CNBV eleva exigencias para bancos y clientes; especialista advierte retos
- Ana Paula Sánchez
- julio 9, 2026
- Entrevistas
- CNBV, CUB, IQSEC, México
- 0 Comments
Brenda Ocampo
Los bancos disponen de 90 días naturales para adaptar el uso de la firma electrónica en sus solicitudes, contratos y expedientes de crédito, tras la reforma a la Circular Única de Bancos (CUB), publicada por la Comisión Nacional Bancaria y de Valores (CNBV) el 12 de junio de este año. La nueva normativa actualiza la regulación de la firma avanzada, la variante fiable y el consentimiento expreso digital en diversos procesos crediticios.
“Para los bancos, la firma electrónica ya formaba parte del entorno jurídico y operativo; lo relevante ahora es que la CNBV eleva la exigencia sobre cómo debe integrarse en expedientes crediticios. La firma electrónica debe verse como un elemento clave de cumplimiento, evidencia digital y confianza institucional”, señaló Alicia Trejo, gerente Ciberlegal de IQSEC.
La especialista afirmó en entrevista con Poder México que la capacidad de asimilación de la banca dependerá de su experiencia previa con estas herramientas y de las decisiones que coordinen sus áreas legales, tecnológicas, de cumplimiento y de negocio.
“Sí es posible que los bancos lo puedan implementar en el plazo previsto, estamos hablando que vence en el mes de septiembre, siempre y cuando se haga el análisis correspondiente a cuál es el tipo de firma, el tipo de solución y de plataforma que van a implementar”, explicó.
Falta de validación de identidad propicia el fraude
El peligro principal radica en seleccionar un instrumento que no se ajuste a la categoría legal requerida para cada operación, ya que la reforma distingue diversos mecanismos con diferentes alcances probatorios.
“Se tiene que tener conocimiento realmente del tipo de firma que se va a utilizar para que el día de mañana el firmante no pueda repudiar el contenido”, sostuvo Trejo.
Trejo advirtió que ciertos proveedores comercializan soluciones como si fueran firmas avanzadas, cuando en realidad solo ofrecen una constancia de conservación de mensajes de datos o un simple trazo en pantalla.
“Cuando analizamos, nada más estaban utilizando un grafo”, relató Trejo sobre un caso reciente. “Si yo te pongo otro nombre, realmente tú no tienes la certeza de que soy o no soy esa persona”, agregó.
Esta deficiencia técnica eleva la vulnerabilidad ante suplantación de identidad, lavado de dinero y financiamiento al terrorismo. “No tienes la certeza de que esa persona con un grafo es quien dice ser”, afirmó. En contraposición, explicó que una firma electrónica avanzada respaldada por un certificado, como el emitido por el SAT, tiene un proceso de validación de identidad que permite sostener la atribución del acto ante un juicio.
La digitalización de los expedientes crediticios también obliga a salvaguardar evidencias de identidad, consentimiento, integridad, fecha cierta, trazabilidad, conservación y disponibilidad para consulta posterior.
“El valor de una firma electrónica en un expediente crediticio no está solo en que el cliente pueda firmar a distancia, sino en que el banco pueda defender esa operación frente a una auditoría, una reclamación, una revisión regulatoria o una controversia judicial”, destacó la experta.
Computación cuántica amenaza el cifrado bancario
Asimismo, la especialista instó a prever el impacto del denominado Día Q, concepto que refiere el momento en que las computadoras cuánticas alcancen la potencia necesaria para vulnerar los sistemas criptográficos actuales.
“Los sectores críticos, como el bancario, no deben confiar en que la información estará protegida indefinidamente solo porque hoy esté cifrada con algoritmos criptográficos actuales. Tienen que prepararse porque, cuando llegue el cómputo cuántico, estos algoritmos se podrán romper. Y lo que no se ve, se va a poder ver”, alertó.
La amenaza consiste en que ciberdelincuentes sustraigan información cifrada y la conserven para intentar acceder a ella cuando exista mayor capacidad tecnológica. “¿Realmente ese cifrado te va a servir el día de mañana?”, cuestionó Trejo. Por ello, señaló que los bancos deben mapear los mecanismos que sostienen sus expedientes digitales, desde la firma electrónica y los sellos digitales de tiempo hasta las constancias de conservación, las políticas de datos personales y los controles de ciberseguridad.
Frente a ese escenario, la especialista señaló que la protección debe avanzar hacia algoritmos postcuánticos, es decir, mecanismos de cifrado más robustos frente a la capacidad de procesamiento de la computación cuántica. “Eso es lo que también estamos invitando a analizar al sector financiero”, añadió.
Debido a que los expedientes crediticios digitales reúnen información altamente sensible, como documentos oficiales y registros financieros, IQSEC plantea que las instituciones prioricen la privacidad por diseño, la minimización de datos, el cifrado, los mecanismos auditables de consentimiento y las capacidades de conservación probatoria.
Finalmente, Trejo compartió que “la firma electrónica para uso en el sector bancario debe implementarse con visión integral: no basta con firmar; hay que proteger el dato, conservar la evidencia y asegurar que el expediente siga siendo confiable en el tiempo”.


