Normativa sobre ciberseguridad del Departamento de Servicios Financieros de Nueva York (23 NYCRR 500): lo que deben saber las empresas de servicios financieros y sus proveedores de servicios gestionados (MSP)

La mayoría de los programas de cumplimiento de la NYDFS que se utilizan actualmente se diseñaron basándose en la versión original de 2017 de la Parte 500 del 23 NYCRR. Las modificaciones de noviembre de 2023 modificaron sustancialmente los requisitos, por lo que un programa que no se haya actualizado de acuerdo con la normativa vigente está funcionando ahora en base a requisitos que ya no existen.

Esto es importante porque el Departamento de Servicios Financieros de Nueva York ha estado aplicando activamente la normativa, con sanciones de tal magnitud que los equipos financieros no pueden ignorarlas. Robinhood pagó 30 millones de dólares en 2022. EyeMed Vision Care pagó 4,5 millones de dólares. OneMain Financial pagó 4,25 millones de dólares en 2023. No se trataba de riesgos teóricos. Eran resultados de la aplicación de la normativa contra entidades que, según la evaluación del DFS, no habían implementado los controles exigidos por la normativa.

Esta guía aborda lo que realmente exige la norma 23 NYCRR 500 en su versión modificada, quiénes deben cumplirla, cómo funcionan en la práctica los plazos de notificación de 72 y 24 horas, qué obligaciones impone la normativa a los proveedores de servicios externos (es decir, los MSP) y cómo establecer una estrategia de cumplimiento defendible en caso de una inspección activa. Lea el informe «2026 Kaseya State of the MSP Report» para conocer el contexto más amplio de la ciberseguridad.

¿Qué es el 23 NYCRR 500?

La Parte 500 del 23 NYCRR es la normativa sobre ciberseguridad del Departamento de Servicios Financieros de Nueva York, que entró en vigor el 1 de marzo de 2017 y fue objeto de modificaciones sustanciales en noviembre de 2023. La normativa exige a las empresas de servicios financieros afectadas que establezcan un programa de ciberseguridad documentado, nombren a un director de seguridad de la información (CISO), mantengan un conjunto definido de controles de seguridad y notifiquen al DFS determinados incidentes de ciberseguridad en plazos muy ajustados.

Las modificaciones de noviembre de 2023 (la Segunda Modificación de la Parte 500) introdujeron requisitos que reflejan cómo ha cambiado el panorama de amenazas desde la norma original. Se ampliaron los requisitos de cifrado. Se reforzaron las obligaciones relativas a la autenticación multifactorial (MFA), incluyendo una transición hacia una MFA resistente al phishing siempre que sea posible. Se reforzaron las expectativas en materia de supervisión continua. Se estableció un nuevo plazo de notificación de 24 horas para los pagos de rescates. Y se introdujo un conjunto de controles más rigurosos aplicables a las grandes entidades afectadas (empresas de Clase A).

Para las organizaciones cuyos programas se evaluaron por última vez de forma exhaustiva antes de noviembre de 2023, la consecuencia práctica es que es necesario volver a realizar el análisis de deficiencias. Varios requisitos han cambiado de forma sustancial, y la redacción de la certificación que utilizan anualmente los altos cargos hace que la exactitud de la declaración de cumplimiento tenga consecuencias personales.

Quién debe cumplir

El artículo 23 del NYCRR 500 se aplica a cualquier persona que opere en virtud de una licencia, registro, autorización, certificado, permiso, acreditación o autorización similar conforme a la Ley Bancaria, la Ley de Seguros o la Ley de Servicios Financieros de Nueva York. En la práctica, esto abarca a los bancos autorizados por el estado, las compañías de seguros, las entidades de gestión hipotecaria, las empresas de transferencia de dinero, los establecimientos de cambio de cheques, las agencias de financiación de primas, los prestamistas autorizados y el conjunto más amplio de entidades reguladas por el Departamento de Servicios Financieros (DFS).

Las entidades más pequeñas pueden acogerse a exenciones limitadas de determinados requisitos normativos. El umbral de exención limitada del artículo 500.19 combina tres condiciones: menos de 20 empleados y contratistas independientes, menos de 7,5 millones de dólares en ingresos brutos anuales procedentes de operaciones en Nueva York y menos de 15 millones de dólares en activos totales al cierre del ejercicio. Las entidades que cumplan los tres umbrales se acogen a la exención limitada, pero siguen estando sujetas al requisito básico del programa de ciberseguridad.

