SWIFT (Society for Worldwide Interbank Financial Telecommunication) es una sociedad cooperativa internacional formada por instituciones financieras, como son los bancos, para el envío de información relativa a transacciones bancarias de forma rápida, precisa y segura, mediante la utilización de mensajes financieros estandarizados para confirmar los pagos, liquidaciones de operaciones, etc. El uso de mensajes y datos de referencia estandarizados garantiza que los datos intercambiados son correctos. Algunos ejemplos de estos mensajes estandarizados son: SWIFT MT, SWIFT MX o ISO 20022. En el ámbito de SWIFT, las distintas organizaciones se identifican a través de su código SWIFT BIC (Business Identifier Code).
Lanzado en 2016 como respuesta a ciberataques dirigidos a usuarios de SWIFT, SWIFT Customer Security Controls Framework (CSCF) emerge como una herramienta crucial para fortalecer la protección de las instituciones financieras que utilizan la red SWIFT. Creado por el Customer Security Programme (CSP), este marco de seguridad establece directrices claras y prácticas de cumplimiento que las organizaciones deben seguir para salvaguardar sus sistemas y datos sensibles, minimizando el impacto financiero de transacciones financieras fraudulentas y reduciendo el riesgo de ciberataques en las organizaciones. En este artículo, exploraremos en detalle qué es el CSCF v2025, sus principales componentes y cómo su adopción puede mejorar significativamente la seguridad cibernética de las instituciones financieras.
SWIFT Customer Security Controls Framework (CSCF)
El SWIFT Customer Security Controls Framework o CSCF es un documento que establece un conjunto de controles de seguridad de carácter obligatorio y opcional para los usuarios de un entorno operativo SWIFT. Estos controles de seguridad se basan en otros estándares de seguridad aceptados por la industria, tales como NIST, ISO 27000 y PCI DSS. Los controles de seguridad obligatorios establecen unas directrices de seguridad para toda la comunidad y tienen que ser implementados por todos los usuarios dentro de la infraestructura SWIFT.
Los controles de seguridad definidos en el CSCF tienen definidos 3 objetivos:
✅ Proteger el entorno.
✅ Conocer y limitar el acceso.
✅ Detectar y responder.
Estos objetivos están formados por 7 principios que, a su vez, se componen de 32 controles de seguridad.
Estos 32 controles de seguridad (25 obligatorios y 7 recomendables) son analizados de forma continua, teniendo en cuenta las nuevas amenazas y vulnerabilidades descubiertas, la información provista por expertos y usuarios, o la aparición de nuevas tecnologías o la evolución de las mismas. De esta forma, los controles de seguridad son revisados y evolucionados de forma periódica, garantizando la seguridad en los entornos SWIFT ante nuevas formas de ataque y mitigando riesgos de ciberseguridad. Generalmente, una nueva versión del CSCF es publicada en julio de cada año, siendo la última publicada la de julio de 2025.
Los 7 principios, que contienen a los 32 controles definidos en el CSCF publicado en julio de 2025, van a ser analizados a continuación (en este primer artículo cubriremos los 4 primeros principios):
Principio 1: Restringir el acceso a Internet y proteger los sistemas críticos del entorno general de IT
El primer principio del CSCF se centra en la protección perimetral del entorno de SWIFT, aislando los sistemas críticos de SWIFT para minimizar los riesgos de exposición ante amenazas externas. De esta forma se reduce la superficie de ataque y se garantiza una mayor seguridad perimetral, limitando las amenazas externas. Los controles de seguridad recogidos por este principio son:➡️ 1.1 Protección del entorno SWIFT.
➡️ 1.2 Control de cuentas privilegiadas en sistemas operativos.
➡️ 1.3 Protección de virtualización o de la plataforma cloud.
➡️ 1.4 Restricción del acceso a Internet.
➡️ 1.5 Protección del entorno del consumidor.
Algunas de las medidas de seguridad a adoptar en el entorno para cubrir con este principio y sus controles de seguridad son:
➡️ Segmentación de las redes de comunicación para reducir al máximo posible el entorno de SWIFT y aislarlo.
➡️ Limitación de amenazas externas del entorno mediante la utilización de dispositivos de red que protejan las redes internas y las comunicaciones establecidas con el exterior.
➡️ Implementación de medidas de seguridad para la protección de las distintas zonas identificadas en un entorno SWIFT (zona segura, back office, etc.).
➡️ Protección y control de los accesos al entorno por parte de los operadores.
➡️ Control de cuentas privilegiadas para limitar su utilización y monitorizar las acciones llevadas a cabo garantizando la trazabilidad.
➡️ Configuración segura adecuada de los sistemas virtualizados o infraestructura cloud.
➡️ Aislamiento y protección de los sistemas virtualizados.
➡️ Control del acceso a Internet por parte de los equipos de los operadores.
