En el sector financiero hablamos mucho de ciberataques, nuevas tecnologías y regulaciones, pero a veces dejamos de lado una pregunta incómoda: ¿qué información que estamos generando hoy puede hacer daño si se expone dentro de 5, 10 o 20 años? No todos los datos tienen la misma “vida útil” ni el mismo impacto en el tiempo, y sin embargo solemos tratarlos como si fueran iguales.
Es fácil pensar en seguridad desde la perspectiva de “lo que pasa esta semana”: un fraude puntual, una caída de canal, un incidente que ocupa titulares por unos días. Pero la realidad es que buena parte de la riqueza informacional del sistema financiero está diseñada para durar.
El problema de fondo es que muchas organizaciones clasifican la información en función del sistema donde vive, y no del daño potencial que podría causar su exposición en distintos horizontes de tiempo. Hablamos del core, del CRM, de la app móvil, del sistema de siniestros, pero no siempre nos preguntamos qué pasaría si alguien pudiera consultar o manipular determinados datos una década después.
Cuando miramos la ciberresiliencia desde la perspectiva de la computación cuántica y de la evolución de la criptografía, esa pregunta deja de ser teórica y pasa a ser estratégica: lo que ciframos hoy con ciertas tecnologías podría no ser suficiente para proteger información que debe seguir confidencial e íntegra en el futuro.
Si pensamos con calma, hay categorías de datos que claramente no envejecen en términos de sensibilidad. Los historiales de transacciones, por ejemplo, dicen mucho más que un saldo puntual: revelan patrones de consumo, relaciones comerciales, momentos de vulnerabilidad económica. Los registros de crédito y morosidad pueden influir durante años en las decisiones sobre una persona o una empresa. Los expedientes de reclamaciones y siniestros en seguros contienen detalles íntimos de la vida de las personas, desde su salud hasta su situación familiar.
También están los datos personales que se entregan al sistema financiero con un alto nivel de confianza: documentos, información laboral y patrimonial, datos de contacto, referencias. A esto se suman los archivos de pago y compensación que respaldan operaciones críticas, así como los registros que se envían a los reguladores y que deben mantenerse íntegros durante largos periodos. Son piezas que, aun cuando ya no están en la pantalla del día a día, siguen existiendo en algún repositorio, respaldo o archivo histórico.
Cuando incorporamos al análisis la posibilidad de que, en algún momento, las capacidades de cómputo permitan romper con más facilidad ciertos esquemas de cifrado actuales, la pregunta se vuelve más concreta: ¿en qué medida estamos confiando la protección de estos datos de largo plazo a tecnologías que sabemos que tendrán que evolucionar? No se trata de caer en alarmismos, sino de reconocer que la seguridad de la información en el sector financiero no es solo un asunto del presente, sino también una deuda con el futuro.
Esto lleva a un cambio de enfoque. Antes de discutir qué algoritmo criptográfico adoptar o en qué momento hacer una transición tecnológica, conviene detenerse a responder algo más básico: ¿cuáles son los datos que bajo ninguna circunstancia podemos darnos el lujo de ver expuestos o alterados, no sólo ahora, sino dentro de muchos años?
A partir de ahí, la conversación se puede volver más práctica. En lugar de hablar de “todo el sistema”, podemos priorizar. ¿Dónde se almacenan hoy esos datos de largo plazo? ¿En qué flujos viajan entre entidades, aliados y proveedores? ¿Cómo se protegen actualmente, más allá de lo que dicen los diagramas de arquitectura? ¿Qué proyectos nuevos, que se están aprobando ahora, podrían nacer con criterios más exigentes de protección precisamente para ese tipo de información?
Ver la protección de datos desde esta óptica también ayuda a alinear mejor las áreas de negocio, riesgo, tecnología y cumplimiento. Cuando se habla en abstracto de “seguridad” o “computación cuántica”, es fácil que algunos lo vean como un tema puramente técnico. En cambio, cuando se pone sobre la mesa el impacto real de una posible exposición futura de historiales financieros, expedientes de siniestros o datos de clientes, la discusión se vuelve claramente de negocio, reputación y confianza.
La conversación sobre nuevos modelos criptográficos y sobre la llegada de la computación cuántica al mundo real no debería empezar en el laboratorio, sino en esta pregunta sencilla, pero incómoda: ¿qué información nos han confiado hoy nuestros clientes y contrapartes que todavía tendremos que proteger, con el mismo cuidado, cuando el mundo tecnológico sea muy distinto al actual? La respuesta, para el sistema financiero, no puede ser improvisada.
Por Patricia Gutiérrez, CMO de Cyte - The PostQ Company