Cifrado como tu abuela guardaba sus ahorros
Empecemos por lo básico, aunque parezca obvio: el cifrado de datos. Cuando hablo con inversores jóvenes, muchos me miran con cara de "ya sé esto, profesor", pero déjenme decirles que la teoría y la práctica son dos bestias muy distintas. En Jiaxi, implementamos cifrado AES-256 tanto para datos en reposo como en tránsito. ¿Qué significa esto en cristiano? Que incluso si alguien intercepta la información mientras viaja de nuestra nube a su oficina, lo que vería sería un galimatías sin sentido.
Recuerdo el caso de una empresa de logística chilena que llegó a nosotros después de que su anterior proveedor de contabilidad sufriera un ataque de ransomware. El dueño, don Roberto, me confesó entre suspiros que habían perdido tres meses de registros financieros. "Pensé que con tener contraseñas fuertes era suficiente", me dijo. Ahí tuve que explicarle que el cifrado es como tener una caja fuerte dentro de otra caja fuerte. No basta con ponerle un candado a la puerta; hay que asegurarse de que cada capa de información tenga su propia protección.
Según un estudio de la firma Gartner de 2023, las empresas que implementan cifrado de extremo a extremo reducen en un 67% la probabilidad de filtraciones de datos significativas. Y no es broma. En nuestro caso, realizamos auditorías trimestrales de nuestros protocolos de cifrado, algo que recomiendo a cualquier empresa de externalización contable. Porque, ¿saben qué? Los hackers no se toman vacaciones, y un sistema que era seguro en enero puede ser vulnerable en diciembre.
Además, hay un aspecto que muchos pasan por alto: la gestión de claves. No sirve de nada tener el mejor cifrado del mundo si las llaves están guardadas en un post-it pegado al monitor. En Jiaxi desarrollamos un sistema de rotación automática de claves cada 90 días, y ni siquiera nuestros empleados de mayor rango tienen acceso completo a ellas. Esto suena extremo, pero créanme, después de ver a un contador sénior perder una laptop con datos sensibles en un taxi, uno aprende que la prevención nunca es demasiada.
Control de acceso: No todos necesitan saberlo todo
Aquí quiero detenerme un momento, porque este es uno de los aspectos donde más he visto fallar a las empresas, incluso a las que presumen de tener "los mejores sistemas". El control de acceso no es solo tener usuarios y contraseñas; es aplicar el principio del mínimo privilegio. Traducción: cada persona en la organización debe tener acceso únicamente a la información estrictamente necesaria para hacer su trabajo.
Les pongo un ejemplo concreto. En una ocasión, trabajamos con un grupo inmobiliario mexicano que tenía sus datos contables dispersos entre tres firmas externas diferentes. Cuando llegaron a nosotros, descubrimos que en su sistema anterior, cualquier becario podía ver los balances completos de todas las propiedades del grupo. Esto no solo era un riesgo de seguridad, sino que violaba directamente el principio de "need-to-know" que exige la normativa GDPR en España y la Ley de Protección de Datos en varios países latinoamericanos.
En Jiaxi, segmentamos el acceso en tres niveles principales: operativo, supervisor y directivo. El nivel operativo solo ve la información de los clientes que tienen asignados, y ni siquiera pueden ver los nombres completos de los beneficiarios finales. El supervisor tiene una visión más amplia, pero limitada a reportes agregados. Y el nivel directivo, que somos básicamente tres personas, tiene acceso completo pero con doble autenticación biométrica. Esto no es paranoia; es sentido común empresarial.
Un dato interesante de la consultora Deloitte: el 34% de las filtraciones de datos en empresas de servicios financieros provienen de accesos internos no autorizados. Y no me refiero a empleados malintencionados, sino a errores humanos, como un contador que deja su sesión abierta o comparte accidentalmente un enlace con permisos incorrectos. Por eso implementamos sesiones con timeout automático a los 15 minutos de inactividad y registros de auditoría que monitorean cada clic. Puede sonar a microgestión, pero cuando se trata de la información financiera de sus clientes, mejor pecar de cuidadoso.
Encriptación en reposo y en tránsito
Este punto merece un capítulo aparte, porque hay una confusión enorme en el mercado. Muchos proveedores de contabilidad externalizada te dicen "sí, tenemos encriptación", pero cuando rascas un poco, descubres que solo protegen los datos mientras viajan por internet, pero una vez que llegan al servidor, quedan en texto plano como un libro abierto. La encriptación debe ser integral: tanto en reposo como en tránsito, sin excepciones.
