Los bancos atraviesan un campo minado digital cada vez más complejo. Según un informe de AInvest, las brechas de seguridad vinculadas a terceros en el sector financiero se han duplicado desde 2023. El impacto económico es enorme: el coste medio por ataque ronda los 4,8 millones de dólares, y los incidentes internos elevan esa cifra hasta los 17,4 millones por organización.
Los inversores ya no observan solo los balances o la rentabilidad por acción, sino también la madurez en ciberseguridad. Una vulnerabilidad puede hundir la confianza en una entidad tan rápido como un mal trimestre financiero.
El caso Santander: un aviso para todos
La magnitud del problema se refleja en episodios recientes como el ataque que sufrió Santander en 2025, cuando se filtraron datos de 30 millones de clientes en España, Uruguay y Chile, además de empleados del grupo.
Aunque la entidad aseguró que no se vieron comprometidos los datos de acceso a las cuentas ni las credenciales de banca online, el golpe reputacional fue inmediato. Antes incluso de recibir sanciones, su cotización sufrió. La multa de 50.000 euros de la AEPD por incumplir el GDPR solo reforzó el mensaje: la ciberseguridad ya es también un problema regulatorio.
El Fondo Monetario Internacional advierte de que la escala y sofisticación de los ciberataques contra el sistema financiero son ya lo bastante graves como para amenazar la estabilidad económica global.
El coste agregado tras un ataque —entre indemnizaciones, multas y pérdida de reputación— ya asciende a 2.500 millones de dólares a nivel mundial. Y lo peor es el tiempo que lleva reaccionar: los expertos calculan que confinar una intrusión puede tardar hasta 80 días.
Reguladores más estrictos y nuevas exigencias
La presión política y regulatoria también se intensifica. La UE ha aprobado el DORA (Digital Operational Resilience Act), mientras que en Reino Unido se avanza con una Cyber Resilience Bill. Ambos textos elevan los estándares para proveedores externos y la continuidad digital de los bancos.
En Asia, el Banco de la Reserva de India exige defensas “conscientes de la IA” dentro de un marco de confianza cero, alertando sobre los riesgos de dependencia tecnológica de pocos proveedores.
La conclusión es clara: la ciberseguridad ha dejado de ser un asunto técnico y se ha convertido en un tema de estrategia de negocio en la alta dirección.
Incluso con inversiones millonarias, los fallos persisten. En Reino Unido, HSBC, Santander y Barclays siguen acumulando decenas de caídas de servicio cada año. Solo Barclays notificó 33 interrupciones entre 2023 y 2025.
Mientras tanto, el factor humano sigue siendo el talón de Aquiles: un 45% de empleados de grandes instituciones financieras todavía es vulnerable a correos de phishing, según los últimos estudios.
Lo que miran ahora los inversores
Los fondos de inversión y los pequeños accionistas empiezan a valorar a los bancos según criterios como:
- Arquitecturas de confianza cero: todo usuario, dispositivo o aplicación debe verificarse.
- Detección basada en IA de anomalías en tiempo real.
- Auditorías trimestrales de proveedores de ciberseguridad.
- Entrenamiento de empleados como primera línea de defensa.
- Ejercicios de simulación de ciberataques organizados por el sector y los reguladores.
Las entidades que cumplen con estos requisitos generan mucha más confianza en los mercados y se perciben como apuestas seguras frente a un futuro plagado de riesgos digitales.
El futuro de la banca pasa por asumir que la ciberseguridad es un activo estratégico y no un coste. Los bancos que integren la defensa digital en el corazón de su modelo de negocio podrán diferenciarse y ganar terreno frente a aquellos que sigan viéndola como una obligación.
En un mundo con amenazas impulsadas por IA y, pronto, por la computación cuántica, el verdadero valor de una entidad financiera no se medirá solo en balances, sino en la fortaleza de sus defensas invisibles.
Este artículo ha sido traducido de Gizmodo US por Romina Fabbretti. Aquí podrás encontrar la versión original.
