Los crecientes desafíos de ciberseguridad para los CFO de fondos privados
Los CFO de fondos privados no son expertos en ciberseguridad, pero sí deben serlo en gestión de riesgos operativos. Dado que los ciberataques representan una amenaza financiera y reputacional significativa para las organizaciones, los CFO desempeñan un rol clave en materia de ciberseguridad. Trabajan en estrecha colaboración con los CISO para evaluar amenazas potenciales, priorizarlas en función de su impacto financiero e implementar estrategias de mitigación eficaces.
La estrategia de ciberseguridad de una firma impacta directamente a los inversores, ya que implica riesgos financieros y personales en caso de que su información sea comprometida. Para Cybersecurity Ventures, se espera que el ciberdelito genere pérdidas globales de USD10,5 billones para 2025.
Además de las implicancias reputacionales, los CFO tienen obligaciones de presentación de información que incluyen la ciberseguridad. En virtud de las nuevas normas adoptadas por la Comisión de Bolsa y Valores de EE.UU. (SEC), deben reportar un incidente material de ciberseguridad en un plazo de cuatro días. Además de cumplir con las normas de la SEC, los CFO pueden necesitar adherirse al Reglamento General de Protección de Datos (RGPD) de la Unión Europea y a la Ley de Privacidad del Consumidor de California (CCPA), entre otros. Por ello, los CFO deben colaborar con asesores legales, auditores internos, CISO y otros profesionales para asegurar el cumplimiento normativo. También deben atender consultas del directorio y de los socios limitados (LP) sobre incidentes cibernéticos, así como informar anualmente cuestiones relacionadas con la gestión, estrategia y gobernanza de los riesgos cibernéticos.
Para cumplir con estos requisitos y mantener la confianza de los inversores, los CFO deben abordar varios riesgos de ciberseguridad de manera directa a fin de mitigar su impacto potencial.
Los 5 principales riesgos de ciberseguridad para los CFO
Riesgo 1 | Ataques de phishing
El phishing es un tipo de ciberataque en el que los atacantes se hacen pasar por empresas o personas legítimas para robar información confidencial, como nombres de usuario, contraseñas y otros datos confidenciales. También suelen engañar a los empleados para que transfieran dinero mediante solicitudes de transferencias bancarias fraudulentas o facturas de proveedores. Estos riesgos suelen provenir de correos electrónicos, llamadas telefónicas e incluso mensajes de texto engañosos que parecen provenir de fuentes confiables, lo que dificulta su detección.
Las pérdidas por fraude de inversiones ascendieron a USD 4.570 millones en 2023, un aumento del 38 % con respecto al año anterior, según la Oficina Federal de Investigaciones de EE. UU. Para mitigar estos riesgos, los CFO deben adoptar un enfoque proactivo. La capacitación anual de los empleados ayudará a los equipos a reconocer y denunciar los intentos de phishing. La implementación de herramientas avanzadas de seguridad de correo electrónico, como filtros de spam y sistemas de detección de amenazas, puede bloquear los mensajes maliciosos antes de que lleguen a las bandejas de entrada. La autenticación multifactor (MFA) también añade una capa adicional de protección, lo que dificulta que los atacantes accedan a las cuentas incluso si las credenciales están comprometidas. Al implementar una estrategia de prevención que incluya tecnología, capacitación de los empleados y controles internos eficaces, los CFO pueden reducir significativamente la probabilidad de un ataque de phishing exitoso.
Riesgo 2 | Ransomware
Los ciberdelincuentes utilizan ransomware para cifrar los datos de una empresa y exigen un rescate económico para restaurar el acceso. Los atacantes suelen distribuir ransomware mediante software comprometido o correos electrónicos falsos, lo que lo convierte en un desafío constante para los CFO. En 2024, los ataques de ransomware experimentaron una tendencia al alza y continúan aumentando en el inicio de 2025.
Para mitigar este riesgo, los directores financieros deben adoptar una estrategia de ciberseguridad multicapa. Implementar herramientas avanzadas de detección de amenazas ayuda a identificar y aislar las amenazas antes de que causen daños. Actualizar el software periódicamente y corregir vulnerabilidades reduce la probabilidad de que los atacantes detecten problemas de seguridad. Los directores financieros también deben seguir una estricta estrategia de copias de seguridad de datos para mantener copias de seguridad fuera de línea seguras que permitan la restauración de datos sin pagar un rescate.