Las modificaciones de noviembre de 2023 también introdujeron una categoría de Clase A para las entidades afectadas de mayor tamaño, definidas en función de umbrales de plantilla, ingresos y activos. Las empresas de Clase A deben cumplir requisitos adicionales a los de la normativa básica, entre los que se incluyen controles más rigurosos de supervisión y gestión de identidades. Las empresas de servicios financieros de tamaño medio y grande que operan en Nueva York deben comprobar si entran dentro de la definición de Clase A, ya que las obligaciones adicionales son significativas.

Los proveedores de servicios externos, incluidos los MSP y los proveedores de servicios de seguridad gestionados, no cuentan con una licencia directa del DFS, pero quedan incluidos en el ámbito de aplicación de la normativa en virtud del artículo 500.11, que exige a las entidades afectadas que gestionen las prácticas de ciberseguridad de los proveedores que tengan acceso a sus sistemas o a información no pública.

Requisitos fundamentales en virtud del reglamento modificado

La norma modificada abarca un conjunto definido de áreas de control. Entre los requisitos más importantes desde el punto de vista operativo se incluyen los siguientes.

Un programa de ciberseguridad documentado, basado en una evaluación de riesgos, que abarque la confidencialidad, la integridad y la disponibilidad de los sistemas de información de la entidad afectada. El programa debe revisarse al menos una vez al año y actualizarse cuando cambie el panorama de riesgos.

Un CISO cualificado, ya sea interno o externo, responsable del programa y obligado a informar anualmente al consejo de administración (o al órgano de gobierno equivalente) sobre la eficacia del programa, los riesgos significativos y los incidentes. El informe anual adquirió mayor relevancia tras las modificaciones introducidas en noviembre de 2023.

Autenticación multifactorial en todos los accesos remotos a los sistemas de información de la entidad afectada, en todos los accesos a información no pública y en todas las cuentas con privilegios. La enmienda introdujo una preferencia por la autenticación multifactorial resistente al phishing (normalmente, la autenticación basada en WebAuthn o FIDO2) siempre que sea posible, reconociendo que los códigos OTP basados en SMS y en aplicaciones pueden ser burlados por los kits de phishing modernos.

Cifrado de la información no pública tanto en tránsito a través de redes externas como en reposo. Solo se permiten controles compensatorios alternativos con la aprobación documentada del CISO y una justificación válida para la excepción.

Gestión de activos y controles de acceso. Un inventario actualizado de todos los sistemas de información, políticas documentadas para el tratamiento de la información no pública, acceso con privilegios mínimos para todas las cuentas de usuario, gestión del acceso privilegiado para permisos elevados y revisiones anuales de los accesos.

Supervisión continua de los sistemas de información, pruebas de penetración al menos una vez al año y evaluaciones de vulnerabilidades al menos cada seis meses. El concepto de supervisión continua es lo que hace que el plazo de 72 horas para la notificación sea viable desde el punto de vista operativo, en lugar de quedarse en una mera aspiración.

Un plan de respuesta ante incidentes documentado que abarque la detección, la respuesta, la recuperación, la comunicación y la revisión posterior al incidente, y que se someta a pruebas al menos una vez al año. La documentación de dichas pruebas forma parte, en sí misma, de las pruebas que el DFS espera recibir durante la inspección.

Formación anual en ciberseguridad para todo el personal, con formación específica para el personal técnico sobre las amenazas actuales. Las modificaciones han elevado el listón en cuanto a lo que se considera una formación adecuada.

La obligación de notificar los incidentes en un plazo de 72 horas

Las entidades afectadas deben notificar al DFS en un plazo de 72 horas desde que determinen que se ha producido un incidente de ciberseguridad que alcance el umbral de notificación. Se considera que se alcanza dicho umbral cuando existe una probabilidad razonable de que el incidente perjudique de manera significativa el funcionamiento normal de la entidad, o cuando el incidente afecta a información no pública.

Las modificaciones de noviembre de 2023 introdujeron la obligación de notificar en un plazo de 24 horas el pago de rescates. Las entidades afectadas que efectúen un pago de rescate deben notificarlo al DFS en un plazo de 24 horas desde el momento del pago y presentar una descripción por escrito del suceso y de los motivos del pago en un plazo de 30 días.

