Desde una perspectiva sistémica, el mandato constitucional de garantizar el buen funcionamiento de los sistemas de pago implica que las operaciones financieras sean seguras, inmediatas y eficientes. En este contexto, la ciberseguridad no es un componente accesorio: es el habilitador central de la confianza pública, condición indispensable para la estabilidad financiera.
1. Infraestructura crítica y el imperativo de la interoperabilidad
La arquitectura financiera nacional se sustenta en infraestructuras críticas de alta disponibilidad, cuya interrupción tendría impactos sistémicos. Durante el periodo analizado, el Banco de México supervisó y operó sistemas clave:
-
Sistemas de pago en tiempo real:
-
SPEI (Sistema de Pagos Electrónicos Interbancarios)
-
SPID (Sistema de Pagos Interbancarios en Dólares)
-
-
Cámaras de Compensación de Pagos con Tarjetas (CCPT):
PROSA, E-Global, MasterCard y Visa, responsables del ruteo, compensación y liquidación de transacciones con tarjetas.
Con el objetivo de fortalecer esta infraestructura, el banco central, en coordinación con la CNBV, impulsó modificaciones a las Disposiciones de Carácter General Aplicables a las Redes de Medios de Disposición. La propuesta —sometida a consulta pública en octubre de 2025 mediante la Agencia de Transformación Digital y Telecomunicaciones— busca avanzar hacia redes abiertas y neutrales (Red Doméstica).
Desde un enfoque técnico, la eliminación de redes cerradas:
-
Reduce costos operativos.
-
Disminuye dependencias propietarias.
-
Mitiga puntos únicos de falla, elevando la resiliencia ante incidentes técnicos o ciberataques dirigidos.
2. Acciones transversales: estandarización de la defensa
Bajo el marco de la LTOSF, la ciberseguridad se aborda como un eje transversal, no como un silo tecnológico. El informe (Cuadro 1.1) destaca dos medidas críticas:
-
Ciberseguridad (Punto 58): fortalecimiento normativo para la gestión de incidentes y la recuperación operativa.
-
Autenticación reforzada (Punto 57): adopción de mecanismos multicapa para validar la identidad del usuario en transacciones presenciales y no presenciales.
Un aspecto clave es la homologación de estándares: la autenticación reforzada aplica tanto a tarjetas de crédito como de débito, eliminando asimetrías históricas de protección.
Para asegurar la efectividad de estas disposiciones, el Banco de México despliega:
-
Infraestructura de supervisión (Sección 5.7.1).
-
Facultades sancionatorias específicas (Sección 5.7.2) ante incumplimientos.
Este esquema de control incentiva a las instituciones a invertir activamente en resiliencia operativa, consolidando la Red de Medios de Disposición como un entorno confiable.
3. Evolución normativa del SPEI y participación indirecta
Uno de los hitos técnicos del periodo es la actualización del marco regulatorio del SPEI, orientada a ampliar la inclusión sin degradar la seguridad:
-
Circular 14/2017: estableció las bases operativas y de participación.
-
Circular 2/2025 (21 de febrero de 2025): incorporó reglas para el procesamiento de operaciones dentro de un mismo participante bajo esquemas de participación indirecta.
Este ajuste permite la entrada de nuevos actores al ecosistema de pagos en tiempo real, manteniendo la trazabilidad, integridad y auditabilidad del ruteo de fondos.
4. El usuario como primera línea de defensa
La transparencia funciona como mecanismo de mitigación de riesgo. El informe subraya que un usuario informado es menos vulnerable a ingeniería social y fraude digital. Iniciativas como Banxico Contigo y los Comparadores de Servicios Financieros concentran información oficial y verificable, reduciendo la superficie de ataque asociada a la desinformación.
Destaca también la herramienta de carga financiera (Sección 5.6), que permite:
-
Evaluar la capacidad real de endeudamiento.
-
Recibir recomendaciones de salud financiera.
Desde una óptica de ciberseguridad, esta herramienta actúa de forma preventiva contra esquemas de fraude como las apps montadeudas, que explotan la urgencia financiera para vulnerar la privacidad y seguridad digital de los usuarios.
5. Estrategia regulatoria y rol de “gatekeeper”
El Banco de México ejerce un control estricto sobre la incorporación de nuevos participantes digitales. La regulación de las Instituciones de Tecnología Financiera (ITF) y las Instituciones de Fondos de Pago Electrónico (IFPE) es preventiva por diseño.
Durante el periodo julio 2024 – junio 2025, el banco central emitió 31 opiniones técnicas sobre expedientes de registro (17 altas y 14 bajas). Este volumen refleja un rol activo de “gatekeeper”, depurando el ecosistema para asegurar que solo permanezcan entidades que cumplen con estándares técnicos y de seguridad.
| Tipo de institución | Rol en seguridad y supervisión | Implicaciones para la resiliencia |
|---|---|---|
| Instituciones de crédito | Supervisión integral de capital, ciberseguridad y protección al usuario bajo la LTOSF | Pilares del sistema; concentran la mayor infraestructura crítica (SPEI, SPID) |
| ITF (IFPE / IFC) | Autorización sujeta a opinión técnica de Banxico | Innovación y competencia controlada; las altas y bajas evitan degradación de la seguridad |
Conclusiones: hacia un ecosistema resiliente
El Informe 2024–2025 confirma que el Banco de México ha integrado la ciberseguridad como un componente estructural de la política financiera. La estabilidad ya no depende únicamente de balances sólidos, sino de la robustez técnica de las plataformas donde los usuarios interactúan con su dinero.
La adopción de autenticación reforzada, la supervisión estricta de las ITF y la modernización del SPEI mediante la Circular 2/2025 evidencian una capacidad regulatoria adaptativa frente a amenazas emergentes. Las consultas públicas, por su parte, permiten que la normativa evolucione al ritmo de una economía digital en expansión, manteniendo como objetivo central la protección del usuario y la confianza sistémica.