Blog de Internet Security Auditors

La evolución de la seguridad SWIFT: Claves para 2025 (Parte 2) - Blog de Internet Security Auditors

Escrito por Diego de la Horra | Jun 23, 2025 7:36:31 AM

En este segundo artículo continuaremos el análisis de los principios de seguridad incluidos en el CSCF de 2025 (los cuatro primeros principios fueron analizados en el anterior artículo), así como detallaremos los cambios que ha habido respecto a la versión de 2024.

Principio 5: Gestionar identidades y separación de privilegios

Este principio del CSCF está enfocado en el control de acceso lógico al entorno, protegiendo las cuentas utilizadas para los accesos y asignándolas unos privilegios adecuados en base a los roles y responsabilidades del personal, los cuales quedarán determinados por la función del trabajo a desarrollar por los empleados y a la necesidad de saber, utilizando siempre el principio de menos privilegio. Los controles de seguridad recogidos por este principio son cuatro, siendo uno opcional:

➡️ 5.1 Control de acceso lógico.
➡️ 5.2 Gestión de tokens.
➡️ 5.3A Proceso de screening del personal.
➡️ 5.4 Protección del repositorio de contraseñas.

Los controles de seguridad englobados en este principio son los siguientes:

➡️ Gestión de identidades para garantizar el cumplimiento de los principios del mínimo privilegio, necesidad de saber y separación de tareas.
➡️ Revisión y revocación de cuentas en base a las necesidades de acceso establecidas y configuradas.
➡️ Control de cuentas privilegiadas y limitación de uso.
➡️ Protección de los tokens y de los repositorios de contraseñas, garantizando su confidencialidad y la integridad.
➡️ Controles de seguridad destinados a la protección de contraseñas con el objetivo de evitar que se vean comprometidas o filtradas.
➡️ Evaluación de candidatos previo a la contratación para reducir riesgos y monitorización de empleados de forma periódica.

Principio 6: Detectar actividad anómala en sistemas y archivos de transacciones

El sexto principio del CSCF se centra en la detección de amenazas en el entorno de SWIFT a partir de controles de seguridad específicos como soluciones antimalware, mecanismos de protección de la integridad en el software y bases de datos, monitorización de eventos de seguridad y mecanismos de detección de intrusión. El objetivo principal de este requisito es monitorizar cualquier actividad en los sistemas con el objetivo de identificar cualquier evento que pueda suponer incidente de seguridad. Los archivos de transacciones también se analizarán con el objetivo de garantizar la seguridad de las transacciones financieras. Los controles de seguridad especificados en este principio son:

➡️ 6.1 Protección malware.
➡️ 6.2 Integridad software.
➡️ 6.3 Integridad de base de datos.
➡️ 6.4 Logging y monitorización.
➡️ 6.5A Detección de intrusión.

Las principales medidas de seguridad recogidas dentro de estos controles de seguridad son las siguientes:

➡️ Instalación, mantenimiento y actualización de soluciones antimalware en los equipos con el objetivo de identificar los distintos tipos de malware, protegiendo los activos forma rápida y eficiente.
➡️ Gestión de las alertas generadas por las soluciones antimalware para garantizar una respuesta adecuada y rápida ante cualquier evento.
➡️ Instalación y mantenimiento de mecanismos de protección de la integridad, a distintos niveles, en el software y en las bases de datos. Gestión de las alertas de seguridad producidas.
➡️ Configuración segura de logs de auditoría.
➡️ Monitorización de eventos de seguridad con el fin de detectar de forma rápida y efectiva amenazas de seguridad dentro del entorno SWIFT.
➡️ Almacenamiento seguro de logs de actividad.
➡️ Instalación y mantenimiento de soluciones de detección de accesos no autorizados a la red y cualquier actividad anómala.

Principio 7: Plan de respuesta ante incidentes y compartición de información

El último principio del CSCF se centra en la etapa de respuesta ante incidentes de seguridad y gestión de riesgos, así como en el aprendizaje del personal para evitar estos incidentes de seguridad. La respuesta ante incidentes de seguridad es un elemento clave en la seguridad de cualquier entorno, garantizando la respuesta adecuada ante cualquier actividad disruptiva coordinando las acciones a llevar a cabo por el personal. Otro de los puntos importantes dentro de este principio reside en la realización de pruebas de penetración con el objetivo de identificar nuevas vulnerabilidades dentro del entorno. Los controles de seguridad recogidos por este principio son:

➡️ 7.1 Plan de respuesta ante ciberincidentes.
➡️ 7.2 Concienciación y formación en seguridad.
➡️ 7.3A Pruebas de penetración.
➡️ 7.4A Evaluación de riesgos basadas en escenarios.

Los controles de seguridad definidos dentro de este último principio:

➡️ Establecimiento, mantenimiento, actualización y verificación de un plan de respuesta ante incidentes de seguridad para actuar de manera rápida y coordinada frente a incidentes de seguridad.
➡️ Concienciación y formación en materia de seguridad para todo el personal con acceso a los sistemas de SWIFT.
➡️ Ejecución de pruebas de penetración.
➡️ Ejecución de evaluaciones de riesgo basadas en escenarios con el objetivo de mejorar la respuesta ante incidentes de seguridad.

Cambios con respecto al CSCF de 2024

La versión de 2025 del CSCF hace una mejora con respecto al año pasado, incluyendo cambios en el alcance o clarificaciones en las guías de implantación.

Como nota más importante, no ha habido ningún cambio en la obligatoriedad de cumplir con algún control de seguridad, manteniéndose los 7 controles recomendados en esta versión. De la misma forma, no ha habido ningún componente de sistema que haya pasado a tener un carácter de obligatorio y tenga que ser considerado como parte obligatoria dentro del alcance.

