CEO de DBS Tan Su Shan señala la ciberseguridad como riesgo principal

Párrafo principal

La directora ejecutiva de DBS Group Holdings, Tan Su Shan, declaró a CNBC el 22 de abril de 2026 que los ciberataques representan la "nueva guerra" que le quita el sueño, elevando la resiliencia operativa a una prioridad estratégica a nivel del consejo de administración (CNBC, 22 de abril de 2026). Sus comentarios se producen mientras bancos institucionales a nivel mundial afrontan una mayor frecuencia y complejidad de intrusiones, y mientras los reguladores en Asia presionan por estándares más altos de resiliencia operativa. DBS, considerada ampliamente como el mayor banco del sudeste asiático por base de clientes y presencia regional, ha priorizado públicamente las inversiones en seguridad; la entidad atendía aproximadamente a 11,2 millones de clientes según su informe anual 2024 (DBS Annual Report 2024). Para los inversores institucionales, el énfasis a nivel de CEO sobre el riesgo cibernético cambia la óptica con la que se evalúan la asignaciones de capital, las pruebas de estrés y el riesgo reputacional en entidades financieras y proveedores tecnológicos.

Contexto

La ciberseguridad ha migrado de ser un elemento del presupuesto de TI a un riesgo empresarial fundamental que cruza canales de crédito, liquidez y reputación. Las declaraciones públicas de Tan del 22 de abril de 2026 sitúan el riesgo operativo cibernético al mismo nivel que variables macroeconómicas y geopolíticas en las deliberaciones del consejo de administración (CNBC, 22 de abril de 2026). Este replanteamiento es coherente con la orientación supervisora en varias jurisdicciones: la Monetary Authority of Singapore y otros reguladores han ampliado los requisitos de notificación para incidentes importantes y las pruebas de resiliencia desde 2022, aumentando el coste regulatorio de las fallas para los grandes bancos.

La estructura de los servicios financieros modernos —dependencia de la nube, ecosistemas impulsados por API, redes de proveedores terceros y pasarelas de pagos en tiempo real— expande la superficie de ataque de manera mensurable. Las instituciones financieras en APAC (Asia-Pacífico) han acelerado las evaluaciones de riesgo de terceros desde 2023, pero el ritmo de la digitalización ha superado en muchos casos los controles estandarizados. Para DBS y sus pares, esto crea un desafío doble: prevenir intrusiones y demostrar ante reguladores y clientes corporativos que los controles son efectivos y se prueban de forma continua.

Para los inversores, la pregunta inmediata es la traducción a flujos de caja y valoraciones. Un aumento del gasto en seguridad comprime los márgenes a corto plazo pero puede preservar el valor de la franquicia y reducir riesgos extremos; por el contrario, una brecha no mitigada puede desencadenar salidas de capital, multas y una interrupción de resultados que se extienda varios trimestres. Así, el posicionamiento público de la CEO es a la vez una señal de riesgo y una herramienta de comunicación estratégica —pensada para tranquilizar a las partes interesadas y, al mismo tiempo, para señalar a contrapartes y reguladores que el banco está repriorizando inversiones.

Profundización de datos

Hay varios indicadores cuantificables que hacen creíble la preocupación a nivel de CEO. Cybersecurity Ventures estimó que los costes globales del ciberdelito alcanzarían los $10,5 billones anuales para 2025 (Cybersecurity Ventures, 2020), lo que subraya la escala macro del problema. Estimaciones independientes del coste de una brecha ilustran lo que está en juego a nivel de firma: el "Cost of a Data Breach Report" de IBM situó el coste medio global de una brecha de datos en $4,45 millones en 2023 (IBM, 2023). Esas medias ocultan colas gordas: las brechas en grandes entidades financieras han generado históricamente costes directos e indirectos de varios cientos de millones de dólares cuando se agregan multas regulatorias, remediación, litigios y pérdida de clientes.

La propia escala de DBS amplifica el impacto potencial. El banco atiende aproximadamente a 11,2 millones de clientes (DBS Annual Report 2024) y opera canales digitales extensos en Singapur, Hong Kong y el Sudeste Asiático —geografía y escala que incrementan tanto los vectores de amenaza como la responsabilidad sistémica. Las divulgaciones públicas indican que DBS, al igual que sus pares, ha incrementado el gasto en ciberseguridad y tecnología en los presupuestos anuales recientes; aunque los bancos raramente desglosan partidas exactas de ciberseguridad, el gasto en inversiones de capital y tecnología aumentó de forma material entre 2023 y 2025 en los registros del sector, según divulgaciones de empresas y presentaciones regulatorias.

Los métricos comparativos son instructivos. Frente a pares regionales, el modelo digital-first de DBS hace que su apalancamiento operativo sea más sensible a las interrupciones que los competidores centrados en sucursales tradicionales, mientras que su madurez digital también puede permitir una detección y contención más rápidas. Los inversores deberían comparar métricas operativas como disponibilidad de sistemas, tiempo medio de detección (MTTD) y tiempo medio de remediación (MTTR) cuando estén disponibles, y comparar las calificaciones de seguridad de los proveedores y los resultados de pruebas de penetración para evaluar la resiliencia relativa. Estos proxys cuantitativos se están convirtiendo en estándar en la diligencia debida para inversiones en tecnología y servicios financieros.

Implicaciones sectoriales

La priorización del riesgo cibernético por parte de la CEO tiene implicaciones transversales para bancos, proveedores de pagos, proveedores de nube y especialistas en seguridad. Para los bancos, espere mayores asignaciones a programas de tecnología y resiliencia —tanto capex como opex— y un correspondiente cambio en las compras de TI hacia soluciones verificables y certificadas. Esto beneficiará de manera desproporcionada a los proveedores que puedan demostrar controles de seguridad de nivel regulatorio, monitorización en tiempo real y orquestación de respuesta a incidentes.

Para las empresas de pagos y fintech, un escrutinio elevado puede aumentar los costes de certificación y prolongar el time-to-market de nuevos servicios, pero también podría elevar las barreras de entrada de una manera que favorezca a los incumbentes con mayor capacidad financiera. La estructura del mercado podría inclinarse por tanto hacia bancos más grandes y proveedores de nube/seguridad establecidos, mientras que los actores más pequeños o bien se consolidan o se especializan. Esta dinámica creó vientos de cola para los proveedores de servicios de seguridad gestionada y las plataformas de seguridad nativas en la nube en 2024–2025 y es probable que persista a medida que los bancos implementen remediaciones plurianuales.

El impacto regulatorio será medible: espere normas de resiliencia más prescriptivas, mayor frecuencia de pruebas supervisoras y posibles multas mayores por fallos. Las instituciones que operan en múltiples jurisdicciones —incluida DBS— se enfrentan a requisitos de cumplimiento escalonados, lo que aumenta la complejidad operativa y la necesidad de informes armonizados. Para los inversores, esto eleva el listón para evaluar la calidad de la gobernanza, la gestión.