La masiva transformación digital del sistema financiero mundial y la demanda de transacciones ubicuas por parte de los clientes convierten a las instituciones financieras en objetivos prioritarios de los ciberataques. El abanico de riesgos y amenazas cibernéticas es muy amplio, pero las aplicaciones de banca móvil y los pagos que ahora se utilizan de forma generalizada son un objetivo que crece con especial rapidez. La información personal sensible que se maneja a través de los dispositivos móviles aumenta enormemente el riesgo de ataques a puntos finales. 

Así, las instituciones financieras se enfrentan ahora a una creciente lista de normas de ciberseguridad y privacidad de datos diseñadas para proteger la información y los activos de los clientes. Por ejemplo, a partir de mayo de 2022, el Sistema de la Reserva Federal de Estados Unidos exige que las instituciones financieras comuniquen los incidentes cibernéticos a los reguladores en un plazo de 36 horas desde que se produzca un incidente si este puede afectar al sistema bancario estadounidense. El Departamento de Servicios Financieros del Estado de Nueva York ha publicado su Reglamento de Ciberseguridad NYDFS (23 NYCRR 500), que exige que a las instituciones de servicios financieros, incluidas las agencias y sucursales de bancos no estadounidenses autorizadas en el estado de Nueva York, que evalúen su perfil de riesgo en materia de ciberseguridad.

Verimatrix Defensa Extendida contra Amenazas (XTD), App Shield, Code Shieldy Key Shield ayudan a las organizaciones de servicios bancarios y financieros a cumplir con la amplia gama de normativas, aprovechando los principales marcos y normas del sector que guían las mejores prácticas de protección de datos. La siguiente es una lista de las principales normativas de ciberseguridad de Estados Unidos y Europa que son particularmente relevantes para las instituciones bancarias y financieras y cómo Verimatrix puede ayudar a apoyar esos esfuerzos:

Reglamento General de Protección de Datos (RGPD) - UE y algunas entidades no pertenecientes a la UE

En Reglamento general de protección de datos, que se aplica a las entidades de la UE, así como a las entidades no pertenecientes a la UE que procesan los datos de los ciudadanos de la UE, es considerada por muchos como la ley de privacidad y seguridad más estricta del mundo. Promulgado en mayo de 2018, se aplica a cualquier organización que se dirija o recopile datos sobre ciudadanos de la UE y establece protecciones específicas para el tratamiento de esos datos.

La ley fue, en gran parte, una respuesta al creciente número de personas que facilitan sus datos personales a proveedores de servicios en la nube. De especial relevancia para las aplicaciones móviles es el artículo 25: Protección de datos desde el diseño y por defectosegún el cual los responsables del tratamiento y los encargados del tratamiento deben tener en cuenta la privacidad a la hora de diseñar nuevas aplicaciones, sistemas o procesos que utilicen datos personales. También, el artículo 32: Seguridad del tratamientoque obliga a los desarrolladores de aplicaciones, responsables del tratamiento y encargados del tratamiento a aplicar las medidas organizativas y técnicas necesarias y suficientes para garantizar la integridad del tratamiento de los datos y desplegar un nivel de seguridad adecuado al riesgo de violación, pérdida, destrucción ilícita o modificación de los datos.

Ley de protección de datos de 2018 (DPA) - Reino Unido

El sitio Ley de Protección de Datos (DPA) regula el tratamiento de los datos personales de los ciudadanos del Reino Unido. Destinada a controlar la forma en que los datos personales son utilizados por organizaciones, empresas o el gobierno, establece principios de protección de datos que exigen que los datos personales sean sólo se utilicen para fines específicos y explícitos, de forma adecuada, pertinente y limitada a lo estrictamente necesario, exacto y actual, y se traten de forma que se garantice una seguridad apropiada.

La DPA obliga a las organizaciones a informar a los clientes sobre sus prácticas de tratamiento de datos y a proporcionarles un modo de acceder a sus datos y eliminarlos. También establece requisitos para gestionar las violaciones de datos, impedir el acceso no autorizado y garantizar la eliminación segura de los datos.

Ley de Ciberseguridad de la UE - UE

La Ley de Ciberseguridad de la UE impone obligaciones de ciberseguridad a todos los productos con elementos digitales cuyo uso incluya conexiones de datos directas o indirectas a un dispositivo o red. Proporciona un marco de certificación de la ciberseguridad en toda la UE para los productos, servicios y procesos de las tecnologías de la información y la comunicación (TIC), en lugar de dejar un mosaico de normativas diferentes en los distintos países miembros.