Se exige una certificación anual de cumplimiento por parte de un alto cargo o un consejero, y el texto de la certificación establece la responsabilidad personal respecto a la veracidad de la declaración de cumplimiento. La presentación de una certificación que refleje de forma errónea la situación del programa es el tipo de acción que conlleva no solo responsabilidad civil, sino también una posible responsabilidad individual.

El reto operativo que plantea el plazo de 72 horas no es el plazo en sí mismo, sino la necesidad de detectar los incidentes con la rapidez suficiente para saber que se han producido. Un incidente detectado el martes por la mañana, pero que en realidad comenzó el sábado anterior, ya ha agotado la mayor parte del plazo de 72 horas antes de que la entidad se dé cuenta de que está en marcha. La supervisión continua, ya sea interna o prestada por un proveedor de servicios de gestión de riesgos de seguridad (MDR), es lo que permite cumplir con los requisitos de notificación en lugar de incumplirlos.

Requisitos para los proveedores de servicios externos

El artículo 500.11 exige a las entidades afectadas que establezcan políticas y procedimientos para garantizar la seguridad de los proveedores de servicios externos. Entre los requisitos se incluyen la identificación y la evaluación de riesgos de todos los proveedores externos con acceso a información no pública o a los sistemas de las entidades afectadas, las prácticas mínimas de ciberseguridad que deben cumplir dichos proveedores (que abarcan el cifrado, los controles de acceso, la autenticación multifactorial y la respuesta ante incidentes), la evaluación periódica de las prácticas de seguridad de los proveedores y la inclusión de requisitos de seguridad en los contratos que rigen la relación.

Para los proveedores de servicios gestionados (MSP) que prestan servicios a clientes del sector de los servicios financieros sujetos a la normativa en Nueva York, las implicaciones operativas son directas. El MSP debe cumplir las normas de ciberseguridad que la entidad sujeta a la normativa está obligada a imponer por contrato. Esto no es opcional para ninguna de las partes. La entidad sujeta a la normativa no puede mantener su cumplimiento sin imponer estos requisitos a su MSP. El MSP no puede seguir siendo un proveedor viable para la entidad sujeta a la normativa sin demostrar que los cumple.

Pensemos en un escenario operativo habitual. Un MSP presta servicios a una entidad hipotecaria de tamaño medio de Nueva York como principal proveedor de TI y seguridad. La entidad debe someterse a una inspección del DFS. El inspector solicita pruebas de la aplicación de la autenticación multifactorial (MFA) en todos los accesos privilegiados a los sistemas de información de la entidad, incluidos los de los técnicos del MSP. Las herramientas estándar del MSP tienen habilitada la MFA, pero su aplicación no se ha auditado en meses, y tres cuentas de técnicos que abandonaron la empresa en el último trimestre se desactivaron con retraso. El MSP se convierte en una brecha en la postura de cumplimiento de la entidad crediticia, y la entidad crediticia se convierte en una brecha en la posición comercial del MSP. Ambos problemas se remontan a que el MSP no ejecuta su propio programa según el estándar que la normativa espera de su cliente.

La base práctica para los MSP que prestan servicio a clientes del sector de los servicios financieros de Nueva York es muy clara. Documenten el programa de ciberseguridad. Implemen la autenticación multifactorial (MFA) resistente al phishing en todas las cuentas que interactúen con el entorno del cliente. Mantengan un plan de respuesta ante incidentes que haya sido puesto a prueba. Llevan a cabo una supervisión continua. Y conserven las pruebas de que todo esto se está llevando a cabo, en un formato que resista una auditoría del cliente, porque esa auditoría llegará.

Aplicación de la ley: medidas adoptadas por el DFS

El historial de medidas coercitivas del DFS demuestra que no se trata de una normativa meramente teórica. La tendencia observada en los acuerdos publicados es constante: las deficiencias en la autenticación y la gestión de identidades (MFA), los controles de acceso, la gestión de terceros y la capacidad de respuesta ante incidentes son los principales objetivos de las medidas coercitivas.

