Los bancos asumen los ciberdelitos como una de sus “principales preocupaciones”

Mientras tanto, una encuesta reciente de Datasec y Grupo Radar expuso la vulnerabilidad del tejido empresarial local: más del 77% de las empresas uruguayas no tienen políticas formales de ciberseguridad y superan el 40% las que no capacitan a su personal en esta temática.

Itaú, por ejemplo, destina más de US$ 5 millones anuales exclusivamente a la prevención de fraudes y ciberseguridad. Fernando Barrán, ejecutivo de la entidad, reconoce que el panorama cambió radicalmente: “Hace dos años, los fraudes por transferencia eran marginales; hoy son una de nuestras principales preocupaciones”. El banco incorporó tecnologías biométricas, inteligencia artificial para detectar patrones de uso atípicos y validación de identidad, además de reforzar la capacidad de respuesta ante incidentes y ejecutar campañas permanentes de educación para clientes y empleados.

Una de las novedades es el rol de las redes sociales como vectores de ataque. “Instagram se consolidó como el principal canal de estafas digitales detectadas en 2025”, afirmó Barrán, quien a principios de siglo fue superintendente de Instituciones Financieras del Banco Central (BCU). Los delincuentes pueden crear sitios falsos idénticos a los reales en segundos y difundir promociones falsas a través de plataformas de mensajería. “La dinámica actual hace que la gente no se detenga a pensar, y eso genera condiciones ideales para el fraude”, agregó.

Desde Itaú también subrayan la importancia de una comunicación clara y eficiente durante los incidentes.

Lucero coincide sobre ese punto: “La ciberseguridad no es solo firewalls o IA. También es cómo te enterás internamente, cómo lo comunicás a los clientes y cómo notificás al regulador”. En Uruguay, la Ley 18.331 y el decreto 64 del 2020 obligan a informar a la Unidad Reguladora y de Control de Datos Personales los casos de vulneración. “No es una tarea menor: comunicar mal puede agravar el daño reputacional y generar confusión”, señaló.

En BBVA, el foco está en anticiparse: “No se trata de elegir entre velocidad y seguridad. Apostamos por una arquitectura donde la seguridad esté embebida desde el inicio”, explicó Pablo Rico, su responsable de seguridad informática. El banco adopta un enfoque de security by design y opera con equipos globales 24/7, protocolos automáticos de respuesta y una estrategia de ciberresiliencia integral. Frente al avance de la llamada “banca abierta” y el crecimiento del ecosistema fintech, Rico advierte que “la interconexión de plataformas y servicios multiplica los puntos de entrada, y eso exige controles dinámicos y actualizados constantemente”.

También destaca el marco de ciberseguridad impulsado por Agesic: “Es un aporte clave para fortalecer capacidades y trazar una hoja de ruta transversal. Pero sería deseable avanzar en esquemas de homologación de requisitos para terceros y reforzar el intercambio de información entre actores”.

Scotiabank, en tanto, complementa su infraestructura global con tecnologías locales como BioCatch, que evalúa en tiempo real más de 2.000 indicadores de comportamiento digital —inclinación del celular, velocidad al tipear, presión sobre la pantalla— para detectar anomalías. También aplica biometría facial con prueba de vida en el onboarding de nuevos clientes y algoritmos de IA para validar documentos. “Las amenazas emergentes impulsadas por IA nos obligan a combinar tecnología avanzada con educación continua para nuestros clientes”, afirmó su directora de seguridad informática, Mercedes Gatti.

Además de las herramientas tecnológicas, Scotiabank implementa campañas de concientización internas y externas, y participa en iniciativas coordinadas con otros bancos y con el BCU. “La educación del cliente es clave para enfrentar técnicas de ingeniería social cada vez más sofisticadas”, indicó esa ejecutiva.

Pablo López Gutiérrez, a cargo del área de seguridad digital de Santander, señaló que el 90% de los ciberataques se basan en ingeniería social, por lo que reforzar la educación al cliente sigue siendo clave. En ese banco, todos los servicios de terceros pasan por una certificación previa de ciberseguridad y se monitorean continuamente, dada la creciente complejidad de los ecosistemas digitales, indicó.

seguridad-informatica.jpg

Seguridad informática

Sin “cultura” de prevención

Si bien en general los bancos lideran en inversión y estrategias para mitigar riesgos, el ecosistema de ciberseguridad en Uruguay enfrenta desafíos estructurales. Ignacio Barone, especialista en ciberseguridad de la firma Hikvision, advierte que el país “exporta talento altamente calificado”, mientras que el mercado interno queda vulnerable. “Las empresas reaccionan solo después de sufrir un ataque; falta una cultura sólida de prevención”, lamentó.

Esta realidad también afecta a las propias entidades financieras, que dependen de tener personal especializado para mantener sus defensas. Además, según Lucero, la escasa disposición para compartir información —especialmente en sectores regulados— dificultan la construcción de una comunidad colaborativa. “No hay una cultura de cooperación establecida, lo que impide generar alertas tempranas y aprender de las experiencias de otros actores”, afirmó.

Uruguay cuenta con una Estrategia Nacional de Ciberseguridad 2024–2030, impulsada por la Agesic, cuyo objetivo es fortalecer las capacidades técnicas y fomentar la cooperación público-privada. Los bancos valoran este marco, aunque advierten que muchas empresas aún enfrentan dificultades para iniciar sus procesos de adaptación y mejora en materia de ciberseguridad. Por ello, participan activamente en iniciativas conjuntas con la Asociación de Bancos Privados, el BCU y otras instituciones clave del ecosistema.