

El marco de referencia puede ser ISO 27001 para empresas que buscan certificación internacional, NIST Cybersecurity Framework si operan con partners norteamericanos, o CIS Controls adaptados a la realidad fintech que es más ágil. Lo importante es elegir uno y seguirlo consistentemente. El mapa de riesgos actualizado cada trimestre con valoración cualitativa de probabilidad e impacto, más cuantitativa en pesos para los riesgos críticos, permite priorizar inversiones en controles. Y el plan estratégico plurianual con OKRs de seguridad alineados al roadmap de producto asegura que seguridad no sea un departamento de prevención sino un habilitador de crecimiento seguro.

Cumplimiento regulatorio argentino y global

Para operar formalmente en Argentina, la Comunicación "A" 7724 del BCRA y las guías TIC posteriores son obligatorias: requieren planes formales de contingencia probados anualmente, controles de acceso con segregación de funciones, y auditorías periódicas externas. El estándar PCI DSS versión 4.0 es mandatorio para cualquier empresa que procese, almacene o transmita datos de tarjetas, con evaluaciones trimestrales y auditoría anual completa. La Ley 25.326 de protección de datos personales más las regulaciones de la Agencia de Acceso a la Información Pública obligan a tener registro de bases de datos, políticas de privacidad accesibles, y procesos de respuesta a solicitudes de titulares.

!Controles técnicos

La normativa de la Unidad de Información Financiera aplica si manejás prevención de lavado: tenés que tener oficial de cumplimiento designado, reportes de operaciones sospechosas, y sistemas de monitoreo automatizado. Y los contratos con bancos tradicionales incluyen cláusulas específicas: acuerdos de nivel de servicio en disponibilidad, reportes trimestrales de seguridad con métricas objetivas, y pruebas de penetración anuales ejecutadas por terceros aprobados.

Gestión de identidades y accesos: el control fundacional

El multi-factor authentication es obligatorio sin excepciones en absolutamente todos los accesos privilegiados: administradores de sistemas, desarrolladores con acceso a producción, personal de soporte que ve datos de clientes. La gestión centralizada usando Okta, Azure AD, o Keycloak open source permite aplicar políticas uniformes con grupos y roles bien definidos. El principio de menor privilegio significa que cada usuario tiene exactamente los permisos que necesita para su trabajo, nada más, con revisiones trimestrales formales donde se auditan y revocan permisos obsoletos.

La rotación automática de credenciales, llaves de API, y secrets usando herramientas como HashiCorp Vault, AWS Secrets Manager, o Google Secret Manager elimina credenciales estáticas que son vectores de ataque comunes. Y los accesos just-in-time para tareas críticas, donde el permiso se otorga por tiempo limitado y se revoca automáticamente, más registro completo de cada acción privilegiada en el SIEM para auditoría forense posterior, cierran el círculo de control de accesos.

Protección de datos: cifrado y segmentación

El cifrado en tránsito usando TLS 1.3 como mínimo entre todos los componentes, y cifrado en reposo con AES-256 para bases de datos, backups, y archivos, con llaves gestionadas centralmente por KMS de AWS o GCP, no es negociable. La tokenización de datos sensibles como números de tarjeta, documentos de identidad, y datos biométricos reduce dramáticamente la superficie de ataque: guardás tokens sin valor, los datos reales viven en un vault separado ultra protegido.

La segmentación de redes con VPCs separadas por ambiente (desarrollo, QA, producción) y reglas estrictas de firewall entre ellas previene que un incidente en desarrollo afecte producción. Las herramientas de Data Loss Prevention monitorean movimientos inusuales de datos, bloquean copy/paste desde consolas administrativas, y previenen uploads no autorizados de información sensible. Y los backups cifrados, replicados automáticamente en otra región geográfica, con pruebas mensuales de restauración completa documentadas, garantizan recuperación ante desastres.

Seguridad de aplicaciones: secure SDLC

El análisis estático de código usando herramientas SAST integradas en el pipeline de CI/CD bloquea builds que tengan vulnerabilidades críticas o high. El análisis dinámico con DAST prueba las aplicaciones corriendo para encontrar vulnerabilidades de runtime que el análisis estático no detecta. El threat modeling por cada feature crítica antes de desarrollarla identifica amenazas temprano cuando corregirlas es barato. El dependency management con escaneo automático de vulnerabilidades en librerías de terceros y generación de Software Bill of Materials actualizado permite responder rápido cuando se anuncia una vulnerabilidad nueva.

La protección en runtime usando Web Application Firewall, Runtime Application Self-Protection, o shields personalizados detecta y bloquea ataques en tiempo real. Y el testing continuo combina pentest externo semestral ejecutado por consultoras especializadas con programa de bug bounty donde investigadores de seguridad independientes reportan vulnerabilidades a cambio de recompensas económicas, generando incentivos para encontrar problemas antes que los atacantes.

