1. Cuando el eslabón externo falla: el incidente Qantas
La madrugada del 2 de julio de 2025, Qantas confirmó que un grupo de hackers se infiltró en un call center subcontratado y accedió a un sistema con los datos personales de hasta 6 millones de pasajeros. El ataque combinó ingeniería social y vishing contra personal externo, y demostró que una fisura en la cadena de suministro digital puede arruinar años de inversión en ciberseguridad propia.
Lección inmediata: el riesgo de terceros ya no es un “riesgo de apoyo”; es un riesgo empresarial de primera línea que pone en jaque la continuidad operativa, la confianza del cliente, el capital regulatorio, la imagen y la reputacion de las empresas.
2. El nuevo terreno de juego normativo
Europa — DORA entra en aplicación (17 ene 2025). El Digital Operational Resilience Act (Reglamento UE 2022/2554) introduce por primera vez un marco único y vinculante de resiliencia operativa digital para bancos, aseguradoras, gestoras de activos, fintech y todos sus proveedores TIC críticos, estén dentro o fuera de la UE. A partir de enero de 2025 estas entidades deben:
-
- Implantar un sistema integral de gestión de riesgos TIC que cubra gobernanza, apetito de riesgo, políticas, roles y métricas clave.
- Notificar incidentes graves en tres etapas (alerta inicial ≤ 4 h, informe preliminar ≤ 1 día, informe final ≤ 1 mes) a la autoridad competente.
- Someter los activos esenciales a pruebas avanzadas, incluido un Threat-Led Penetration Test (TLPT) al menos cada tres años para las entidades designadas.
- Registrar y clasificar a todos los proveedores TIC, evaluar su criticidad y documentar planes de salida auditables (exit strategies).
- Participar en mecanismos de intercambio de inteligencia sobre ciberamenazas y colaborar con otras entidades y supervisores.
- Estados Unidos – Guía inter-agencias 2024. La OCC, la FDIC y la Reserva Federal asignan responsabilidad directa al Directorio en cada fase del ciclo de vida de la relación con terceros.
- Basilea – Principios de Resiliencia Operacional. Exigen identificar los “servicios críticos” y validar su tolerancia a la disrupción, incluidos fallos de proveedores esenciales.
En síntesis, DORA no es solo una regulación europea: se perfila como la referencia global para la resiliencia operativa digital.
3. Por qué Latinoamérica debe reaccionar ahora
DORA ya es su problema, aunque la sede esté en Latinoamérica
La Digital Operational Resilience Act (DORA), aplicable desde el 17 de enero de 2025, no se queda en las fronteras de la Unión Europea. Su efecto extraterritorial alcanza a cualquier banco latinoamericano que opere corresponsalías, emita bonos o simplemente utilice proveedores TIC críticos radicados en la UE o EE. UU. —y ese es, de hecho, el modelo operativo predominante.
Extraterritorialidad regulatoria: Los supervisores europeos y estadounidenses exigirán pruebas de un programa robusto de Third-Party Risk Management (TPRM) alineado con DORA cada vez que la entidad actúe en sus mercados de capitales o de pagos. No basta con un inventario de proveedores: hay que demostrar cláusulas de auditoría, métricas de resiliencia y planes de salida auditables en cada contrato crítico.
Cadena de valor digitalizada: El core banking en la nube, los pagos instantáneos y el BPO de atención al cliente dependen de operadores globales capaces de caer —y propagar la interrupción— en cuestión de segundos. DORA obliga a mapear esos vínculos, clasificarlos por criticidad y someter los activos esenciales a Threat-Led Penetration Tests (TLPT) al menos cada tres años, incluso cuando el servicio esté externalizado fuera de la UE.
Costos invisibles pero letales: Más allá de la interrupción operativa, el incumplimiento puede costar hasta 2 % de la facturación mundial y destruir posiciones ESG en cuestión de días, con demandas colectivas y rebajas de calificación que erosionan el valor bursátil con más velocidad que un riesgo financiero tradicional.
Qué hacer ahora:
- Renegociar contratos TIC incorporando derechos de auditoría, TLPT (Threat-Led Penetration Test)
- y planes de salida verificados.
- Reforzar la gobernanza de outsourcing: incluir la criticidad DORA en el apetito de riesgo y en los comités de terceros.
- Actualizar planes de continuidad y ciber-resiliencia para alinearlos con las Normas Técnicas (RTS/ITS) que las autoridades europeas publicarán definitivamente entre 2024 y 2025.