First American Financial Corp llegó a un acuerdo en 2021 por valor de 500 000 dólares por infracciones que incluían la falta de evaluaciones de riesgos adecuadas y la falta de medidas para subsanar vulnerabilidades conocidas. Robinhood Crypto llegó a un acuerdo de 30 millones de dólares en 2022 por deficiencias en su programa de ciberseguridad. EyeMed Vision Care llegó a un acuerdo por 4,5 millones de dólares en 2022 tras una filtración que afectó a aproximadamente 2,1 millones de personas, citando el acuerdo fallos en la gestión de accesos y la autenticación multifactorial (MFA). OneMain Financial llegó a un acuerdo por 4,25 millones de dólares en 2023 por deficiencias identificadas en sus programas.

Cada uno de estos acuerdos señala fallos de control concretos, en lugar de sancionar un incumplimiento genérico, lo que ofrece una indicación clara de en qué aspectos se centrarán probablemente las futuras medidas de control. Cobertura de los acuerdos de nivel de servicio (SLA). Disciplina en la gestión de accesos. Corrección de vulnerabilidades. Supervisión de terceros. Capacidad de respuesta ante incidentes.

Hoja de ruta de cumplimiento normativo para las entidades afectadas y sus proveedores de servicios de gestión (MSP)

El trabajo se divide en cinco fases.

Realice una nueva evaluación de las deficiencias con arreglo a la normativa modificada. Si la última evaluación exhaustiva se basó en la versión de 2017 de la normativa, repítala teniendo en cuenta las modificaciones de noviembre de 2023. Varias áreas de control presentan requisitos nuevos o reforzados, y las hipótesis en las que se basaban los programas anteriores a 2023 ya no son fiables.

Da prioridad a la autenticación multifactorial (MFA) y a los controles de acceso. Estas son las deficiencias que se mencionan con mayor frecuencia en las medidas coercitivas publicadas. La autenticación multifactorial resistente al phishing en todos los accesos privilegiados, en todos los accesos a información no pública y en todos los accesos remotos es el punto de partida ineludible. Además, documenta la periodicidad de las revisiones de acceso y el flujo de trabajo de baja de empleados, que garantiza que las cuentas revocadas se cancelen efectivamente.

Implantar o subcontratar una capacidad de supervisión continua. El plazo de notificación de 72 horas exige una capacidad de detección lo suficientemente rápida como para identificar sin demora los incidentes que deben notificarse. La solución más práctica es una supervisión ininterrumpida a través de un centro de operaciones de seguridad (SOC) interno, un servicio SIEM gestionado o un proveedor de servicios de gestión de incidentes de seguridad (MDR).

Revise y pruebe el plan de respuesta ante incidentes. Realice el simulacro al menos una vez al año. Documente las pruebas y las mejoras introducidas tras el simulacro. Incluya el flujo de trabajo de notificación al DFS como un manual de procedimientos específico dentro del plan, indicando los responsables y con el formulario de notificación temprana ya redactado.

Evaluar y documentar la seguridad de terceros. Las entidades afectadas deben realizar un inventario de sus proveedores de servicios de gestión (MSP) y otros proveedores incluidos en el ámbito de aplicación, evaluar sus prácticas de seguridad con una periodicidad definida y actualizar los contratos para que reflejen los requisitos del artículo 500.11. Los MSP deben preparar el expediente de pruebas de forma proactiva, ya que esperar a la auditoría del cliente supone esperar demasiado.

Compliance Manager GRC la evaluación de la norma 23 NYCRR 500 dentro de su biblioteca de marcos, lo que permite a las entidades afectadas y a sus equipos de TI realizar un seguimiento del estado de cumplimiento con respecto a la norma modificada, documentar los controles, gestionar las evaluaciones de terceros y generar las pruebas que el DFS espera durante una inspección. Descubra Compliance Manager GRC para gestionar de forma operativa y continua un programa del NYDFS, en lugar de tener que reconstruirlo bajo la presión de una inspección.

Las empresas de servicios financieros y los MSP que superan sin problemas las inspecciones del DFS no son necesariamente aquellas que cuentan con las soluciones de seguridad más caras. Son aquellas cuya documentación del programa se ajusta a la realidad operativa, cuyas pruebas están actualizadas en lugar de ser reconstruidas, y cuya certificación anual es algo que el responsable de la certificación puede firmar sin necesidad de mantener primero una conversación detallada con el asesor jurídico. La norma 23 NYCRR 500 modificada es una regulación significativa aplicada por un regulador activo con un historial probado. El punto de partida para el cumplimiento es tratar la norma como una disciplina continua, no como un proyecto que tiene un final.