Nuevos controles de seguridad cibernética del Banco Central de Brasil: Resoluciones CMN 5.274/2025 y BCB 538/2025

El Consejo Monetario Nacional y el Banco Central de Brasil publicaron, el 18 de diciembre de 2024, las Resoluciones CMN nº 5.274/2025 y BCB nº 538/2025, que alteran sustancialmente el marco regulatorio de seguridad cibernética aplicable a las instituciones supervisadas. Las normas revisan la Resolución CMN 4.893/2021 y BCB 85/2021, pero esta vez con un mensaje claro: no bastan políticas formales, el regulador espera evidencias técnicas verificables de que los controles están implementados y funcionando.

Por qué el regulador endureció las reglas

La consolidación del Pix como infraestructura crítica, el crecimiento del volumen transaccional en tiempo real, la dependencia de integraciones vía APIs con terceros y el aumento de ataques sofisticados crearon un escenario de riesgo sistémico que exige una respuesta proporcional. Las resoluciones dejan explícito que la seguridad cibernética pasó a ser tratada como elemento de estabilidad financiera, no solo como un tema operacional.

Principales cambios introducidos

1. Nuevos controles obligatorios

La Resolución CMN 5.274/2025 amplía el conjunto mínimo de controles que deben estar implementados, operacionales y documentados. Entre las novedades más relevantes:

Prevención de fugas de información (inciso IV): Las instituciones deben implementar mecanismos específicos para prevenir la exfiltración de datos sensibles, incluyendo controles sobre transferencias de archivos, uso de dispositivos removibles y comunicaciones electrónicas.

Inteligencia en el ambiente cibernético (inciso XIV): Pasa a ser obligatorio el monitoreo activo de información de interés de la institución en internet, Deep Web, Dark Web y grupos privados de comunicación. Esto significa inversión en herramientas de Cyber Threat Intelligence (CTI) y capacidad técnica para anticipar amenazas, no solo reaccionar ante incidentes.

Trazabilidad de transacciones (§ 7º): Los mecanismos de trazabilidad deben abarcar pistas de auditoría del procesamiento de extremo a extremo de los datos, incluyendo definición y generación de logs que posibiliten identificar fallas de procesamiento o comportamientos atípicos. La norma también establece la definición de tiempos de retención de acuerdo con el tipo de procesamiento.

2. Seguridad en el desarrollo y en tercerizaciones

La resolución introduce el § 3º, que determina que los controles de cifrado deben aplicarse en el desarrollo de sistemas de información seguros y en la adopción de nuevas tecnologías. El § 6º complementa esta exigencia al determinar que la institución debe verificar estos requisitos también en sistemas adquiridos o desarrollados por empresas prestadoras de servicios a terceros, cuando se ejecuten con recursos computacionales de la propia institución.

Esto impacta directamente la relación con proveedores de software y exige que las áreas de compras, jurídico y seguridad trabajen de forma integrada en la evaluación de soluciones de mercado.

3. Protección de ambientes críticos

Para ambientes relacionados con Pix, STR y RSFN, la BCB 538/2025 refuerza requisitos como autenticación multifactor, aislamiento físico y lógico, protección rigurosa de claves criptográficas y prohibición expresa de que empresas prestadoras de servicios tengan acceso a las claves privadas de los certificados digitales. Estas medidas impactan directamente las arquitecturas de infraestructura y los modelos de tercerización.

4. Pruebas de intrusión independientes obligatorias

Las pruebas de intrusión pasan a ser exigidas anualmente, realizadas por equipos independientes. Deben evaluar ambientes relevantes, identificar vulnerabilidades explotables, generar informes formales con planes de acción y evidencias de tratamiento. Los resultados deben ser presentados a la dirección y archivados por el período mínimo definido en la norma.

Quién necesita adecuarse y en cuánto tiempo

Las resoluciones se aplican a instituciones financieras, instituciones de pago, corredoras y distribuidoras de valores mobiliarios, corredoras de cambio y otras entidades autorizadas a operar en el Sistema Financiero Nacional. El plazo final para adecuación es el 1º de marzo de 2026, un cronograma corto que exige priorización y ejecución ágil.

La ausencia de conformidad puede resultar en señalamientos en procesos de supervisión, demandas formales de ajustes e impactos en evaluaciones de riesgo institucional.

El desafío de la adecuación técnica

La adecuación exige una combinación de evaluación técnica profunda, ejecución especializada y generación de evidencias auditables. Para instituciones con ambientes complejos, múltiples integraciones y dependencia de terceros, el desafío se amplifica. Es necesario mapear todos los puntos críticos, priorizar inversiones, coordinar equipos multidisciplinarios y garantizar que cada control esté demostrablemente funcional.

Ante el corto plazo y la complejidad técnica, muchas instituciones están buscando soporte especializado para diagnósticos iniciales, pruebas obligatorias, auditoría de controles y estructuración de evidencias. La elección de socios con experiencia en ambientes regulados, metodologías reconocidas y capacidad de producir documentación adecuada al escrutinio regulatorio se ha convertido en un factor crítico de éxito.

Cómo BrownPipe puede apoyar a su empresa

BrownPipe apoya a instituciones financieras y de pago exactamente en los puntos exigidos por las resoluciones:

• Pentest independiente, conforme al requisito regulatorio;
• Auditoría técnica de seguridad, enfocada en los controles previstos en las normas;
• Campañas de phishing, como apoyo a la reducción de riesgo operacional;
• Apoyo técnico a la LGPD, integrado a la seguridad de la información;
• Uso de IA aplicada a la seguridad, para ambientes críticos.

Cuente con el apoyo técnico de BrownPipe para estructurar, evaluar y evidenciar controles de seguridad cibernética en línea con las nuevas exigencias del Banco Central.