Cuando el banco no es el problema: ¿Qué causo las fallas de ciberseguridad de Nubank y Falabella?

Cuando el banco no es el problema: ¿Cuáles fueron las principales razones de las incidencias de ciberseguridad de Nubank y Falabella?

Imagina que tu casa tiene la mejor seguridad del mundo:
puertas blindadas, cámaras, alarmas inteligentes… ¡todo!

Pero un día, alguien entra.

No forzó la puerta.
No hackeó la alarma.

Simplemente tenía una copia de la llave… que le diste a otra persona.

Eso, exactamente eso, es lo que está pasando hoy en el sector financiero en Colombia.

Un nuevo tipo de crisis: no viene desde adentro 

Recientemente, tanto el caso de Nubank Colombia como el incidente relacionado con Banco Falabella han puesto sobre la mesa una realidad incómoda: los ataques ya no buscan entrar directamente al banco… buscan entrar por sus proveedores.

En el caso de Nubank se habrían expuesto más de 30.000 registros, pero la filtración no ocurrió en sus sistemas, sino en un proveedor externo de cobranza. Y aunque el banco fue claro en que no se comprometieron contraseñas ni productos de ahorro, eso no significa que el riesgo sea menor.

¿Qué se filtró realmente (y por qué sí es grave)? 

Pensemos en esto con una analogía sencilla:

Si roban la llave de tu casa, es grave.
Pero si roban tu rutina diaria, tus horarios y tus hábitos… es aún peor.

La información expuesta incluye datos que, aunque no permiten acceso directo a cuentas, sí revelan una radiografía financiera del cliente: identificación, contacto, capacidad de endeudamiento, comportamiento de pago e incluso cómo interactúa con procesos de cobranza.

Un atacante no necesita tu contraseña si sabe que debes dinero, cuánto debes y cuándo suelen contactarte. Con ese contexto, una simple llamada puede parecer completamente legítima. “Te llamo de cobranza, tienes un acuerdo pendiente”. Y ahí es donde empieza el verdadero riesgo.

El verdadero problema: el “tercerizado invisible” 

Aquí entra un concepto clave: el riesgo de terceros.

Hoy, los bancos funcionan como un ecosistema donde participan call centers, empresas de cobranza, plataformas tecnológicas y aliados fintech. Todos necesitan acceso a datos para operar, pero no todos cuentan con el mismo nivel de seguridad.

Ese desbalance es precisamente lo que los atacantes están aprovechando.

Caso 2: cuando el acceso viene con credenciales válidas 

En el incidente de Banco Falabella, el acceso no se dio a través de un hackeo tradicional, sino mediante credenciales válidas y la infraestructura de un proveedor.

En otras palabras, el atacante no rompió la puerta. Entró como invitado.

Este tipo de ataques ya representa una proporción significativa de los incidentes en grandes empresas de la región. Lo anterior confirma que el problema no es aislado, sino estructural.

Según los marcos de NIST e ISO, la gestión de riesgos ya no es un evento puntual, sino un proceso continuo, especialmente en entornos donde múltiples proveedores acceden a los datos.

Contenido relacionado: El crecimiento de la nube, el trabajo remoto y los proveedores externos ha ampliado la superficie de ataque

Tendencia LATAM: el crecimiento silencioso 

Lo que está ocurriendo en Colombia responde a una tendencia más amplia en Latinoamérica. En mercados como Brasil y México, los atacantes han entendido que es más eficiente vulnerar a un proveedor con menos controles que intentar penetrar directamente a una entidad financiera robusta.

Externalizar no es delegar el riesgo 

Existe una idea equivocada muy común: pensar que al externalizar un servicio también se transfiere el riesgo.

No es así.

El riesgo no se delega, se comparte. Y si no se gestiona correctamente, se amplifica.

Es como contratar seguridad privada y asumir que ya no necesitas cerrar la puerta de tu casa.

¿Por qué pasa esto? 

En muchos casos, los proveedores manejan más información de la que realmente necesitan. Existen múltiples copias de los datos y no hay una trazabilidad clara de quién accede a qué información y en qué momento. A esto se suma la falta de monitoreo continuo y de estándares homogéneos de seguridad.

Para resumir, la fórmula quedaría así:

Más accesos + Más datos + Menos control = Más riesgo

Contenido relacionado: ¿Qué es IAM en seguridad informática? 

¿Qué deberían hacer los bancos? 

Aquí es donde entran estrategias clave relacionadas con datos, BI y MDM.

Más que compartir grandes volúmenes de información, se trata de limitar el acceso a lo estrictamente necesario. También es fundamental aplicar técnicas de enmascaramiento de datos, gestionar accesos temporales en lugar de permanentes y asegurar una trazabilidad completa sobre el uso de la información.

La centralización inteligente de los datos permite evitar duplicidades innecesarias y mantener el control desde una fuente única y segura.

Contenido relacionado:  ¿Qué es mobile device management?

¿Y los usuarios? 

Aunque no se hayan comprometido las contraseñas, el riesgo sigue siendo relevante porque los ataques ahora son mucho más creíbles.

Por eso, es clave desconfiar de llamadas inesperadas, no compartir códigos o información sensible y verificar siempre los canales oficiales. Cuando un mensaje parece demasiado preciso, probablemente no sea casualidad.

Insight final: esto no es ciberseguridad… es confianza 

Este tipo de incidentes no solo afectan a sistemas tecnológicos. Impactan directamente la confianza del cliente, que es uno de los activos más importantes en el sector financiero.

Conclusión 

Lo que estamos viendo no es un fallo aislado, sino una señal clara de cómo está cambiando la ciberseguridad en el sector financiero. Hoy, proteger los sistemas propios ya no es suficiente. El verdadero desafío está en controlar y asegurar todo el ecosistema que rodea al banco, especialmente a aquellos terceros que ―aunque no siempre visibles para el cliente― tienen acceso directo a información crítica.

La filtración de datos en contextos de cobranza demuestra que, incluso sin comprometer contraseñas o productos financieros, la exposición de información operativa puede ser igual de peligrosa. Permite reconstruir comportamientos, anticipar decisiones y abrir la puerta a fraudes mucho más sofisticados.

Por eso, la conversación ya no debe centrarse únicamente en tecnología, sino en gobernanza de datos, control de accesos y gestión de riesgos de terceros. En un entorno donde múltiples actores interactúan con la información, la seguridad deja de ser un perímetro y se convierte en una responsabilidad compartida.

Al final, la confianza del cliente —ese activo invisible, pero fundamental— depende de algo muy simple: saber que sus datos están protegidos, no solo dentro del banco, sino en cada punto donde estos son utilizados.

Y ahí está el verdadero reto.

No importa si tienes la mejor puerta del mundo…

¡Si repartes copias de la llave sin control, alguien va a entrar!