Introduce principios de ciberseguridad desde el diseño y por defecto e impone un deber de diligencia para el ciclo de vida de los productos. La Ley también otorga un mandato permanente y mayores recursos a la Agencia de Ciberseguridad de la Unión Europea ( (ENISA).

Ley Gramm Leach Bliley - Estados Unidos

Publicada por la Comisión Federal de Comercio de EE.UU., la Ley Gramm Leach Bliley es una ley de protección del consumidor promulgada para garantizar que las instituciones financieras protejan la privacidad de la información financiera personal de los consumidores. Regula la recopilación, el uso y la divulgación de esa información. Por ejemplo, incluye el suministro eficaz de información y servicios de naturaleza financiera mediante el uso de medios tecnológicos, incluida cualquier aplicación necesaria para proteger la seguridad o la eficacia de los sistemas de transmisión de datos.

Directiva sobre redes y sistemas de información 2 (NIS2) - UE

Ampliación del ámbito de aplicación de la Directiva original sobre redes y sistemas de información, NIS2cuya entrada en vigor está prevista para noviembre de 2024, es la primera legislación sobre ciberseguridad a escala de la UE. Su objetivo es mejorar la ciberseguridad y la resistencia de las organizaciones europeas mediante la mejora de las prácticas de gestión de riesgos de ciberseguridad en toda la UE.

Establece que las entidades deben adoptar medidas técnicas, operativas y organizativas adecuadas y proporcionadas para gestionar los riesgos que se plantean para la seguridad de las redes y sistemas de información que dichas entidades utilizan para sus operaciones o para la prestación de sus servicios, y para prevenir o minimizar el impacto de los incidentes en los destinatarios de sus servicios y en otros servicios.

Directiva sobre servicios de pago 2 (PSD2) - UE

En Directiva sobre Servicios de Pago 2 (PSD2) exige a los proveedores de servicios de pago que contribuyan a un ecosistema de pagos más integrado, seguro y eficiente. Además de la primera Directiva de Servicios de Pago, la PSD2 impone requisitos de seguridad más estrictos para las transacciones en línea mediante la autenticación multifactor. También obliga a los bancos y otras instituciones financieras a dar a los proveedores de servicios de pago de terceros acceso a las cuentas bancarias de los consumidores si el titular de la cuenta ha dado su consentimiento.

Para las aplicaciones de banca móvil, los requisitos de seguridad de la PSD2 exigen protección contra ataques conocidos y desconocidos a las aplicaciones móviles. Los requisitos de las aplicaciones móviles se rigen especialmente por el artículo 9 de las Normas Técnicas de Reglamentación (NTR) finales de la DSP2 sobre autenticación fuerte de clientes (SCA) y comunicación común y segura (CSC).

Verimatrix XTD proporciona protección pasiva a través de la monitorización continua de datos e integra IA/ML que evoluciona para identificar ataques futuros y desconocidos contra aplicaciones móviles. Además, Verimatrix proporciona autenticación fuerte de clientes (SCA) y comunicación común y segura (CSC), al tiempo que ofrece protección frente a ataques de intermediario (MITM).

Ley de Ciberresiliencia (CRA) - UE

(Legislación pendiente desde finales de 2023)

El 3 de diciembre de 2023, el Parlamento Europeo y el Consejo de la UE llegaron a un acuerdo para sacar adelante la Ley de Ciberresiliencia (CRA). Ahora sujeta a la adopción formal por los mismos órganos, la CRA entraría en vigor 20 días después de su entrada en el Diario Oficial de la Unión Europea.

La intención de la CRA es establecer normas de seguridad comunes para los dispositivos y servicios conectados, lo que la convertiría en la primera legislación sobre IoT de todo el mundo. El objetivo de la Ley es reforzar las normas de ciberseguridad para garantizar productos de hardware y software más seguros, que cada vez están más expuestos a ciberataques. Esto incluye una amplia gama de dispositivos móviles y de IoT, muchos de los cuales ejecutan aplicaciones para hacerlos útiles. 

La CRA pretende superar un bajo nivel de ciberseguridad, reflejado en vulnerabilidades generalizadas y en el suministro insuficiente e incoherente de actualizaciones de seguridad para abordarlas; y una comprensión y acceso insuficientes a la información por parte de los usuarios, lo que les impide elegir productos con propiedades de ciberseguridad adecuadas o utilizarlos de forma segura. 

