En 2025, la confianza en el fintech no se gana con defensas perimetrales, sino verificando cada solicitud.
El avance de la banca digital, los pagos instantáneos y las finanzas embebidas ha expuesto las aplicaciones fintech a ciberataques. El modelo tradicional de “castillo y foso” ya no es suficiente: una vez que un atacante supera el perímetro, obtiene acceso libre al interior. Según el informe de ciberseguridad de IBM de 2025, los servicios financieros son el sector más atacado y registran un coste medio por brecha de 6,2 millones de dólares.
La arquitectura Zero Trust (ZTA) invierte este modelo al establecer que ningún dispositivo, usuario o aplicación es confiable por defecto y que cada solicitud de acceso debe verificarse en tiempo real.
Por qué Zero Trust es clave en 2025
Zero Trust es cada vez más importante para el sector fintech debido a dos cambios regulatorios fundamentales:
La Ley de Resiliencia Operativa Digital (DORA), que entra en vigor en enero de 2025, exigirá a las entidades financieras de la UE demostrar resiliencia operativa continua, realizar evaluaciones de riesgo y contar con planes de respuesta a incidentes.
La nueva versión de PCI DSS (4.0), obligatoria a partir de marzo de 2025, incrementa los requisitos de autenticación y segmentación de datos para las organizaciones que gestionan información de tarjetas de pago.
Al mismo tiempo, las expectativas de los consumidores han evolucionado, impulsadas por el uso de passkeys, autenticación biométrica y experiencias de seguridad sin fricción.
Principios clave de Zero Trust en aplicaciones fintech
1. Autenticación fuerte por defecto
El inicio de sesión sin contraseñas (FIDO2 / WebAuthn) es resistente al phishing por diseño; la autenticación adicional solo se activa cuando se detectan señales de riesgo.
2. Autorización continua
Cada llamada a la API y cada transacción se evalúan según factores contextuales: estado del dispositivo, geolocalización, importe de la transacción y patrones de comportamiento del usuario.
3. Microsegmentación
Los entornos de procesamiento de pagos, datos de usuarios y analítica pueden aislarse para evitar movimientos laterales en caso de una brecha.
4. Acceso con privilegios mínimos
Las políticas dinámicas garantizan que los usuarios y servicios solo dispongan del acceso estrictamente necesario para la acción que están realizando.
5. Detección de amenazas en tiempo real
La detección de fraude basada en IA analiza la velocidad de las transacciones, identifica patrones inusuales y detecta anomalías en dispositivos en cuestión de milisegundos.
Ejemplo del mundo real
Revolut, uno de los líderes globales en fintech, adoptó Zero Trust en toda su infraestructura en 2024. Utiliza passkeys vinculadas al dispositivo, tokens de acceso de corta duración y autenticación continua basada en riesgo, lo que resultó en una reducción superior al 40 % de los incidentes de toma de control de cuentas.
Hoja de ruta de implementación
- Evaluación: mapear todos los flujos de datos y puntos de acceso.
- Modernización de la autenticación: внедgar passkeys y métodos biométricos.
- Motor de políticas: desplegar control de acceso basado en atributos (ABAC).
- Segmentación de red: aplicar microsegmentación en servicios críticos.
- Monitoreo continuo: implementar analítica de comportamiento y detección de amenazas.
- Alineación normativa: cumplimiento con DORA y PCI DSS 4.0.
Desafíos
- Integrar Zero Trust con sistemas heredados.
- Equilibrar la seguridad con la experiencia de usuario.
- Costes continuos de monitoreo y actualización de políticas.
Conclusión
Zero Trust ya no es opcional en fintech: es una necesidad regulatoria y competitiva. Las aplicaciones que combinan autenticación fuerte, verificación continua y microsegmentación no solo reducen el riesgo, sino que también construyen una confianza duradera con los clientes.
