En fintech todos hablamos de:

• SPEI
• APIs
• pagos
• crossborder
• crypto
• embedded finance

Pero hay una realidad incómoda:

La infraestructura financiera es uno de los targets favoritos de los ciberataques.

No porque sea débil.
Sino porque ahí está:

• el dinero
• los datos financieros
• las credenciales de usuarios
• la infraestructura de pagos

Si una fintech quiere escalar, levantar inversión o cerrar contratos con bancos o enterprise clients, hay dos palabras que inevitablemente aparecen en la conversación:

• ISO 27001
• SOC 2

Pero antes de llegar a una certificación… hay algo mucho más básico: tu arquitectura real de ciberseguridad.

Y esa arquitectura empieza en dos lugares críticos:

1. Endpoints
2. SOC (Security Operations Center)

Primero: endpoints (donde empiezan la mayoría de los ataques)

Un endpoint es cualquier dispositivo que se conecta a tu red o infraestructura:

• laptops de empleados
• servidores
• celulares corporativos
• estaciones de desarrollo
• dispositivos administrativos

Y sí: la mayoría de los ataques empiezan ahí.

Ejemplos comunes:

• phishing
• malware
• credenciales robadas
• accesos remotos no autorizados

Hoy incluso el phishing ya está automatizado con AI, lo que lo vuelve mucho más escalable.

Por eso una fintech madura necesita mínimo tres capas de control.

Protección avanzada de endpoints

Herramientas clave que deberían existir en cualquier fintech seria:

• EDR (Endpoint Detection & Response)
• antimalware avanzado
• monitoreo de comportamiento
• hardening de dispositivos
• detección de ejecución sospechosa

Estas soluciones ayudan a detectar comportamientos como:

• ejecución de scripts maliciosos
• accesos fuera de patrón
• movimientos laterales dentro de la red
• procesos sospechosos en endpoints

En otras palabras: detectan el problema antes de que se vuelva un incidente.

Gestión de identidades y accesos

Otro punto crítico: quién puede acceder a qué.

Porque en muchísimos incidentes no entra un hacker externo.

Entra alguien con:

• credenciales robadas
• accesos excesivos
• permisos mal configurados

Por eso necesitas controles como:

• MFA (multi-factor authentication)
• gestión de privilegios
• rotación de credenciales
• control de acceso basado en roles
• auditoría de accesos

Si tu infraestructura depende de una sola contraseña… ya empezamos mal (PERRO1234)

Gestión de vulnerabilidades y parches

Muchas brechas ocurren por algo tan simple como: software sin actualizar.

Por eso cualquier arquitectura madura debe incluir:

• escaneo constante de vulnerabilidades
• parcheo automatizado
• inventario de activos tecnológicos
• monitoreo de software vulnerable

Muchas filtraciones millonarias empezaron con un parche olvidado.

Segundo: el SOC (el cerebro de la ciberseguridad)

El Security Operations Center (SOC) es el centro operativo de seguridad.

Es la combinación de:

• equipo especializado
• tecnología de monitoreo
• procesos de respuesta

Su función es:

• monitorear actividad sospechosa
• detectar incidentes
• investigar ataques
• responder en tiempo real

Un SOC suele trabajar con herramientas como:

• SIEM (Security Information and Event Management)
• threat intelligence
• monitoreo de logs
• alertas de comportamiento
• análisis de anomalías

Si algo raro pasa en tu infraestructura, el SOC lo ve antes de que escale.

Qué monitorea un SOC en una fintech

Por ejemplo:

• accesos inusuales a sistemas críticos
• intentos de exfiltración de datos
• actividad anómala en APIs
• intentos de fraude
• movimientos laterales dentro de la red
• uso sospechoso de credenciales

Porque en fintech los incidentes no son solo tecnológicos.

Muchas veces implican:

• fraude financiero
• robo de datos
• manipulación de transacciones

Y si realmente quieres un SOC potente, hay una señal clara: certificación FIRST (Forum of Incident Response and Security Teams).

Haz de cuenta que es el Dior de los SOC.

Frameworks de seguridad: ISO 27001 y SOC 2

Una vez que tienes controles tecnológicos, aparecen los frameworks que validan tu seguridad.

Los dos más relevantes para fintechs son:

• ISO/IEC 27001
• SOC 2

ISO 27001: el estándar global de seguridad

ISO/IEC 27001 es el estándar internacional líder para gestionar seguridad de la información.

