Ciberseguridad y privacidad digital · Sector Financiero

Swift: cómo proteger una infraestructura clave del sector financiero

Sergio Gómez
Socio de Cybersecurity & Technology Risk de KPMG en España
Paul Martinez
Paúl Martínez
Senior manager de Cybersecurity & Technology Risk de KPMG España
12 julio, 2024
3 min

La delincuencia organizada tiene como objetivo atacar una infraestructura clave del sector financiero. Se trata de la red de mensajería interbancaria de la Sociedad para las Telecomunicaciones Financieras Interbancarias Mundiales, la conocida red de mensajería Swift, que tradicionalmente ha sido blanco prioritario de ciberataques sofisticados y dirigidos, y que en los últimos tiempos ha sufrido ataques exitosos que han causado un gran impacto. En respuesta a esta situación, Swift introdujo en el 2016 su Programa de Seguridad del Cliente (CSP), con el objetivo de mantener un nivel de madurez de ciberseguridad adecuado, reducir el riesgo de ciberataques y minimizar el impacto financiero de las transacciones fraudulentas.

¿Qué es el Swift Customer Security Program Framework (CSCF)?

Como parte del CSP, Swift desarrolló el Marco de Controles de Seguridad del Cliente (CSCF), un conjunto de directrices para que los usuarios de Swift pudiesen operar de manera segura su entorno Swift. Así, el CSCF se basa en 3 objetivos de control, que constituyen el nivel más alto de seguridad en el entorno del usuario, apoyados en 7 principios que profundizan en las áreas específicas de cada objetivo de control.

Ciber SWIFT

¿Qué es el proceso “Know Your Customer – Security Attestation” (KYC-SA)?

Desde su aparición, las instituciones financieras que utilizan la red Swift están obligadas, al menos una vez al año, a declarar su nivel de cumplimiento con los controles de seguridad obligatorios del CSCF vigente. Esta declaración debe realizarse para cada uno de los Bank Identifier Codes (BIC) bajo su responsabilidad, a través del proceso “Know Your Customer – Security Attestation”. Esta plataforma permite a las entidades financieras compartir información sobre sus medidas de seguridad y cumplimiento con Swift y otros miembros de la red, facilitando una mayor transparencia y colaboración en la lucha contra los ciberataques.

Las instituciones financieras que utilizan la red Swift están obligadas, al menos una vez al año, a declarar su nivel de cumplimiento con los controles de seguridad obligatorios del CSCF vigente

A partir de julio de cada año, Swift publica una nueva versión del CSCF, y sus usuarios pueden comenzar la implementación de los controles obligatorios y recomendados aplicables. A comienzos del año siguiente, el usuario puede empezar el proceso de evaluación independiente y su atestación KYC-SA puede ser enviada un año después de la publicación de la versión.

Ciber SWIFT
  • Julio 2024: CSCF v2025 es publicada y el usuario puede empezar la implementación de sus controles.
  • Desde Q1 2025: El proceso de evaluación independiente puede empezar (incluso antes de la ventana de atestación en julio).
  • Desde julio 2025: La atestación CSCF v2025 puede ser enviada en KYC-SA (la atestación es válida hasta el 31 de diciembre de 2026).
  • 1º de enero de 2026: La ausencia de atestación del CSCF v2025 o la falta de cumplimiento será reportada o expuesta.

¿Cómo garantizar que el KYC-SA sea Compliant?

Para que una atestación KYC-SA pueda ser considerada como Compliant, se deberá realizar una evaluación independiente por parte de un equipo interno (función de segunda o tercera línea de defensa), externo o mixto. Indiferente a quién lo realice, el equipo debe contar con experiencia reciente, en un plazo de no más de 2 años, sobre evaluaciones de Swift o similares (PCI DSS 4.0, ISO 27002, entre otras) y al menos una certificación relevante (PCI QSA, CISSP, CISA, CISM, entre otras). Solo para los usuarios que tengan un BIC de solo recepción, se podrá recurrir a un Self-Assessment por parte de la primera línea de defensa.