En cambio, el control 2.4A Seguridad del flujo de datos de back-office ha sido adaptado con el objetivo de convertirse en un control obligatorio en 2026, facilitando así su implementación y reduciendo el impacto en una futura versión del framework. La versión de 2025 recomienda la preparación de un plan de priorización para los flujos identificados entre la zona segura y los primeros saltos de back-office de acuerdo a su postura en seguridad y en base a un enfoque de riesgo.

Otro de los cambios dentro de la nueva versión del CSCF tiene que ver con la incorporación gradual de componentes dentro del “customer connector”, sistema clave dentro de las arquitecturas para la conexión de los entornos con la red de SWIFT, facilitando la conectividad entre las entidades financieras y permitiendo a las organizaciones enviar y recibir mensajes de forma segura y eficiente. Este nuevo componente, considerado como advisory en la presente versión, es conocido como “customer client connector”, pudiendo ser Middleware, un cliente de transferencia de ficheros o una API. Se espera que este componente cambie su carácter a obligatorio dentro del CSCF de 2026, fecha en la cual el “customer connector” cubriría tanto endpoints que sean servidores como clientes que se conectan a un proveedor de servicio para que conecte al entorno de la organización con la red SWIFT, o que se conectan directamente a la red SWIFT.

Finalmente, en la nueva versión se han hecho clarificaciones adicionales en las distintas secciones para facilitar la comprensión del documento y ayudar a los usuarios a implementar el framework de forma adecuada. Algunas de estas clarificaciones son:

➡️ Clarificación sobre el concepto de gestión de transacciones de negocio.
➡️ Cambios en las definiciones: Proveedores de conectividad SWIFT, proveedores de servicio o entorno de IT general.
➡️ Inclusión de una nueva interfaz de mensajería (Standalone Alliance Access).
➡️ Información adicional en controles y apéndices.
➡️ Nuevos dibujos explicativos para facilitar la identificación de las arquitecturas.

Conclusiones

Una vez analizado por completo SWIFT, podemos concluir que el framework de SWIFT, el CSCF, es una herramienta esencial que garantiza la seguridad en las transacciones financieras a nivel global entre las distintas entidades que forman parte de la red SWIFT, siendo su última versión publicada la de julio de 2025.

El CSCF, a través de sus 7 principios fundamentales, que engloban los 32 controles de seguridad definidos, SWIFT ofrece un enfoque estructurado con el fin de proteger las comunicaciones financieras, limitando los riesgos en los entornos mediante la implementación de medidas de seguridad orientadas a proteger a los sistemas ante ciberataques o vulnerabilidades. La integración de estos controles permite a las instituciones financieras crear un entorno más seguro y confiable para sus operaciones diarias, así como prepararse ante cualquier desafío futuro en materia de ciberseguridad, pudiendo minimizar o reducir consecuencias comerciales indeseables y potencialmente fraudulentas.

Los controles de seguridad tienen como objetivos el proteger el entorno SWIFT de las entidades financieras, conocer y limitar los accesos mediante controles de acceso, y detectar y responder ante incidentes de seguridad.

Las organizaciones deben abordar la implementación de controles de seguridad como un proceso de mejora continua dentro de un programa integral de gobernanza y gestión de riesgos cibernéticos, en lugar de considerarlo como una tarea aislada o puntual. De este modo, pueden aprovechar y optimizar las políticas, procedimientos y controles ya existentes que han sido establecidos para manejar otros aspectos del riesgo cibernético, siempre basándose en el juicio adecuado y las mejores prácticas. Además, deben tener en cuenta las infraestructuras tecnológicas desplegadas y las configuraciones específicas implementadas por los usuarios, asegurando una integración eficaz y sostenible a largo plazo.

La evolución continua en las amenazas y vulnerabilidades, así como en las técnicas de ataque, y, por tanto, en las medidas de seguridad que defienden ante ellas obliga a una actualización continua en los programas de seguridad de las organizaciones, obligando a adoptar nuevas medidas de protección o a evolucionar las presentes. Siguiendo este enfoque, SWIFT revisa y evoluciona de forma periódica el CSCF para así abordar estos nuevos controles de seguridad de forma eficiente, elevando el nivel de seguridad en los entornos. 

Es por ello que la versión de 2025 del CSCF presenta una evolución con respecto a la de 2024 con las miras puestas en el framework de 2026, facilitando la implantación de controles recomendables gradualmente hasta su futura obligatoriedad, aunque no existe ningún control de seguridad, o componente dentro del alcance, que cambie su carácter a obligatorio, continuando siendo buenas prácticas durante 2025. De este modo, el control recomendable 2.4A Seguridad del flujo de datos de back-office presenta información adicional para facilitar su implementación gradual y así proteger los flujos entre back-office y la zona segura, los cuales en un futuro serán considerados como obligatorios. De esta forma, se ayuda a las entidades en la planificación.

Adicionalmente, la versión de 2025 añade un nuevo componente, recomendable, llamado “customer client connector” con el objetivo de garantizar su protección a través de diversas medidas de seguridad, y así pasar a formar parte del “customer connector” en un futuro próximo.


Referencias:
SWIFT Customer Security Controls Framework (CSCF) v2025 – Customer Security Programme:
https://www2.swift.com/knowledgecentre/rest/v1/publications/cscf_dd/62.0/CSCF_v2025_20240701.pdf?logDownload=true
Glosario SWIFT:
https://www2.swift.com/knowledgecentre/rest/v1/publications/udic/12.0/udic.pdf?logDownload=true
La evolución de la seguridad SWIFT: Claves para 2025 (Parte 1):
https://blog.isecauditors.com/la-evolucion-de-la-seguridad-swift-claves-para-2025-parte-1
 
Ver post completo