Investigación · INV-06

Resiliencia cibernética en el sector financiero: solo el 22 % de las entidades pasa una prueba de estrés de ransomware

Fernando Arrieta·11 de diciembre de 2025

ResilienciaSector FinancieroRansomwareStress Test

Resumen

Sobre esta investigación

La simulación de ataque de ransomware (stress test de ciber-resiliencia) realizada en 18 entidades financieras medianas (Fintechs, Billeteras Digitales y Bancos de nicho) en Argentina, Brasil y Colombia demostró que solo el 22 % logró recuperar sus servicios críticos en menos de 4 horas sin pérdida de datos transaccionales. El 78 % restante falló en al menos uno de los criterios de éxito: el 45 % tuvo backups inmutables que resultaron estar comprometidos o inaccesibles durante la simulación; el 33 % no logró restaurar el core bancario en el tiempo objetivo de recuperación (RTO) definido en su BIA; y el 50 % carecía de procedimientos de comunicación de crisis efectivos, lo que derivó en filtración de la noticia antes de la contención. El análisis post-mortem reveló que la dependencia de proveedores de TI externos para la respuesta a incidentes es el factor de falla más crítico: las entidades que gestionaron la respuesta con equipo interno tuvieron una tasa de éxito del 60 %, frente al 10 % de las que dependían totalmente de terceros. Se desarrolló un marco de pruebas de estrés de resiliencia específico para el sector financiero regional.

Hallazgos clave

Qué encontró la investigación

Preguntas centrales respondidas con datos verificables del estudio.

¿Cuántas entidades pasan el stress test?

Solo el 22 % recupera en <4 horas y sin pérdida de datos.

¿Cuál es la falla más común?

Contención y comunicación (50 %), backups comprometidos (45 %), fallo en restauración de core en RTO (33 %).

¿Qué factor influye más en el éxito?

La capacidad interna de respuesta. 60 % de éxito con equipo interno vs. 10 % con dependencia externa.

Metodología

Cómo se realizó la investigación

Pasos ejecutados, fuentes consultadas y evidencia recopilada durante el estudio.

Marco normativo y teórico: DORA (Digital Operational Resilience Act - principios); ISO 22301:2019 (Continuidad de Negocio); NIST SP 800-160 Vol 2 (Cyber Resilient Systems); Normativas locales (BCRA A7724, CMF 454, SFC 007).

01Simulación de ataque de ransomware (tabletop + técnico) en 18 entidades financieras

02Prueba de restauración de backups inmutables bajo presión (tiempo límite)

03Evaluación del proceso de toma de decisiones y comunicación en crisis

04Medición de tiempos reales de recuperación (RTO real vs. RTO teórico)

Entregables

Entregables disponibles

Documentos con los resultados completos de esta investigación, adaptables al contexto de cada organización.

Informe Resiliencia Financiera LATAM — resultados de 18 pruebas de estrés

Framework de Stress Test de Ciber-resiliencia para sector financiero

Descargar Material de Auditoría

Solicite el envío del paquete metodológico completo asociado a la investigación [INV-06]. Uso exclusivo institucional.

Tratamiento de datos confidencial según ISO/IEC 27001

Investigaciones relacionadas

Estudios complementarios

Investigaciones que amplían o contrastan los hallazgos de este estudio.

Ciberseguridad en entornos industriales (OT): el 82 % de las redes críticas carece de segmentación efectivaINV-04 Shadow AI en LATAM: el 73 % de las organizaciones certificadas opera IA sin controlINV-01 Ciberseguridad FinancieraSistema Continuidad del NegocioSistema Auditoría de IASistema Gobernanza de IASistema Seguridad de la informaciónSistema

Difusión

Compartir investigación

Ayude a circular evidencia verificable.

Compartir en LinkedIn Compartir en X Compartir por email

¿Esta investigación aplica a su organización?

Si la consulta es institucional y tiene contexto, podemos orientar sobre los próximos pasos.

Agendar evaluación Ver todas las investigaciones

Cargando

Preparando la información solicitada…