Principio 2: Reducir la superficie de ataque y las vulnerabilidades
El segundo principio está compuesto por la mayor parte de controles de seguridad que hay dentro del framework, y tiene como objetivo el proteger los sistemas y aplicaciones que forman parte del entorno de SWIFT. Estos controles se centran en la protección ante vulnerabilidades y otras amenazas de seguridad, protegiendo los sistemas a través de configuraciones seguras e instalando actualizaciones y parches de seguridad para evitar vulnerabilidades dentro del entorno, y minimizando cualquier riesgo. Los distintos flujos, que forman parte de la operativa de SWIFT, deben ser protegidos para reducir el riesgo a exposición. Los 11 controles de seguridad, de los cuales 3 son recomendables (identificados con una “A” después del número de control en la lista mostrada a continuación), son los siguientes:➡️ 2.1 Seguridad del flujo de datos interno.
➡️ 2.2 Actualizaciones de seguridad.
➡️ 2.3 Bastionado de sistemas.
➡️ 2.4A Seguridad del flujo de datos de back-office.
➡️ 2.5A Protección de datos transmitidos al exterior.
➡️ 2.6 Confidencialidad e integridad de las sesiones de los operadores.
➡️ 2.7 Escaneo de vulnerabilidades.
➡️ 2.8 Protección de la actividad crítica externalizada.
➡️ 2.9 Controles de negocio de transacción.
➡️ 2.10 Bastionado de aplicaciones.
➡️ 2.11A Controles de negocio RMA.
Entre las medidas de seguridad que definen estos controles están:
➡️ Utilización de protocolos y algoritmos robustos para proteger las comunicaciones con los componentes del entorno y con terceros, protegiendo los flujos de comunicaciones definidos.
➡️ Actualización de los equipos de forma periódica y configuración de los parámetros de seguridad de sistemas y aplicaciones con el fin de evitar vulnerabilidades y amenazas en los sistemas.
➡️ Mantenimiento de todos los componentes de sistema en versiones dentro de soporte proporcionado por el fabricante.
➡️ Validación y comprobación de las actualizaciones y parches de seguridad, así como de la configuración correcta de las distintas tecnologías dentro del alcance SWIFT.
➡️ Protección de las sesiones de los operadores a través de protocolos seguros que protegen las comunicaciones con los sistemas.
➡️ Detección de vulnerabilidades a través de la ejecución de escaneos de vulnerabilidades periódicos.
➡️ Verificación de la seguridad de los servicios proporcionados por terceros a través de SLAs, NDAs, etc.
➡️ Evaluaciones de riesgo de los servicios prestados por terceras partes.
➡️ Implementación de mecanismos para verificar el estado de las transacciones y evitar el fraude en las mismas.
Principio 3: Seguridad física en el entorno
El objetivo del tercer principio del CSCF está enfocado en la protección física del entorno de SWIFT sobre el que se sustenta toda la arquitectura de las organizaciones, garantizando la integridad de sus instalaciones, componentes de sistema instalados, empleados o información sensible. Este principio solamente está compuesto por un control de seguridad:➡️ 3.1 Seguridad física
Algunas medidas de seguridad señaladas dentro de este control son:
➡️ Protección física de todos los equipos que forman parte de la arquitectura.
➡️ Control de acceso físico seguro y gestionado para limitar los accesos al entorno SWIFT.
➡️ Gestión de medios extraíbles y destrucción segura.
➡️ Protección del lugar de trabajo de los empleados y políticas de teletrabajo.
Principio 4: Prevenir el compromiso de credenciales
La seguridad de las credenciales utilizadas para el acceso al entorno, y a los propios sistemas que lo forman, es tratada dentro del principio 4. Los controles de seguridad incluidos dentro de este principio tienen como objetivo el garantizar un acceso seguro a los distintos componentes del sistema mediante la utilización de distintos factores de autenticación, evitando cualquier acceso no autorizado al entorno SWIFT, implementando una política de contraseñas adecuada para proteger los distintos activos y utilizando autenticación multi-factor (MFA) para dotar de una capa adicional de seguridad. Los controles de seguridad recogidos por este principio son:
➡️ 4.1 Política de contraseñas.
➡️ 4.2 Autenticación multi-factor.
Los principales controles definidos dentro de este principio se resumen en:
➡️ Establecimiento de una política de contraseñas segura para todos los equipos dentro del alcance.
➡️ Protección de las contraseñas utilizadas y de cualquier factor de autenticación utilizado para garantizar su confidencialidad e integridad.
➡️ Utilización del MFA para garantizar la autenticación dentro de los sistemas que componen el entorno SWIFT.
Referencias:
SWIFT Customer Security Controls Framework (CSCF) v2025 – Customer Security Programme:
https://www2.swift.com/knowledgecentre/rest/v1/publications/cscf_dd/62.0/CSCF_v2025_20240701.pdf?logDownload=true
Glosario SWIFT:
https://www2.swift.com/knowledgecentre/rest/v1/publications/udic/12.0/udic.pdf?logDownload=true