La versión 2025 del CSCF publicada el 1 de julio de 2024, el grupo de trabajo de Swift ha incluido cambios de alcance, aclaraciones de orientación, cambios, cambios estéticos y preguntas abiertas

Swift CSCF v2025: Resumen de las actualizaciones de este año

La versión 2025 del CSCF ha sido publicada el 1 de julio de 2024, en la cual el grupo de trabajo de Swift ha valorado, como en otros años, varias solicitudes de cambio, incluyendo cambios de alcance, aclaraciones de orientación, cambios estéticos y preguntas abiertas.

Tras haber ido subiendo el listón gradualmente a lo largo de los últimos años, Swift ha estabilizado las expectativas de seguridad con esta versión, al no hacer obligatorio ningún control recomendado o componente incluido en el ámbito de aplicación. La versión del 2025, al igual que la del 2024, contiene 32 controles de seguridad (25 obligatorios y 7 recomendados) adaptados a los tipos de arquitecturas.

Ciber SWIFT

Cambios graduales de cara a la versión del 2026

Control 2.4A: “Seguridad del flujo de datos del backoffice”. De recomendado a obligatorio

Para apoyar la promoción gradual del control 2.4A hasta 2026, se prevén varios cambios en este control para identificar claramente los próximos hitos:

  • Proteger los “servidores puente”, que son los protectores de los flujos entre la zona segura del usuario y los primeros saltos del back-office.
  • Proteger los nuevos flujos directos introducidos entre la zona segura del usuario y el primer salto del back-office (seguridad por diseño al basarse en tecnología actualizada).

Tentativamente en una versión posterior a la del 2026, se prevé proteger los flujos legacy entre la zona segura del usuario y los primeros saltos del back-office. Por ello, Swift recomienda preparar a la mayor brevedad posible un plan de priorización de los flujos identificados entre la zona segura del usuario y los primeros saltos de back office en función de su postura de seguridad y un enfoque basado en el riesgo.

Alineación progresiva del alcance para todos los tipos de endpoints del cliente

Para alinear las expectativas de todos los usuarios a los flujos Swift, todos los endpoints del usuario que se conecten indirectamente a Swift, es decir, a través de un proveedor de servicios, se considerarán gradualmente como un “conector de cliente”, independientemente de la naturaleza del endpoint. Y, a partir de la versión del 2026, este cambio puede obligar a algunos usuarios que anteriormente certificaban como arquitectura de tipo B, a certificar como arquitectura de tipo A4 cuando utilicen un conector de cliente.

Somos proveedores homologados y podemos ayudarte
¿Quieres saber cómo?

Cambios menores sobre los controles

  • Controles 1.1 y 1.5: Se han alineado con el alcance de los controles de seguridad en lo que respecta al alojamiento conjunto de componentes.
  • Control 1.3: Se recomienda a la arquitectura de tipo B cuando se utilicen escritorios virtuales.
  • Controles 2.1, 2.4, 2.5 y 2.6: Recuerdan que los flujos pueden abarcar múltiples entornos locales o remotos (como en la nube) o una combinación de ellos.
  • Control 2.7: Recuerda que cubre la detección a nivel de sistema operativo y de aplicación y para actuar sobre los resultados reportados.
  • Control 2.8: Tiene una redacción adicional para delimitar adecuadamente las actividades subcontratadas y cuándo se puede recurrir al programa de proveedores de conectividad Swift.
  • Control 7.1: Proporciona orientación cuando se consideran escenarios extremos.

Recomendaciones para los usuarios de Swift

Con todo ello, aunque los usuarios de Swift afectados por los cambios de la versión del 2025 tienen un margen considerable para empezar con sus adecuaciones, es importante que tengan claro las implicaciones y, por tanto, que tracen un plan basado en riesgo que les permita estar preparados para evaluaciones independientes estándares o exigidas por Swift a futuro.

En este sentido, contar con un Swift CSP Assessment Provider que cumple regularmente con estrictos criterios de elegibilidad, incluyendo experiencia, certificaciones externas relevantes, formación y certificación específicas de Swift es imprescindible para poder anticiparse y estar preparado con la seguridad de que se cumple con todos los requisitos establecidos. Solo así se podrá blindar esta estructura y maximizar el nivel de protección ante potenciales ataques y atacantes.

Artículos relacionados