Verimatrix proporciona seguridad de aplicaciones móviles y ciberseguridad para dispositivos conectados (normalmente dispositivos de empleados gestionados), al tiempo que defiende a la empresa frente a una miríada de dispositivos no gestionados alimentados por esas aplicaciones. Y ahora, Verimatrix XTD (Extended Threat Defense) amplía estas defensas al nuevo endpoint no gestionado, defendiéndolo de los ataques impidiendo que las aplicaciones se conviertan en armas. XTD habilita capacidades de configuración que sólo permiten la conexión de aplicaciones con una puntuación de bajo riesgo XTD, añadiendo un segundo factor independiente de seguridad.

Normativa estadounidense sobre privacidad de datos

En Estados Unidos no existe una ley nacional de protección de datos. Sin embargo, varios estados individuales han aprobado sus propias normativas que imponen obligaciones de privacidad a las entidades que manejan los datos de los residentes de cada estado. A continuación figura una lista de las normativas estatales vigentes:


Dados los riesgos asociados al uso generalizado de aplicaciones móviles que ahora forman parte integrante de los modelos de prestación de servicios y de negocio de las entidades financieras, estas organizaciones necesitan soluciones fiables y resistentes, pero sencillas de adoptar, que alivien la carga que supone el cumplimiento de la normativa para que puedan centrarse en las preocupaciones empresariales prioritarias.

Protección contra ataques de intermediario (MITM)

Las tecnologías de blindaje de aplicaciones y el servicio de supervisión continua de Verimatrix ayudan a salvaguardar la información y a reducir el riesgo de infracción, en particular los ataques de intermediario (MITM). Los dispositivos son un vector de ataque vulnerable porque se comunican con los servidores backend, dejando la operación potencialmente expuesta a ataques "man-in-the-middle". Proteger la comunicación cliente-dispositivo es clave para salvaguardar datos valiosos.

Los ataques de intermediario se producen cuando los piratas informáticos se interponen en medio de la comunicación. Con estos ataques, un cliente supone que está interactuando directamente con el componente/servicio previsto, pero el atacante "en el medio" está escuchando a escondidas o cambiando la información en su beneficio. 

Para una aplicación de banca móvil, el cifrado de las comunicaciones es una combinación de la seguridad de la capa de transporte (TLS) estándar del sector y la seguridad de la capa de aplicación hecha a medida. Analizando la aplicación, un atacante puede aplicar ingeniería inversa al protocolo y encontrar las claves criptográficas utilizadas para protegerla. El protocolo de comunicación es fundamental para cualquier SMF. Si un atacante entiende cómo funciona el protocolo de comunicación, puede descubrir y explotar sus vulnerabilidades. El servicio de blindaje y monitorización de Verimatrix, así como sus tecnologías anti-debug, anti-tamper y anti-hook, reducen significativamente la posibilidad de este tipo de ataques.

Verimatrix proporciona seguridad integral mediante soluciones multicapa que ofrecen:

  • Ofuscación de código, anti sabotaje y ingeniería inversa escudos para dificultar y hacer poco atractivo el pirateo de una aplicación
  • Análisis del comportamiento de las aplicaciones en tiempo de ejecución para detectar actividades anómalas
  • Modelos de aprendizaje automático para identificar patrones de amenazas conocidas y de día cero


Además, la supervisión continua de las amenazas a las aplicaciones es un componente vital de la protección, que permite a una institución financiera obtener información importante y desplegar contramedidas de forma eficaz. La supervisión de amenazas de Verimatrix incluye:

  • Análisis en tiempo real de las tiendas de aplicaciones para identificar aplicaciones reempaquetadas o troyanizadas.
  • Supervisión de las cuentas de los desarrolladores para detectar modificaciones no autorizadas
  • Seguimiento de los foros de la web oscura en busca de nuevas herramientas y métodos de ataque
  • Mantenimiento de bases de datos de direcciones IP, dominios e identificadores de dispositivos maliciosos conocidos.
  • Identificación de patrones anómalos indicativos de una infracción


Esto permite a los equipos de seguridad reconocer actividades amenazantes, dispositivos comprometidos y usuarios de alto riesgo antes de que se produzcan daños mayores. Los análisis de la supervisión de amenazas también refuerzan los modelos de aprendizaje automático para anticiparse mejor a futuros ataques. Haga clic aquí para programar una demostración con Verimatrix.