Trabajé hace unos años con una startup tecnológica de Bogotá que había externalizado su contabilidad a una firma que almacenaba toda la información en un servidor FTP sin encriptar. Cuando les señalé el riesgo, el dueño me dijo: "Pero es que solo nosotros tenemos la contraseña del servidor". Tuve que explicarle, con todo respeto, que eso era como tener una casa con una puerta blindada pero sin paredes. Un servidor sin encriptación es un imán para los ciberdelincuentes, especialmente cuando hablamos de datos financieros que incluyen números de cuenta, identificaciones fiscales y hasta proyecciones de ingresos.
En Jiaxi, utilizamos TLS 1.3 para todas las comunicaciones y almacenamiento en servidores con encriptación a nivel de archivo. Pero no nos quedamos ahí. Hacemos pruebas de penetración externas cada seis meses, contratando a firmas independientes para que intenten vulnerar nuestros sistemas. La última vez, lograron encontrar una vulnerabilidad menor en un plugin de nuestro sistema de facturación electrónica. Lo corregimos en menos de 48 horas. Ese tipo de agilidad solo es posible cuando la seguridad está integrada en el ADN de la empresa, no como un agregado decorativo.
Y aquí quiero ser sincero: mantener este nivel de encriptación tiene un costo. No es barato. Pero cuando comparas ese costo con el de una filtración de datos, que según IBM promedia 4.45 millones de dólares por incidente en 2023, la decisión se vuelve obvia. Como les digo a mis clientes: "Prefiero explicarles por qué su factura es un poco más cara, que tener que explicarles por qué sus datos están en la dark web".
Cumplimiento normativo: De GDPR a la LGPD brasileña
Este tema me apasiona, porque he visto a muchas empresas hispanohablantes tratar el cumplimiento normativo como si fuera un "nice to have" en lugar de una obligación legal. Pero la realidad es que no cumplir con las regulaciones de protección de datos puede costarte el negocio. No exagero.
Conozco el caso de una firma contable española que fue multada con 400,000 euros por no implementar las medidas de seguridad exigidas por el GDPR después de que un empleado filtrara accidentalmente los datos salariales de 200 clientes. El empleado no tuvo mala intención, simplemente envió un correo con un archivo adjunto sin encriptar a la dirección equivocada. Pero la ley no perdona la negligencia. El GDPR es claro: la responsabilidad recae en el responsable del tratamiento de datos, y en una empresa de contabilidad externalizada, ese responsable eres tú.
En Jiaxi, hemos desarrollado un sistema de cumplimiento que llamamos internamente "el traje a medida". Porque una cosa es cumplir con la normativa brasileña LGPD, otra muy diferente con la Ley de Protección de Datos argentina, y otra con el GDPR europeo. Y si trabajas con clientes de varios países, como es nuestro caso, necesitas un marco que cubra todos los frentes. Implementamos cláusulas contractuales tipo para cada jurisdicción y realizamos evaluaciones de impacto de protección de datos (DPIA) para cada nuevo cliente.
Les recomiendo que, si están considerando invertir en una empresa de contabilidad externalizada, pidan ver sus certificaciones ISO 27001 y su registro en la Agencia de Protección de Datos correspondiente. Si el proveedor se muestra evasivo o dice que "eso es demasiado burocrático", salgan corriendo. En este negocio, la burocracia es tu amiga, porque significa que alguien está poniendo atención a los detalles.
Capacitación continua del personal
Aquí viene uno de los puntos que más me duele cuando veo a colegas de la industria fallar. Puedes tener el mejor sistema de seguridad del mundo, con cifrado cuántico y firewalls de última generación, pero si tu contador estrella hace clic en un enlace de phishing, todo se va al traste. El eslabón más débil en la seguridad de datos siempre será el factor humano, y no me cansaré de repetirlo.
Hace dos años, en Jiaxi, detectamos un intento de ataque de phishing dirigido específicamente a nuestro equipo. Alguien se hizo pasar por el CFO de uno de nuestros clientes más grandes, solicitando "con urgencia" una transferencia de datos financieros. Por suerte, una de nuestras contadoras junior, recién salida de la capacitación, detectó que la dirección de correo tenía una letra cambiada y lo reportó de inmediato. Esa capacitación le ahorró a la empresa aproximadamente 1.2 millones de dólares en pérdidas potenciales.