Adoptar DORA de forma proactiva no es solo “cumplir con Europa”: es blindar la reputación, proteger la valuación de mercado y asegurar el acceso sostenido a capital y clientes internacionales.
La resiliencia operativa ya no es una opción normativa; es una ventaja competitiva que se mide en segundos.
4. Diseñando un programa TPRM de clase mundial
Paso 1 – Cartografía y clasificación: Mapee todos los servicios, trace los flujos de datos y asigne un nivel de criticidad (Tier 1–3). Herramientas: inventario de API, dependency heat-map.
Paso 2 – Due diligence ampliada: Checklists basados en ISO 27036 e ISO 27001, scoring de riesgo residual y verificación de seguros cibernéticos. Investigue la cadena de sub-subcontratistas: la mayoría de incidentes se origina allí.
Paso 3 – Contratos blindados: Cláusulas “DORA-ready”:
- -derecho de auditoría in situ y remota;
- -métricas de disponibilidad y tiempo medio de recuperación (MTTR ≤ 4 h);
- -obligación de pruebas conjuntas de continuidad y notificación de incidentes en < 24 h;
- -estrategia de “salida ordenada” (exit plan) con transferencia segura de datos.
Paso 4 – Monitoreo continuo y pruebas: Combine scorecards mensuales de desempeño con simulacros semestrales (table-tops). Involucre a Tecnología, Riesgos, Compras y Jurídico: la resiliencia es transversal.
Paso 5 – Métricas que importan al Directorio: Porcentaje de proveedores Tier 1 con plan de salida probado; promedio de hallazgos críticos por auditoría; cobertura de seguro cibernético vs. apetito de riesgo; tiempo real de recuperación frente al objetivo de tolerancia (impact tolerance).
¿Está tu organización preparada para su “momento Qantas”?
Pon a prueba tu resiliencia. Realiza esta autoevaluación exprés de Riesgo de Proveedores:
Pregunta de control:
1 ¿Dispones de un inventario actualizado con la criticidad (Tier 1-3) de todos tus proveedores TIC y de proceso?
2 ¿Tienes contratos que incluyan derechos de auditoría, notificación de incidentes < 24 h y plan de salida (“exit plan”) firmado?
3 ¿Has verificado los sub-subcontratistas que cada proveedor utiliza para servicios críticos?
4 ¿Cuentas con un score de riesgo residual (bajo-medio-alto) para cada proveedor, revisado al menos una vez al año?
5 ¿Existe un mapa de dependencias (heat-map) que muestre los puntos únicos de falla y rutas de datos sensibles?
6 ¿Realizas simulacros semestrales de caída de proveedor (cloud, call-center, pagos) midiendo tiempos reales de recuperación?
7 ¿Tienes métricas ejecutivas como % proveedores Tier 1 con plan de salida probado y hallazgos críticos por auditoría?
8 ¿Revisas la adecuación de las pólizas de seguro cibernético de tus proveedores frente a tu apetito de riesgo?
9 ¿Incluyes requisitos de resiliencia operacional (DORA/Basilea) en los procesos de selección y RFP?
10 ¿El Comité de Riesgos recibe un informe trimestral con tendencias y alertas tempranas de TPRM?
Resultado rápido:
- 8-10 checks → ¡Buen trabajo! Revisa las brechas y actualiza tus pruebas.
- 5-7 checks → Prioriza acciones correctivas antes de la próxima auditoría.
- ≤ 4 checks → Alto riesgo. Activa un plan de capacitación y remediación inmediato y considera apoyo externo especializado.
¿Querés dar el siguiente paso?
Explora nuestro Diplomado en Gestión de Riesgos No Financieros, donde profundizamos en IA, ciberseguridad, cumplimiento, continuidad operativa y sostenibilidad. Un programa práctico, estratégico y alineado con estándares internacionales.
La formación y el desarrollo profesional no son un gasto, sino una inversión estratégica que impulsa el crecimiento individual y organizacional. Priorizar la capacitación es clave para mantenerse competitivo en un entorno laboral en constante evolución.
¿Te has preguntado cómo gestionar eficazmente estos riesgos?
¡No busques más!
En Iberoamericana Educación Ejecutiva, hemos creado programas pensando en tus necesidades de información y formación.
Nuestros expertos internacionales han diseñado un completo Programa al respecto para brindarte las herramientas necesarias para comprender y enfrentar estos desafíos de manera efectiva.
¡No esperes más para inscribirte!
Los programas de formación ya están disponibles y estamos aquí para ayudarte a ampliar tus conocimientos y habilidades en esta área crucial.