Monitoreo, detección y respuesta: el nervio del sistema

La plataforma SIEM o SOAR centralizada usando Google Chronicle, Splunk, o Azure Sentinel con reglas específicas para detectar fraudes, anomalías en transacciones, y accesos sospechosos procesa millones de eventos diarios buscando patrones de ataque. El análisis de comportamiento con UEBA detecta cuando una cuenta privilegiada empieza a comportarse distinto a su patrón histórico, lo cual puede indicar compromiso. Los runbooks documentados para cada tipo de incidente (fraude transaccional, fuga de datos, ransomware, ataque DDoS) con responsables nominados y pasos específicos aceleran la respuesta cuando cada minuto cuenta.

El equipo de respuesta a incidentes con roles claros (coordinador técnico, enlace legal, comunicación interna y externa, atención al cliente) entrena regularmente con simulacros trimestrales y ejercicios de tabletop donde se simula un incidente y se valida que todos sepan qué hacer. Las métricas críticas incluyen Mean Time to Detect que mide cuánto tardás en detectar un incidente, y Mean Time to Respond que mide cuánto tardás en contenerlo y remediarlo.

!Plan de respuesta

Caso práctico: fintech de préstamos BNPL

El contexto era una fintech de Buy Now Pay Later con 1.5 millones de usuarios activos y acuerdos comerciales con bancos tradicionales que exigían auditorías. Los dolores detectados en el assessment inicial incluían accesos privilegiados sin MFA en varios sistemas legacy, falta de inventario completo y actualizado de APIs expuestas, y runbooks de respuesta a incidentes desactualizados desde la última auditoría hace dos años.

El plan ejecutado en 12 semanas intensivas arrancó con implementación de Okta como IDP central más MFA obligatorio para todos los accesos privilegiados sin excepciones. Se desplegó Chronicle como SIEM con reglas específicas para detectar fraude en transacciones y anomalías en IAM. Se contrató programa de pentesting continuo con consultora externa más bug bounty privado para investigadores de seguridad seleccionados. Y se actualizaron todos los runbooks con simulacros prácticos involucrando a todas las células y squads.

Los resultados fueron medibles: el Mean Time to Detect bajó de 140 minutos promedio a solo 25 minutos. El cumplimiento de PCI DSS y regulaciones BCRA fue auditado exitosamente sin observaciones críticas que bloqueen operaciones. Y la reducción del 32% en pérdidas por fraude gracias a las nuevas señales de detección temprana y respuesta automatizada generó ROI positivo en el primer trimestre post implementación.

Cultura y capacitación: el factor humano

El onboarding de nuevos empleados incluye entrenamiento específico en seguridad adaptado a cada rol: desarrolladores aprenden secure coding, personal de soporte aprende protección de datos de clientes, y ejecutivos comerciales aprenden qué pueden y no pueden prometer a clientes sobre seguridad. Las campañas de phishing simuladas cada dos meses con reportes individuales y capacitación remedial para quienes caen mantienen la guardia alta.

Los niveles avanzados para equipos técnicos cubren secure coding con ejemplos específicos del stack que usan, gestión segura de secrets en CI/CD, y threat modeling práctico. Los canales abiertos para reportar incidentes o sospechas sin represalias, con reconocimiento público para quienes detectan problemas temprano, crean cultura donde seguridad es responsabilidad de todos, no solo del equipo de seguridad.

Plan de implementación en 90 días

El sprint cero a dos semanas hace assessment completo, construye inventario detallado de activos y datos, implementa quick wins de IAM como MFA obligatorio, y configura baseline del SIEM con las reglas más críticas. De la semana tres a la seis se endurece la configuración cloud usando Infrastructure as Code con guardrails automáticos, se integra SAST y DAST en pipelines bloqueando vulnerabilidades críticas, y se establece gobernanza formal de datos con clasificación y políticas de retención.

De la semana siete a la diez se pone en producción el SIEM completo con playbooks de respuesta automatizados, se ejecutan pruebas de disaster recovery validando que los backups funcionan, y se lanza el bug bounty privado con investigadores seleccionados. Las últimas tres semanas, once a trece, se automatiza el reporting regulatorio para BCRA y PCI DSS, se ejecuta capacitación avanzada para todo el staff técnico, y se definen las métricas que se van a trackear mensualmente en el comité ejecutivo.

En Develop Argentina trabajamos con fintechs argentinas en todas las etapas de madurez para diseñar e implementar programas de seguridad que cumplan regulaciones sin frenar la innovación. Entendemos el balance entre velocidad de producto y controles necesarios, conocemos las particularidades del BCRA y PCI DSS, y tenemos experiencia implementando seguridad en startups que escalan rápido. Si necesitás validar tu postura de seguridad actual, prepararte para una auditoría BCRA, o acelerar el cumplimiento de PCI DSS, reservá una sesión estratégica y diseñamos un playbook personalizado con prioridades claras, presupuesto realista, y responsables nominados en menos de dos semanas.