top of page
Buscar

Open Finance en Colombia: Crónica de una brecha anunciada

  • fernandagutierrez94
  • 22 dic 2025
  • 7 Min. de lectura

Open Finance y Open Banking significan una misma cosa para los responsables de Ti ¿Podría adivinar qué?



El banco, la aseguradora o la cooperativa ya no son fortalezas aisladas; son nodos en una red hiperconectada donde Fintechs, TPP's (Third Party Providers) y agregadores de datos entran y salen de los sistemas para iniciar pagos, consultar saldos y realizar otras transacciones.


Mientras el equipo de Marketing celebra la "democratización financiera" la junta aplaude las nuevas fuentes de ingresos por BaaS (Banking as a Service). Sin embargo el CTO, el CIO o CISO, no están precisamente de fiesta; están mirando los registros de sus gateways.


Según datos recientes de Asobancaria, en 2025 se han reportado en Colombia 59.389 delitos financieros informáticos. Aunque la efectividad defensiva es alta (99.9%), el volumen es abrumador. Las tipologías más comunes que son el fraude por suplantación y la estafa de pagos en línea, tienen un factor común: La identidad, e indican que el enemigo ya no intenta romper el firewall; simplemente se loguea con credenciales válidas.


El whitepaper "Perspectivas 2026 de la Industria Financiera" de Fintech Américas identifica cuatro pilares críticos para la supervivencia: Pagos Digitales, Banca Digital, Crédito Inteligente y Open Banking. Sin embargo, aunque prometedor en perspectiva, el reporte omite la letra pequeña técnica: Ejecutar estos cuatro pilares sobre una arquitectura de identidad heredada (Legacy IAM) es un suicidio corporativo.


La identidad es el nuevo perímetro ¿Cómo orquestarla para no ser el próximo titular de un escándalo de filtración de datos?


Hay un nuevo vector de ataque y está asociado a las API que ahora son una puerta abierta. El mandato de Bre-B y la Ley de Datos Abiertos obligan a la exposición de APIs. Ya no se trata de proteger su Home Banking cerrado; se trata de permitir que una aplicación de terceros (que usted no controla) inicie una transferencia de fondos desde la cuenta de su cliente.


De aquí surge un problema que denominamos la "Confianza Implícita": En el modelo tradicional, usted confiaba en la transacción porque ocurría en su App o en su Web. Usted controlaba el dispositivo, la sesión y el canal. En Open Finance, esa capa desaparece. El riesgo técnico aquí es devastador ya que abre la puerta a posibilidades como:


  • Ataques de Replay: Un actor malicioso intercepta un token de autorización válido y lo reutiliza para vaciar una cuenta.


  • Man-in-the-Middle (MitM): Interceptación de la comunicación entre el TPP y el Banco.


  • Consentimiento Falso: ¿Cómo sabe el Banco que el usuario realmente autorizó a la Fintech "X" a debitar $500.000?


Si su estrategia de seguridad para APIs se basa en API Keys estáticas o OAuth 2.0 estándar sin capas adicionales, usted es vulnerable.


La Solución Arquitectónica: FAPI (Financial-grade API)


En este punto es donde herramientas como Ping Identity dejan de ser un simple "software de login" y se convierten en infraestructura crítica de defensa. Para operar en Bre-B de forma segura, la implementación del perfil de seguridad FAPI (Financial-grade API) es innegociable.


FAPI no es un producto; es un estándar de endurecimiento sobre OAuth 2.0 y OIDC que mitiga los riesgos específicos del sector financiero:


  • Tokens Constreñidos al Remitente (Sender-Constrained Tokens): A diferencia de los Bearer Tokens (donde quien tiene el token tiene el poder), FAPI exige mTLS (Mutual TLS). El token se vincula criptográficamente al certificado del cliente (la Fintech). Si un atacante roba el token pero no tiene la llave privada del certificado, el token es inútil.


  • JARM (JWT Secured Authorization Response Mode): Asegura que incluso la respuesta de autorización esté firmada y cifrada, evitando la manipulación de datos en el retorno al cliente.


En general, la recomendación es no intentar construir FAPI in-house. La complejidad criptográfica y de gestión de claves es propensa a errores humanos. Utilice una plataforma de identidad (como PingFederate o PingGateway) que traiga FAPI nativo y certificado. Esto reduce su time-to-market para Open Finance y transfiere la carga del mantenimiento del estándar al proveedor.


El Dolor Operativo: Reducir la tasa de abandono.


El enfoque tradicional de seguridad para mitigar esto es añadir fricción: Preguntas de reto, validación de documentos lenta, OTPs por SMS (que son inseguros).


El resultado es predecible: el usuario moderno, acostumbrado a la inmediatez de las plataformas de streaming, transporte o delivery, abandona el proceso de onboarding bancario si tarda más de 3 minutos. El CIO se enfrenta a una paradoja: Más seguridad = Menos Clientes.


La oportunidad de mejora está en el uso de soluciones de Orquestación de Identidad que responden mejorando la experiencia del usuario, sin eliminar la seguridad, haciéndola inteligente e invisible. Esta perspectiva permite diseñar flujos de autenticación dinámicos que reaccionan al riesgo en tiempo real. Imaginemos por un momento este flujo implementado con una herramienta de orquestación como PingOne DaVinci:


En el paso 0 (Invisible): El usuario inicia el onboarding, el sistema captura la huella del dispositivo, la geolocalización, la inteligencia de amenazas y se cuestiona ¿Esta IP es un nodo de Tor? ¿El dispositivo "ha sido" roberto?. Luego, está la Bifurcación de Riesgo:


  • Riesgo Bajo: El usuario pasa directo a una validación simplificada.