Define cómo una empresa debe construir un: ISMS (Information Security Management System)

Es decir:

un sistema formal para proteger:

• confidencialidad
• integridad
• disponibilidad de la información

Este estándar proporciona guía para:

• políticas de seguridad
• controles técnicos
• gestión de riesgos
• mejora continua de seguridad

La certificación demuestra que una empresa sigue mejores prácticas internacionales de seguridad.

SOC 2: el estándar favorito de SaaS y fintech

SOC 2 evalúa cómo una empresa protege los datos de sus clientes.

Se basa en cinco criterios llamados Trust Services Criteria:

• Security
• Availability
• Processing Integrity
• Confidentiality
• Privacy

El auditor revisa si los controles internos realmente existen y funcionan.

Tipos de reportes SOC 2

Hay dos versiones principales:

SOC 2 Type I

Evalúa si los controles están bien diseñados en un momento específico.

Pregunta clave: ¿Los controles existen y están correctamente definidos?

SOC 2 Type II

Evalúa si los controles funcionan correctamente durante un periodo de tiempo (3-12 meses).

Pregunta clave: ¿Los controles realmente funcionan en la práctica?

Por eso muchas empresas buscan directamente SOC 2 Type II.

Es el que genera más confianza con clientes enterprise.

Algo que muchas fintech descubren demasiado tarde

No empiezas con la auditoría.

Empiezas con una pre-auditoría o gap analysis.

Aquí se revisa:

• qué controles ya existen
• qué infraestructura falta
• qué políticas deben crearse
• qué tecnología se necesita implementar

Y aquí muchas empresas descubren que necesitan:

• fortalecer endpoints
• implementar monitoreo SOC
• documentar procesos
• mejorar gestión de accesos

💖 Conclusión Fintech Girlies®

La ciberseguridad en fintech no empieza con un certificado. Empieza con arquitectura.

Primero necesitas:

• endpoints protegidos
• monitoreo continuo
• controles de acceso sólidos
• gestión de vulnerabilidades
• SOC activo

Después vienen:

• ISO 27001
• SOC 2
• PCI DSS
• auditorías externas

Porque al final del día una fintech no solo mueve dinero.

Custodia:

• datos financieros sensibles
• infraestructura de pagos
• identidad digital de sus usuarios

Y en un mundo donde los ciberataques crecen cada año… la seguridad ya no es un nice-to-have. Es infraestructura crítica.

Sam y yo nos metimos en la discusión que aparece en TODAS las mesas fintech cuando alguien quiere mover dinero entre países:

¿Es mejor usar FX tradicional o rails cripto para pagos crossborder?

Y no, no vamos a responder con hype.
Vamos a responder con estructura financiera, liquidez, regulación y arquitectura de producto.

Porque esto no es una guerra ideológica.
Es una decisión estratégica.

¿Qué es FX tradicional en pagos internacionales?

Cuando hablamos de FX tradicional (Foreign Exchange) en pagos internacionales, no estamos hablando de cambiar dólares en el aeropuerto.

Estamos hablando de la infraestructura bancaria global que mueve comercio internacional, importaciones, exportaciones y remesas todos los días.

Aquí viven:

Bancos corresponsales

Son instituciones que mantienen cuentas entre sí (nostro/vostro) para poder mover dinero entre países.

Ejemplo:
Si tu banco no opera directamente en el país destino, usa un banco corresponsal para completar la transferencia.

👉 Es una red estratégica global.

SWIFT (red de mensajería bancaria)

SWIFT significa Society for Worldwide Interbank Financial Telecommunication.

• No mueve dinero.
• Mueve mensajes financieros.
• Usa códigos BIC (8 u 11 caracteres) para identificar bancos.

Es básicamente el sistema de mensajería interbancaria global.

Market makers en FX

Los market makers crean liquidez en ambos lados del corredor cambiario.

Ejemplo:
Tienen dólares en un país y pesos en otro.
Compensan posiciones internamente en vez de mover dinero en cada operación.

👉 Netean posiciones al final del día o semana.
👉 Muy eficiente cuando hay volumen alto.

Proveedores de remesas y transmisores de dinero

Empresas especializadas en pagos internacionales que operan bajo licencias específicas.

En México pueden participar:

• Transmisores de dinero
• IFPE (según modelo autorizado)

¿Cómo funciona realmente el flujo FX tradicional?

1. Conversión de moneda
2. Envío vía red bancaria (corresponsales + SWIFT)
3. Liquidación en sistema financiero tradicional

Opera dentro de:

• Infraestructura regulada
• Supervisión bancaria
• Horarios financieros
• Sistemas centrales

Ventajas clave del FX tradicional

• Mercado más líquido del mundo
• Profundidad institucional
• Regulación clara
• Integración global
• Estabilidad operativa

¿Tiene fricciones? Sí.
¿Es lento en algunos corredores? También.
¿Mueve trillones diarios? Absolutamente.

