Contener un incidente no equivale a cerrar la crisis. Después de un ciberataque de gran escala, el verdadero problema suele desplazarse desde la infraestructura hacia los datos: lo que ya fue extraído puede convertirse durante semanas o meses en phishing más creíble, suplantación de identidad, fraude financiero y extorsión. Para bancos, fintech, billeteras y organismos públicos, esa segunda etapa es la más difícil de medir y, muchas veces, la más costosa.
La advertencia cobra peso por la fuente. El planteo surge de una columna firmada por Magalí Dos Santos, referente de EDS Informática / Estudio Dos Santos, una firma que se presenta como especializada en informática forense, pericias informáticas, auditorías de seguridad y consultoría en ciberseguridad. En la sección de prensa de la compañía, el texto aparece precisamente bajo el título “Ciberataques: el riesgo no termina cuando se apaga el sistema”, una definición que resume bien el cambio de enfoque que hoy deberían adoptar las organizaciones: dejar de pensar el incidente como una caída puntual y empezar a gestionarlo como una crisis extendida.
Ese cambio es clave porque, en las primeras horas de un ataque, casi nunca existe una fotografía completa. Lo que se ve al principio suele ser apenas la capa visible: sistemas afectados, accesos interrumpidos, servicios degradados o una filtración ya publicada. Pero determinar el alcance real exige algo mucho menos inmediato: analizar evidencia, correlacionar eventos, revisar logs, reconstruir movimientos y entender qué hizo el atacante dentro del entorno comprometido. NIST, uno de los marcos técnicos más usados para respuesta a incidentes, subraya justamente que el manejo efectivo de un incidente depende de detectar, analizar, priorizar y responder con procesos sistemáticos; además, destaca que la gestión de logs es esencial para identificar incidentes, actividad fraudulenta y tareas de auditoría o análisis forense.
Por eso, en ataques coordinados, la filtración masiva suele ser el final visible y no necesariamente el comienzo del problema. Una vez que la información sale del perímetro, la organización deja de pelear solo por disponibilidad tecnológica y pasa a enfrentar una amenaza mucho más difusa: el uso posterior de esos datos por terceros, en canales distintos y a lo largo del tiempo. En términos de respuesta, NIST también insiste en que el ciclo no termina con la contención inmediata, sino que incluye recuperación y lecciones posteriores al incidente. Esa mirada es especialmente relevante en sectores donde una base de datos no expone solo nombres o emails, sino también documentos, historiales transaccionales, cuentas, relaciones comerciales o trazas operativas que pueden reutilizarse para cometer fraude.
Ahí aparece el frente más sensible para el ecosistema fintech: la población usuaria. La propia administración pública argentina define al phishing como una técnica de ingeniería social orientada a obtener información confidencial para apropiarse de la identidad de las personas, y advierte que estos engaños suelen presentarse como mensajes de bancos, servicios de pago, marketplaces o incluso organismos públicos. En paralelo, la Dirección Nacional de Ciberseguridad remarca que el robo de identidad busca extraer dinero de cuentas, suplantar identidades digitales o inducir a la víctima a cargar datos bancarios en sitios falsos. Cuando esa ingeniería social se alimenta con información filtrada real, el engaño deja de ser genérico y se vuelve mucho más convincente.
La gravedad crece todavía más cuando se suman múltiples canales. Argentina.gob.ar advierte que la ingeniería social puede operar por correo electrónico, mensajería instantánea, redes sociales y llamadas telefónicas, y que los atacantes suelen hacerse pasar por familiares, personal de soporte, compañeros de trabajo o representantes de empresas. Traducido al negocio financiero digital, esto abre una cadena de riesgos muy concreta: campañas de vishing con datos reales del usuario, intentos de takeover de cuentas, fraudes sobre onboarding, falsas validaciones de identidad, manipulación de mesas de ayuda y engaños dirigidos a equipos internos con apariencia de legitimidad. Esa conexión con finanzas no es teórica: IBM X-Force informó que durante 2025 rastreó una campaña global de phishing dirigida a instituciones financieras, con archivos SVG maliciosos, troyanos de acceso remoto y señuelos vinculados a comunicaciones financieras confiables.
En ese contexto, una interrupción operativa para contener el incidente puede ser necesaria, pero no alcanza. Aislar redes, bajar servicios o restringir funcionalidades puede servir para limitar el daño técnico inicial; sin embargo, el problema reputacional y económico sigue abierto si los datos comprometidos continúan circulando. NIST señala que los marcos de respuesta y recuperación frente a brechas de datos buscan precisamente reducir pérdida o robo de información, daños monetarios y perjuicios reputacionales. Es decir: la reactivación de sistemas no puede ser el único indicador de cierre. Si no se acompaña con monitoreo de fraude, revisión de credenciales, alertas a usuarios, hardening y seguimiento de abuso posterior, la organización corre el riesgo de declarar “normalidad” mientras la segunda ola del ataque recién empieza.
Para una fintech, un PSP o una entidad financiera digital, esta discusión es todavía más delicada porque su negocio se apoya en confianza, continuidad y trazabilidad. Una base expuesta no solo compromete privacidad: también puede contaminar procesos de KYC, elevar falsos positivos, tensionar equipos de compliance, generar reclamos y obligar a recalibrar sistemas antifraude. En la práctica, un incidente grande suele convertirse en un estrés test integral del modelo operativo: seguridad, atención al cliente, prevención de fraude, comunicación corporativa y cumplimiento regulatorio quedan expuestos al mismo tiempo. Por eso, la tesis de que “el riesgo no termina cuando se apaga el sistema” debería leerse menos como una frase de impacto y más como una regla de gestión.
El costado regulatorio también vuelve a escena cada vez que ocurre una filtración de gran volumen. A fines de 2025, la Agencia de Acceso a la Información Pública (AAIP) inició una investigación de oficio por una presunta filtración masiva de datos personales y recordó que no había recibido una notificación formal del incidente en los términos previstos por la normativa vigente. En ese mismo comunicado, el organismo señaló que en 2023 había impulsado una actualización de la Ley 25.326 para, entre otros puntos, establecer la obligación de notificar incidentes de seguridad dentro de las 72 horas de conocido el hecho. El mensaje es claro: cada ciberataque relevante no solo deja preguntas técnicas, también reactiva la discusión sobre estándares de respuesta, accountability y protección efectiva de datos personales en Argentina.
Desde la perspectiva editorial, el mayor aprendizaje para el sector fintech es que la contención ya no puede comunicarse como sinónimo de resolución. La crisis real empieza cuando hay que explicar qué datos salieron, a quién pueden afectar, cómo se va a acompañar a los usuarios y qué controles adicionales se activan para evitar fraudes posteriores. En mercados donde la confianza digital vale tanto como la disponibilidad del servicio, la respuesta posterior importa casi tanto como el incidente original. Y esa respuesta exige algo más que apagar incendios: requiere forensia, transparencia, trazabilidad y una estrategia de protección que siga funcionando mucho después de que las pantallas vuelvan a encenderse.