El Customer Security Controls Framework de SWIFT cambió de una manera que es fácil subestimar. Desde el ciclo 2026, el Control 7.3A ya no se lee como un único escaneo anual. La guía ahora describe un conjunto de escenarios de prueba que deben ejercitarse a lo largo de un ciclo trienal continuo, que cubre la interfaz de mensajería, la zona segura y su segmentación, y las rutas de las estaciones de trabajo de los operadores que las intrusiones reales explotan (SWIFT 2025). El control es consultivo, pero para cualquier institución que se autoatesta frente a él, el evaluador esperará un registro coherente de alcance, método, hallazgos y remediación, no un certificado.
Ese es el momento de tomar una decisión que decide en silencio tu presupuesto de pruebas para los próximos tres años.
La vía cara, y la vía excelente
La vía cara lee cada regulación como un trabajo separado. Defines el alcance de la prueba SWIFT de forma estrecha, luego encargas una prueba de resiliencia separada para el Digital Operational Resilience Act, respondes a la regla de pruebas anuales de Nueva York con un tercer ejercicio y preparas evidencia para un supervisor canadiense según un cuarto calendario. Cuatro encargos, cuatro fases de reconocimiento, cuatro ciclos de remediación y cuatro conjuntos de evidencia que no encajan entre sí. Peor aún, ninguno de los cuatro ve a tu institución como la ve un adversario, de extremo a extremo.
La vía excelente parte de un hecho que la mayoría de los equipos pasa por alto: estas no son cuatro pruebas distintas. La guía afinada 7.3A de SWIFT, el threat-led penetration testing de DORA, el 23 NYCRR Part 500 de Nueva York y la Guideline B-13 del OSFI de Canadá son cuatro expresiones de supervisión de una única idea. Los supervisores en todas partes quieren ahora pruebas guiadas por la inteligencia e informadas por las amenazas que demuestren que tus controles funcionan, no pruebas que demuestren que existen. Diseña según la más exigente de ellas, registra el resultado frente a un marco compartido, y las demás se desprenden como subproducto.
Qué parece la excelencia
La excelencia está guiada por el riesgo, no por el cumplimiento. La prueba de penetración es el instrumento que usas para encontrar y retirar tus exposiciones más consecuentes, y aprobar el control es lo que sucede cuando lo haces bien. Cuatro movimientos marcan la diferencia.
Primero, define el alcance según la consecuencia. Inventaría tu patrimonio SWIFT y clasifica las rutas según el daño que causaría un compromiso, no según lo fáciles que sean de probar. Ese es el alcance que un verdadero atacante elegiría, y es la postura guiada por las consecuencias que tanto el OSFI B-13 como la regla de Nueva York recompensan.
Segundo, enmárcalo con inteligencia de amenazas. Deja que la inteligencia actual sobre los actores que apuntan a la mensajería financiera dé forma a los escenarios, de modo que la prueba ensaye intrusiones plausibles en lugar de genéricas. Este único paso es lo que convierte una prueba de penetración en una prueba guiada por las amenazas, y es lo que vuelve creíble el mismo ejercicio bajo DORA y B-13.
Tercero, mide la detección y la respuesta, no solo los hallazgos. El punto no es solo la lista de vulnerabilidades. Es si tu propia supervisión vio suceder la prueba y si tu equipo la contuvo. Esa medición es la evidencia que los marcos modernos realmente piden.
Cuarto, archiva el resultado una sola vez. Registra alcance, escenarios, narrativa del ataque, hallazgos, remediación y rendimiento de detección frente al NIST Cybersecurity Framework 2.0, la única referencia reconocida a ambos lados del Atlántico y entre los Estados Unidos y Canadá, y luego etiquétalo para cada régimen. No has aprobado una prueba. Has construido un reutilizable activo probatorio de resiliencia.
La mapeo, en una línea cada uno
El 7.3A de SWIFT quiere una prueba basada en escenarios, consciente de la zona segura, a lo largo de tres años. DORA quiere pruebas guiadas por la inteligencia al menos cada tres años para las entidades significativas, con la NIS2 haciéndose a un lado para las firmas financieras. Nueva York quiere pruebas de penetración al menos anualmente, desde dentro y desde fuera de la frontera. El OSFI B-13 quiere pruebas guiadas por la inteligencia y basadas en resultados para las instituciones con huellas tecnológicas significativas. Diseña una vez según la columna más fuerte de cada uno, y un solo encargo responde a todos.
Dónde te deja esto
Si tu evaluación SWIFT 2026 se acerca, la pregunta ya no es si ejecutar una prueba de penetración. Es si ejecutarla cuatro veces o una. La institución que define el alcance según la consecuencia, enmarca con inteligencia, mide sus propias defensas y archiva la evidencia frente a una columna vertebral compartida gasta menos y demuestra más.
Nuestro servicio de evaluación SWIFT CSP define el alcance y ejecuta la prueba 7.3A según este estándar, y PenTeva valida y rastrea los hallazgos hasta su cierre, de modo que la evidencia se sostenga bajo cualquiera de los cuatro regímenes. El razonamiento completo, con el mapeo régimen por régimen y las referencias, está en nuestro working paper, Test once, satisfy many.
Si deseas una conversación de definición de alcance antes de tu ventana de atestación, habla con nuestro equipo de evaluación.