¿Qué implica usar Crypto para pagos crossborder?

En teoría suena simple:

Compras crypto → la envías → la convierten → listo.

Pero en la práctica, especialmente en México, la arquitectura es más compleja.

1️⃣ Compra del activo digital (On-ramp)

Normalmente se usan:

Stablecoins (USDC, USDT)

• Paridad 1:1 con USD
• Pensadas para estabilidad operativa
• Ideales para pagos crossborder

Bitcoin (BTC)

• Alta volatilidad
• Más instrumento de reserva/inversión
• Menos usado para pagos operativos

🇲🇽 Regulación cripto en México

Aquí está el punto crítico que pocos explican.

Para operar legalmente necesitas:

• Proveedor de activos virtuales (registrado ante SAT)
• IFPE (para off-ramp)
• Entidades extranjeras para conversión fiat–crypto

Es decir:

👉 No hay desintermediación total.
👉 Solo hay intermediarios distintos.

2️⃣ Transferencia por blockchain

Blockchain permite:

• Liquidación casi inmediata
• Operación 24/7
• Registro inmutable
• Transparencia pública

Pero depende de:

• Fees de red
• Congestión
• Tipo de blockchain
• Seguridad operativa

3️⃣ Conversión a moneda local (Off-ramp)

Aquí el dinero regresa al sistema financiero tradicional.

En México:

Solo IFPE autorizadas pueden hacer crypto → MXN oficialmente.

Este es el punto donde:

• Entra KYC
• Entra AML
• Entra trazabilidad formal
• Entran spreads y costos

FX vs Crypto para pagos internacionales: comparación estratégica

1️⃣ Costo total real

Crypto incluye:

• Fee de red
• Spread de compra/venta
• Slippage
• Fee de exchange
• Costos de on-ramp/off-ramp

FX incluye:

• Spread cambiario
• Comisión bancaria
• Costos de corresponsalía

En corredores líquidos (USD–MXN, USD–EUR):

👉 FX institucional suele ser extremadamente eficiente.

En corredores exóticos:

👉 Crypto puede ser competitivo.

2️⃣ Liquidez

FX:

• Mercado más líquido del mundo
• Profundidad institucional

Crypto:

• Liquidez depende del exchange
• Depende del par
• Depende del país

Para mover volúmenes grandes, la liquidez importa muchísimo.

3️⃣ Riesgo

Crypto introduce:

• Riesgo del emisor (stablecoins)
• Riesgo exchange
• Riesgo blockchain
• Riesgo regulatorio

FX tradicional:

• Riesgo tipo de cambio
• Riesgo bancario
• Riesgo país
• Riesgo regulatorio

Pero es un riesgo modelado y asegurado.

4️⃣ Regulación

FX:

• Integrado al sistema global AML/KYC
• Supervisión clara
• Reportes regulatorios estandarizados

Crypto:

• Regulación depende del país
• Puede ser gris o restrictiva
• Riesgo reputacional mayor para fintech reguladas

5️⃣ Velocidad

Crypto:

• Minutos
• 24/7

FX:

• 1–3 días promedio
• Depende de bancos

Pero:
Hoy existen rails híbridos (SPEI, SEPA Instant, Faster Payments) que reducen mucho la fricción del sistema tradicional.

6️⃣ Transparencia

Blockchain:

• Registro público
• Liquidación visible

FX:

• Menos visible para usuario final

Pero:
Transparencia pública ≠ privacidad financiera automática.

¿Cuándo tiene sentido usar crypto en crossborder?

• Restricciones de capital
• Corredores poco líquidos
• Necesidad 24/7
• Infraestructura digital-first
• Entornos con fricción bancaria

¿Cuándo gana FX tradicional?

• Alto volumen
• Corredores líquidos
• Operación institucional
• Compliance estricto
• Riesgo mínimo y predecible

FX vs Crypto: la conclusión estratégica

Esto no es tradicional vs disruptivo.

Es una decisión de:

• Gestión de riesgo
• Liquidez
• Costo total real
• Regulación
• Arquitectura del producto
• Perfil del cliente

Muchas fintech maduras no eligen uno u otro.

Construyen modelos híbridos.

💖 Conclusión Fintech Girlies®

Mover dinero entre países no es un tema tecnológico.
Es un tema de infraestructura financiera.

Crypto no reemplaza automáticamente a FX.
FX no es automáticamente más eficiente.