  • Riesgo Alto: Se dispara automáticamente un flujo de step-up authentication (ej. biometría facial con prueba de vida).


  • Validación Externa: El orquestador consulta vía API a la Registraduría (o burós de crédito) en milisegundos para validar la cédula, sin que el usuario note la complejidad técnica.


Este enfoque permite mantener el fraude a raya mientras se maximiza la conversión de usuarios legítimos, cumpliendo con la promesa digital sin exponer al banco a pérdidas masivas.


El Desafío de Open Finance: La Integración Híbrida


Seamos realistas con el contexto colombiano. Según el informe IDC Outlook 2025, aunque la nube crece, gran parte de la banca colombiana todavía opera sobre Mainframes y Core Banking legacy que no fueron diseñados para el mundo de las APIs RESTful. En este contexto una pregunta válida para tener mayor perspectiva es ¿Cómo conecta una Fintech moderna con un Core de hace 30 años sin romperlo?


Aquí, entra en juego El Patrón "Identity Gateway" donde la clave es no intentar modificar el código del Core para manejar OAuth o OIDC lo cual resulta costoso y peligroso. La estrategia correcta es colocar un Gateway de Identidad (como PingGateway) frente a sus aplicaciones legacy.


A través de este mecanismo, intercepta las peticiones modernas (HTTP/API), gestiona la autenticación compleja contra la nube (MFA, Biometría), y una vez validado el usuario, pasa la petición al sistema Legacy inyectando las cabeceras o credenciales que el sistema antiguo espera.


Esta metodología trae como beneficio la modernización, la seguridad y la experiencia de usuario sin tener que refactorizar el código del sistema bancario central. Es la única forma de cumplir los plazos regulatorios de Open Finance sin embarcarse en una migración de Core de 5 años.


Gobernanza y Privacidad: El Factor "Ley 1581" y el Consentimiento


Interoperabilidad es la palabra clave, pero en Colombia, esto va de la mano con la estricta Ley de Protección de Datos (Ley 1581) y las nuevas circulares de la Superfinanciera sobre ciberseguridad. En un ecosistema abierto, el Consentimiento lo es todo. El usuario debe autorizar explícitamente qué datos comparte, con quién y por cuánto tiempo.


Aquí el error común es considerar el consentimiento como un lista de checks. Muchos bancos implementan el consentimiento como una casilla de verificación en el frontend. Esto es insuficiente legal y técnicamente. La solución es aplicar una Gestión Centralizada de Consentimiento que:


  • Debe ser Granular: Por ejemplo que el usuario pueda decir "Autorizo compartir mis saldos, pero no mis movimientos históricos".


  • Debe ser Revocable: El usuario debe tener un panel donde pueda ver qué Fintechs tienen acceso a sus datos y revocar ese acceso con un clic.


  • Debe ser Auditable: En caso de disputa ante la SIC (Superintendencia de Industria y Comercio), usted debe tener la traza inmutable de cuándo y cómo se dio ese consentimiento.


Ping Identity maneja esto a través de políticas de autorización centralizadas, asegurando que si un usuario revoca el acceso en su portal de banca, la API deja de responder inmediatamente a la Fintech, sin depender de procesos batch nocturnos.


Perspectivas Económicas de las Finanzas Abiertas: ROI en Tiempos de Incertidumbre


IDC pronostica para Colombia en 2025 un entorno de volatilidad económica y presupuestos de TI vigilados con lupa. Invertir en CIAM y Seguridad de APIs puede parecer costoso, pero el costo de no hacerlo es mayor. Veámoslo con detalle:


  • Reducción de Costos de Soporte: Entre el 30% y 50% de las llamadas al Help Desk bancario son por reseteo de contraseñas. Implementar Passwordless elimina este costo operativo de raíz.


  • Agilidad de Negocio: La orquestación de identidad permite lanzar nuevos productos de crédito o alianzas en semanas, no meses. Reutilizar flujos de identidad en lugar de recodificarlos acelera el Time-to-Revenue.


  • Prevención de Multas: Las sanciones por fallas en la seguridad de la información pueden ascender a miles de millones de pesos, sin contar el daño reputacional irreversible en un mercado donde la confianza es el único activo real.


La Identidad es la Infraestructura


El reporte FinTech Americas 2026 pinta un futuro brillante de ecosistemas conectados y crédito inteligente. Pero ese futuro está construido sobre cimientos digitales. Si esos cimientos son contraseñas estáticas y firewalls perimetrales, la estructura colapsará bajo el peso del fraude y la sofisticación de los ataques que las entidades, grandes fabricantes de software a nivel mundial y múltiples consultoras de tecnología ya están reportando.



Nuestra recomendación final para usted como líder de TI dentro de su organización es dejar de ver la autenticación como un "formulario de entrada. En 2025, la identidad es el tejido conectivo que mantiene unido su ecosistema digital:


  • Audite su preparación para FAPI hoy mismo.


  • Centralice la gestión de identidades de clientes (CIAM) para eliminar silos de datos.


  • Orqueste la experiencia para eliminar la fricción innecesaria.





 
 
 

Comentarios

¡Nuestros consultores
están listos para iniciar!

Como parte de nuestro valor agregado, realizamos un diagnóstico inicial totalmente gratuito para brindarle una asesoría ajustada a las necesidades reales de su organización. 

bottom of page