José Manuel Petisco, vicepresidente para la región de EEMI de NetApp.
No hace falta una tormenta perfecta para que un banco colapse digitalmente. Basta un fallo en una migración tecnológica, (siempre critica, especialmente en las migraciones de datos), un ataque de ransomware bien ejecutado o una cadena de errores humanos para poner en jaque toda la operativa de una entidad financiera. Y es que la complejidad crece cada vez más en los sistemas: cada nuevo canal, cada integración con terceros, cada despliegue en la nube añade nuevas capas a una arquitectura tecnológica que debe mantenerse disponible las 24 horas del día, los 365 días del año.
El coste de un corte de servicio es altísimo. Se estima que una sola hora de inactividad puede suponer más de cinco millones y medio de euros. A eso hay que sumar el impacto reputacional, la pérdida de confianza del cliente y, en muchos casos, la intervención directa del regulador.
En 2022, por ejemplo, un banco del Reino Unido sufrió una interrupción crítica por una migración fallida. El resultado: cientos de miles de usuarios afectados y una sanción de 48 millones de libras por parte de los reguladores. Y, a raíz de casos como este, el Comité del Tesoro británico exige ahora a las entidades un informe detallado de su disponibilidad tecnológica: cuántos fallos han tenido, su duración, los canales afectados, el número de clientes perjudicados y el origen de los problemas.
En la Unión Europea, este mismo nivel de exigencia está recogido en el reglamento DORA (Digital Operational Resilience Act), que acaba de entrar en vigor en enero. La directiva obliga a las entidades financieras a garantizar tanto la protección de los datos como la continuidad del servicio ante cualquier incidente, ya sea técnico o de ciberseguridad.
La resiliencia, por tanto, ha dejado de ser una opción para convertirse en una responsabilidad. Y cuando la aplicamos a banca, conviene distinguir dos dimensiones que, aunque distintas, están estrechamente conectadas: la resiliencia operativa, que garantiza la continuidad frente a errores o fallos internos, y la ciber-resiliencia, que se centra en resistir y recuperarse ante ataques externos. Desde el punto de vista técnico, ambas requieren un enfoque conjunto, basado en la redundancia, la automatización, la protección de los datos y una monitorización constante y proactiva.
Tecnología que no falla… incluso cuando falla
La resiliencia tecnológica no consiste en evitar el fallo a toda costa, sino en estar preparados para que, cuando ocurra, nada se detenga. Por eso, las infraestructuras deben diseñarse desde el principio para resistir interrupciones. Esto implica disponer de mecanismos de conmutación automática entre centros de datos y sistemas de replicación de datos en tiempo real, que permiten que las aplicaciones sigan funcionando, incluso si una parte del sistema cae. Algo imprescindible en servicios que no pueden permitirse perder un solo dato, como las operaciones bursátiles, el procesamiento de pagos o la gestión de riesgos.
Frente a los ciberataques, especialmente el ransomware, la clave está en asegurar la integridad de los datos. Hoy, los atacantes ya no solo cifran archivos, sino que también intentan corromper las copias de seguridad. Por eso, contar con copias inmutables (que no pueden modificarse ni siquiera por usuarios privilegiados) es fundamental. A esto se suma la detección temprana mediante herramientas de IA, que permite identificar comportamientos anómalos de los datos y los usuarios, detectando, deteniendo y restaurando, respondiendo con rapidez antes de que el daño sea irreversible.
Pero la resiliencia no se improvisa. Requiere automatización de procesos críticos (como la restauración o la activación de protocolos de emergencia), que permite reducir errores humanos y ganar velocidad en la respuesta; y simulacros frecuentes, que preparen a los equipos para actuar con agilidad en escenarios reales.
En paralelo, muchas entidades optan por entornos híbridos que combinan la nube y la infraestructura local. Esta flexibilidad, bien gestionada, permite escalar servicios y reducir riesgos. Eso sí, siempre con una gestión unificada del dato, un activo importantísimo para cualquier organización, que garantice políticas consistentes de seguridad, acceso y recuperación en todos los entornos.
Finalmente, la resiliencia debe ser parte de la cultura. No es solo un asunto del departamento de Tecnología: involucra a áreas como riesgos, cumplimiento, seguridad y negocio. Por eso, la mejor estrategia frente al riesgo no es la reacción, sino la anticipación. Construir resiliencia no se consigue de un día para otro, pero es una inversión que marca la diferencia. Significa estar preparados para lo que no se puede prever. Y, cuando llega ese momento, poder decir con seguridad: estamos preparados.
***José Manuel Petisco es vicepresidente para la región de EEMI de NetApp.