La decisión correcta depende de:

• Qué problema resuelves
• Para quién
• Bajo qué regulación
• Con qué tolerancia al riesgo
• Con qué profundidad de liquidez

Si trabajas en pagos, remesas, treasury o producto crossborder…

Esta conversación no es opcional.

¿Qué es un comisionista de base tecnológica y por qué puede cambiar el juego bancario en México?

Si eres fintech girlie, product manager, compliance nerd o simplemente alguien que quiere entender cómo se está reescribiendo la banca digital en México, este tema es clave.

México acaba de habilitar una figura regulatoria que promete cambiar la forma en la que los bancos distribuyen sus servicios en plataformas digitales:
👉 los comisionistas de base tecnológica.

No es hype.
No es buzzword.
Es una figura legal nueva con implicaciones reales para fintech, banca y big tech.

¿Qué es un comisionista de base tecnológica?

Un comisionista de base tecnológica es una empresa tecnológica (app, marketplace o plataforma digital) que puede ofrecer ciertos servicios bancarios a nombre de un banco, bajo un esquema autorizado y supervisado.

En corto:

• No es un banco
• No es un corresponsal físico
• Es un canal digital autorizado del banco

Desde el punto de vista regulatorio, actúa por cuenta y orden de la institución de crédito, exclusivamente a través de medios digitales.

Es la evolución digital del comisionista tradicional… pero con reglas mucho más estrictas.

¿Qué operaciones pueden realizar?

De acuerdo con el Artículo 319 Bis, los comisionistas de base tecnológica solo pueden ejecutar operaciones específicas, dentro de una sesión autenticada del cliente:

Operaciones permitidas

• Apertura de cuentas Nivel 2
  (hasta 3,000 UDIs mensuales ≈ $24,500 MXN)
• Transferencias asociadas a esas cuentas
• Mini-créditos
  (hasta 3,000 UDIs)
• Pago de bienes y servicios
• Consulta de saldos y movimientos

⚠️ Importante:
Estas operaciones no pueden hacerse libremente en la app del comisionista.
Solo pueden ejecutarse dentro de la sesión del cliente, bajo autenticación fuerte (categorías 2 y 3).

¿Por qué nació esta figura regulatoria?

Porque el mercado ya iba varios pasos adelante:

• Plataformas digitales operando “como banco” sin marco legal
• Renta de licencias bancarias disfrazada de alianzas
• Fintechs actuando como canales bancarios sin responsabilidades claras

El regulador vio el riesgo y decidió regular antes de que explotara.

Además, el concepto de comisionista solo existía para establecimientos físicos, cuando la realidad del consumo financiero ya es 100% digital.

Aquí está la carnita regulatoria 👇

1. Operaciones estrictamente limitadas

Nada fuera del catálogo autorizado.

2. Seguridad tecnológica de nivel bancario

La regulación exige:

• Autenticación robusta
• Infraestructura cifrada
• Protección continua de sesiones
• Prohibición de almacenamiento indebido de datos

Esto no es un MVP sin QA.
Es banca con estándares altos.

3. Prohibiciones claras

El comisionista NO puede:

• Acceder a datos personales innecesarios
• Procesar información por cuenta propia
• Compartir datos agregados
• Autenticar usuarios fuera de la infraestructura bancaria

4. Transparencia y reporting

Los bancos deben:

• Publicar certificados y llaves públicas
• Reportar periódicamente a la CNBV
• Documentar contratos y flujos operativos

5. Control total del banco

• Límites de sesión
• Revocación automática
• Control absoluto de accesos

6. Requisitos para autorización

Incluyen:

• Plan de negocio
• Modelo contractual
• Arquitectura tecnológica
• Políticas de riesgos y seguridad

Aquí no entra cualquiera.

¿Qué pasa con los comisionistas físicos?

Las instituciones financieras tienen 18 meses para:

• Actualizar contratos
• Documentar flujos de datos
• Definir ubicación de servidores
• Regular subcontratación
• Establecer mecanismos de resolución de controversias

Es una reingeniería profunda, no un ajuste cosmético.

Aquí el debate fuerte.

Lo que NO es:

• No es white label
• No es marca propia
• No hay autonomía fintech
• No hay balance propio

Lo que SÍ es:

• Un canal digital regulado
• Servicios bancarios ofrecidos vía plataformas tech
• Responsabilidad 100% del banco

No es BaaS completo, pero sí es un primer paso institucional.

Fintech Girlies Verdict: ¿funcionará?

Nadie tiene la respuesta definitiva.
Pero el contexto importa:

• Alta población no bancarizada
• Bancos con infraestructura pero poco alcance
• Plataformas con alcance pero sin licencia bancaria

Este modelo:

• Reduce costos de adquisición
• Facilita alianzas banco–plataforma
• Puede acelerar la inclusión financiera
• Abre la puerta a nuevos modelos de distribución

¿Será el BaaS mexicano?
¿O un experimento regulatorio más?

