Nuevos estándares de ciberseguridad y externalización en el sistema financiero brasileño
El Banco Central de Brasil (BCB) publicó el pasado 18 de diciembre de 2025 la Resolución BCB nº 538, introduciendo un marco normativo más exigente en materia de ciberseguridad y en la contratación de servicios de procesamiento y almacenamiento de datos.
La norma representa un cambio significativo en el enfoque regulatorio ya que se avanza hacia un esquema con requisitos técnicos específicos, verificables y auditables, en línea con las mejores prácticas internacionales.
La Resolución nº 538 introduce un cambio relevante al establecer criterios mínimos obligatorios, reduciendo la interpretación subjetiva y elevando el nivel de exigencia regulatoria. Este enfoque facilita la supervisión por parte del regulador y promueve una mayor homogeneidad en los estándares de seguridad del sistema.
Uno de los aspectos centrales de la norma es la definición de un conjunto mínimo de 14 controles obligatorios que deben integrarse en la política de ciberseguridad de las instituciones financieras.
Estos controles refuerzan aspectos clave como:
La exigencia de estos controles marca un avance hacia modelos más estructurados, comparables a marcos como NIST o ISO 27001, aunque con especificidad regulatoria local.
La resolución introduce la obligación de implementar mecanismos de trazabilidad end-to-end en transacciones y operaciones.
Desde una perspectiva técnica y operativa, esto implica:
Este requisito no solo fortalece la detección de incidentes, sino que también mejora la capacidad de respuesta.
En relación con la contratación de servicios de procesamiento y almacenamiento de datos —especialmente en entornos cloud—, la resolución establece condiciones más estrictas para la gestión de terceros.
Entre los aspectos más relevantes destacan:
La necesidad de evaluaciones de riesgo previas a la contratación
La exigencia de garantías contractuales en materia de seguridad y disponibilidad
La obligación de mantener visibilidad, control y capacidad de supervisión sobre los servicios externalizados
Este enfoque responde al creciente peso de los proveedores tecnológicos en la cadena de valor del sistema financiero.
La implementación de la Resolución BCB nº 538 implica un impacto directo en los modelos operativos y de gobernanza de las instituciones financieras, incluyendo:
Para muchas organizaciones, especialmente aquellas con arquitecturas complejas o altamente distribuidas, el principal reto será operativizar los requisitos técnicos de forma consistente y escalable.
El carácter técnico y auditable de la resolución pone de manifiesto que el cumplimiento ya no puede abordarse únicamente desde una perspectiva documental o de gobernanza, sino que requiere capacidades tecnológicas específicas.
En este contexto, soluciones especializadas como las desarrolladas por BOTECH permiten a las entidades:
Este tipo de capacidades resultan clave para transformar el cumplimiento normativo en un proceso operativo, automatizado y sostenible en el tiempo.
La resolución se enmarca en una estrategia más amplia del Banco Central de Brasil orientada a fortalecer la resiliencia operativa y la estabilidad del sistema financiero.
El aumento de la superficie de ataque, la digitalización acelerada y la dependencia de terceros hacen necesario un marco regulatorio más preciso y exigente. En este contexto, la Resolución nº 538 contribuye a elevar el nivel de preparación del sector frente a riesgos cibernéticos y operativos. Al introducir controles mínimos obligatorios, reforzar la trazabilidad y endurecer los requisitos sobre terceros, el regulador establece un nuevo estándar para las instituciones financieras.
En este nuevo escenario, la combinación de gobernanza, procesos y tecnología será determinante para alcanzar un cumplimiento efectivo y sostenible.