SWIFT CSCF v2026: cambios clave y cómo prepararse para el Assessment

Qué pasa a ser obligatorio, cómo cambia el alcance y por qué conviene revisar su arquitectura y evidencias antes del próximo Assessment

Como parte de una estrategia para acompañar la evolución de las tecnologías de procesamiento de información en las instituciones financieras, Swift está modificando gradualmente su marco de controles de seguridad.

A medida que la “zona segura” deja de ser un enclave puramente físico dentro de las instalaciones y se va “moviendo” hacia la nube -en general bajo la forma de servicios de conectividad brindados por proveedores intermediarios-, componentes de las redes institucionales que hasta hace poco quedaban por fuera de dicha zona comienzan a quedar comprendidos dentro de ella.

Este corrimiento busca hacer cada vez más seguro el contexto en el que se gestionan las transacciones financieras, pero obliga a las instituciones a revisar -y a menudo ajustar- el alcance de sus controles para mantenerse en cumplimiento con las nuevas exigencias.

Para quien esté familiarizado con los diagramas de las arquitecturas Swift, una forma útil de imaginarlo es la siguiente: mientras la parte derecha se va difuminando, la izquierda se mantiene y se estira un poco más, abarcando componentes que antes quedaban por fuera.

En ese contexto, la versión 2026 del Customer Security Controls Framework (CSCF) de Swift incorpora cambios que conviene entender y planificar con tiempo.

Por qué importa el CSCF v2026

Lanzado en 2016, el Customer Security Programme (CSP) busca reforzar la seguridad de la comunidad Swift mediante una mejor higiene de ciberseguridad, la reducción del riesgo de ciberataques y la minimización del impacto de transacciones fraudulentas. Para ello, el CSCF define controles obligatorios y recomendados que los clientes deben implementar y atestiguar anualmente.

A medida que evolucionan las amenazas y las expectativas regulatorias, Swift actualiza el marco año a año. Aunque la estructura general se mantiene estable, el CSCF v2026 introduce cambios relevantes respecto a 2025: nuevos requisitos obligatorios, ampliación de alcance hacia componentes “indirectos” y mayor precisión para entornos híbridos, en la nube y basados en APIs.

Cambio1: la seguridad del flujo de datos de back office pasa a ser obligatorio

En v2026, el Control 2.4 (Back Office Data Flow Security) pasa de recomendado a obligatorio. El objetivo es proteger los intercambios entre la zona segura y el back office cuando no existe cifrado moderno de extremo a extremo.

– Asegurar los bridging servers y su operación.

– Proteger los flujos no-E2E entre zona segura, bridging servers y back office.

– Incorporar “seguridad por diseño” en nuevos flujos directos de datos cuando no haya protección E2E moderna.

Swift mantiene algunos intercambios heredados (legacy) como recomendados hasta 2028, pero la expectativa es planificar su remediación. Conviene revisar la arquitectura real de transferencia de datos e identificar dónde la evidencia de control debe fortalecerse.

Cambio2: los Customer Client Connectors quedan dentro del alcance para múltiples controles

El CSCF v2026 define como customer client connectors a los puntos finales que se conectan indirectamente a Swift a través de un proveedor de servicios compartido (por ejemplo, endpoints de API, middleware o clientes de transferencia de archivos).

Estos conectores pasan a estar en alcance obligatorio para múltiples controles (higiene, hardening, segregación, autenticación, registro/monitoreo, protección contra malware, entre otros). En la práctica, esto puede requerir recalificar la arquitectura (p. ej., hacia A4) y ampliar el conjunto de evidencias para el Assessment anual.

Otras actualizaciones clave

Además de los dos cambios principales, el CSCF v2026 aumenta la precisión operativa de controles existentes y, con ello, las expectativas de ver evidencia consistente. Entre los ajustes más visibles se incluyen la modernización de Alliance Connect (SD‑WAN y VPN virtual on‑prem en alcance), criterios más explícitos para contenedores (co‑hosting por defecto con excepción basada en riesgo), actualizaciones criptográficas alineadas a la hoja de ruta post‑cuántica, hardening que incorpora WMI/PowerShell, requisitos de MFA para accesos privilegiados externos y roles LSO/RSO, y ampliaciones en malware/awareness/pentesting para cubrir escenarios modernos (incluyendo referencias a amenazas como deepfakes).

En paralelo, Swift ajusta alcance y terminología para reflejar mejor los entornos híbridos, nube y flujos basados en APIs. Esto implica definiciones más claras para bridging servers, back‑office first hops y customer connectors, una visión ampliada de service providers (terceros, proveedores de conectividad Swift y group hubs) y un encuadre más realista del “entorno de TI general”, incorporando componentes que soportan procesos de cambios y releases. Los diagramas y apéndices también se actualizan para representar responsabilidades compartidas en modelos IaaS/SaaS.

Sobre tecnologías emergentes, la v2026 no impone aún controles específicos para IA, pero reconoce formalmente sus riesgos: si se utiliza IA para cumplimiento, monitoreo u operación, debe regirse por los mismos estándares de confidencialidad, integridad y disponibilidad que el resto de los sistemas. A la vez, se confirma el fin de vida en 2026 de IPLA y SIL, lo que refuerza la necesidad de planificar migraciones y su impacto en evidencias de cumplimiento.

De cara a la evaluación en base a la v2026, el punto crítico suele ser la coherencia entre el alcance declarado, la arquitectura real y la evidencia disponible. Con más componentes entrando en alcance y mayor escrutinio de flujos hacia el back office, resulta clave validar tempranamente la clasificación de arquitectura, los conectores indirectos, los flujos de datos y la trazabilidad de controles/evidencias, para evitar demoras o retrabajo en la atestación, o declaración de cumplimiento.

Cómo puede ayudar Datasec

Con casi 40 años de trayectoria en seguridad de la información y presencia regional, Datasec es un socio estratégico para las instituciones financieras que deben cumplir con los requerimientos de SWIFT.

Reconocida como Swift Certified Provider y con consultores acreditados como Certified Assessors, Datasec está habilitada para realizar los Customer Security Programme (CSP) Assessments exigidos anualmente.

Nuestro diferencial va más allá de las certificaciones: aportamos experiencia práctica, conocimiento profundo del sector financiero y un enfoque que no solo evalúa el cumplimiento, sino que fortalece la postura de seguridad de cada organización.

Invitamos a las entidades usuarias de Swift a apoyarse en nuestra experiencia para presentar en tiempo y forma sus declaraciones de cumplimiento con el CSCF, con el respaldo de un equipo experto y confiable.