Lo sabremos pronto.
Pero fintech girlies… qué momento para estar en el ecosistema.

Si trabajas en fintech, pagos, producto, compliance, tecnología financiera o regulación, hay un concepto que necesitas dominar sí o sí:
las cámaras de compensación.

Suenan técnicas, cero glam y muy “esto es solo para Banxico”… pero en realidad son el corazón operativo de los pagos en México.
Sin ellas, no existirían las tarjetas, las transferencias ni la experiencia “tap tap y listo”.

¿Qué son las cámaras de compensación?

Las cámaras de compensación son los sistemas donde las instituciones financieras intercambian información para determinar:

• Quién debe a quién
• Cuánto debe
• Y cómo se va a liquidar esa obligación

Son las que hacen el trabajo invisible para que una transacción que hiciste con tu tarjeta, wallet o app llegue correctamente a la cuenta destino.

Sin cámaras de compensación, el sistema financiero sería un caos operativo: pagos perdidos, saldos inconsistentes y disputas infinitas.

Tipos de cámaras de compensación autorizadas en México

Aquí entra Banxico a poner orden. En México solo pueden operar cámaras autorizadas, y se dividen por tipo de pago.

Cámaras para pagos con tarjeta

Son las responsables del procesamiento de tarjetas de crédito y débito:

• Visa
• Mastercard
• Prosa
• E-Global

Estas gestionan autorizaciones, rechazos, reversos y liquidaciones de pagos con tarjeta.

Cámaras para transferencias móviles

• Transfer

Especializada en pagos interbancarios desde dispositivos móviles.

Infraestructura fintech: APIs estandarizadas

Banxico también autoriza a ciertos actores para ofrecer APIs estandarizadas, clave para la interoperabilidad fintech:

Cámaras:

• Prosa
• Cecoban

Sociedades de información crediticia:

• TransUnion México
• Dun & Bradstreet

Estas APIs permiten el intercambio seguro y ordenado de información entre instituciones.

El sistema estrella de Banxico: SICAM

El SICAM (Sistema de Compensación y Liquidación) es donde Banxico coordina la compensación interbancaria a gran escala.

Características clave:

• Tipo: sistema de liquidación neta diferida (T+1)
• Operador: Banco de México
• Qué compensa:
  • Cheques
  • Transferencias electrónicas
  • Domiciliaciones (luz, teléfono, servicios)
• Cómo liquida: a través del SIAC, donde cada banco tiene su cuenta en Banxico
• Participantes: todos los bancos que ofrecen estos servicios
• Tarifas: incluidas dentro del esquema del SIAC

Cecoban y su rol en la compensación

Además del SICAM, Cecoban opera servicios de compensación específicos.

Qué permite:

• Depositar cheques de otros bancos
• Enviar el documento al banco emisor
• Compensar en esquema T+1
• Liquidar finalmente en SICAM

Participantes: bancos autorizados para TEF y certificados por Cecoban
Tarifas: definidas por Cecoban

El chisme regulatorio: pagos con tarjeta y cámaras de compensación

Las reglas del sistema de pagos definen claramente los roles:

• Receptor de pagos: comercio físico o digital
• Adquirente: entidad que da al comercio la capacidad de aceptar pagos
• Agregador: intermediario que usa un adquirente para habilitar comercios pequeños
• Solicitud de autorización: mensaje del adquirente al emisor
• Autorización / rechazo: respuesta del emisor
• Emisor: banco que emitió la tarjeta
• Ruteo: camino que siguen los mensajes
• Compensación: cálculo de obligaciones entre participantes
• Liquidación: cumplimiento financiero (emisor → adquirente → comercio)

¿Por qué debería importarte si trabajas en fintech?

Porque todo el ecosistema fintech depende de esto:

• TPVs
• Tarjetas
• Wallets
• Apps
• SPEI
• Domiciliaciones

Nada funciona si:

• Las cámaras no operan correctamente
• Las APIs no son seguras
• La compensación falla
• La liquidación se rompe

Las cámaras de compensación son la infraestructura crítica que permite que el dinero digital fluya 24/7 sin drama.

Conclusión Fintech Girlies®

Las cámaras de compensación son como las stage managers de un concierto:
nadie las ve, pero si fallan, todo el show se cae.

Son técnicas, complejas y absolutamente esenciales.
Entenderlas no es solo nerd —es poder real dentro del ecosistema fintech.