Riesgo 3 | Filtraciones de datos
Una filtración de datos puede tener consecuencias financieras y reputacionales devastadoras para las empresas, como multas de entes reguladores, honorarios de abogados, interrupciones operativas y daño a la reputación. Según el Informe sobre el Costo de una Filtración de Datos de IBM, el costo promedio de una filtración alcanzó los USD 4,88 millones en 2024, un aumento del 10 % en comparación con 2023 y el total más alto de la historia.
Para los CFO, mitigar este riesgo requiere un enfoque proactivo que incluye invertir en una infraestructura de ciberseguridad competente, realizar pruebas de penetración éticas, implementar controles de acceso rigurosos, realizar evaluaciones de riesgos periódicas y garantizar el cumplimiento de las normativas del sector. Además, planificar anualmente la respuesta frente a incidentes puede ayudar a prevenir costosas filtraciones.
Riesgo 4 | Amenazas internas
Las amenazas internas provenientes de empleados actuales o anteriores pueden causar daños significativos, dado el conocimiento y acceso de estos usuarios a los sistemas y datos internos. Ya sean intencionales o accidentales, las amenazas internas pueden provocar pérdidas financieras, filtraciones de datos y daños a la reputación. Según un estudio de DTEX Systems y el Instituto Ponemon, el costo promedio de un incidente de amenaza interna aumentó de USD 6,2 millones en 2023 a USD 17,4 millones en 2025.
Los CFO deben implementar protocolos estrictos de control de acceso. Los controles de acceso basados en roles y atributos brindan a los empleados acceso a los datos necesarios para sus funciones laborales, lo que reduce la posibilidad de exposición no autorizada. Las auditorías periódicas de los permisos de acceso de los usuarios ayudan a identificar y eliminar privilegios innecesarios, especialmente para los empleados que dejan la empresa o que cambian de puesto. La monitorización de la actividad de los usuarios mediante análisis de comportamiento puede detectar acciones sospechosas, como descargas de datos inusuales o intentos de inicio de sesión. Al combinar las medidas de seguridad tecnológicas con las políticas internas, los CFO pueden reducir el riesgo de vulneraciones de seguridad internas.
Riesgo 5 | Riesgos de terceros
Los proveedores externos representan un riesgo significativo para la ciberseguridad, ya que suelen tener acceso a datos financieros confidenciales y a los sistemas de la empresa. Una brecha en la red de un proveedor puede crear una puerta de entrada para los ciberdelincuentes, lo que puede provocar robo de datos, fraude financiero e infracciones regulatorias. Según el estudio de Gestión de Riesgos de Terceros de Prevalent, el 61 % de las empresas sufrieron una brecha de datos o un incidente de ciberseguridad de terceros el año anterior.
Los CFO deben implementar una estrategia exhaustiva de gestión de riesgos de proveedores. Realizar proceso de due diligence antes de incorporar proveedores externos permitirá determinar si cumplen con los estándares de ciberseguridad de la empresa, como el cifrado de datos, la autenticación multifactor (MFA) y el cumplimiento normativo. Establecer un acuerdo de nivel de servicio (SLA) que describa las evaluaciones de seguridad obligatorias, los plazos de notificación de infracciones y las cláusulas de responsabilidad puede fortalecer la rendición de cuentas de los proveedores. Además, restringir el acceso de los proveedores únicamente a los datos y sistemas necesarios para su función minimiza la posible exposición.
Fortalecimiento de la resiliencia en materia de ciberseguridad
A medida que las ciberamenazas siguen evolucionando, los CFO desempeñan un papel fundamental en la protección de sus empresas frente a los riesgos financieros y operativos. Los ataques de phishing, el ransomware, las amenazas internas y las vulnerabilidades de terceros plantean desafíos significativos que requieren una estrategia de defensa integral y proactiva. Fortalecer la resiliencia en ciberseguridad no es solo una preocupación de TI, sino una iniciativa estratégica que protege la estabilidad financiera, la confianza de los inversores y el éxito empresarial a largo plazo.
Prosperar en el cambiante entorno actual
¿Desea ampliar sus conocimientos sobre el panorama de la gestión de activos? Nuestro último informe (una colaboración entre TMF Group, el proveedor de software y servicios de ciberseguridad Drawbridge y la gestora global de activos Schroders) examina cómo los administradores de activos y sus inversores pueden adaptarse y crecer en el cambiante entorno actual. Obtenga más información sobre "La supervivencia del más apto: un manual para el éxito" aquí.