Desde entonces, implementamos un programa de capacitación continua que incluye simulacros de phishing cada mes, talleres trimestrales sobre normativas actualizadas, y lo más importante: un sistema de recompensas para quienes detecten vulnerabilidades. Si un empleado encuentra un fallo de seguridad, recibe un bono. Esto ha creado una cultura donde la seguridad es responsabilidad de todos, no solo del departamento de IT. Porque seamos honestos, el contador que está revisando libros todo el día puede notar anomalías que un ingeniero de sistemas jamás vería.
Una investigación de Kaspersky de 2022 reveló que el 43% de las filtraciones de datos en pequeñas y medianas empresas fueron causadas por errores humanos. Y no hablo de empleados descuidados, sino de personas que simplemente no sabían que estaban haciendo algo mal. Por eso insisto tanto en que la inversión en capacitación no es un gasto, es una póliza de seguro. Y en el mundo de la contabilidad externalizada, donde manejamos información que puede hundir o impulsar un negocio, esa póliza es obligatoria.
Copias de seguridad y recuperación ante desastres
Cambiemos un poco el chip y hablemos de algo que parece aburrido pero que en la práctica es heroico: las copias de seguridad. O como les digo a mis colegas más jóvenes, el seguro de vida de los datos de tus clientes. Porque no importa qué tan buenas sean tus medidas preventivas, los desastres pasan. Un incendio, una inundación, un ataque de ransomware, o simplemente un error humano que borra una base de datos entera. La pregunta no es si ocurrirá, sino cuándo.
Recuerdo vívidamente el caso de una empresa de contabilidad en Lima que perdió toda la información de sus clientes porque su único servidor físico se dañó durante un corte eléctrico. No tenían copias de seguridad externas. El dueño me llamó desesperado, preguntando si podíamos ayudarlo a reconstruir los registros desde cero. Le dije que sí, pero que le tomaría meses y costaría una fortuna. Esa experiencia me enseñó que las copias de seguridad deben seguir la regla 3-2-1: tres copias de los datos, en dos formatos diferentes, con una copia fuera del sitio.
En Jiaxi, tenemos copias de seguridad automatizadas cada cuatro horas, almacenadas en dos centros de datos geográficamente separados (uno en España y otro en Brasil) y una copia adicional en frío en un servidor offline. Probamos la restauración completa de datos cada trimestre, no solo la copia. Porque, ¿de qué sirve hacer backups si cuando intentas restaurarlos descubres que están corruptos? Esto me pasó una vez con un proveedor externo y les juro que fue una pesadilla. Verificar la integridad de las copias es tan importante como hacerlas.
Además, hemos desarrollado un plan de recuperación ante desastres que detalla cada paso a seguir en caso de emergencia: quién notifica a los clientes, cómo se prioriza la restauración de datos, qué canales de comunicación alternativos usar. Lo ensayamos dos veces al año con simulacros sorpresa. La primera vez, el equipo tardó 6 horas en restaurar la operación normal. La última vez, bajamos a 45 minutos. Ese tipo de eficiencia no se logra sin práctica, y es uno de los aspectos que más valoran nuestros clientes cuando les explicamos nuestros protocolos.
Gestión de proveedores y terceros
Este es un aspecto que muchos pasan por alto, pero que en mi experiencia es una de las principales puertas de entrada para filtraciones de datos. Cuando externalizas la contabilidad, no solo confías en la empresa principal, sino en toda su cadena de proveedores: servicios en la nube, plataformas de facturación electrónica, herramientas de comunicación, incluso la empresa de limpieza que tiene acceso a las oficinas. La seguridad de tu información es tan fuerte como el eslabón más débil de toda la cadena.
Trabajamos con un cliente argentino que había subcontratado parte de su procesamiento contable a una firma india. Todo parecía funcionar bien hasta que descubrieron que esa firma india utilizaba un servicio de almacenamiento en la nube cuyos servidores estaban en China, sin los niveles de protección exigidos por la ley argentina. El resultado fue una investigación regulatoria que duró ocho meses y casi le cuesta la licencia para operar al cliente. Cuando me contaron esto, no pude evitar pensar: "Esto es como comprar una caja fuerte de alta seguridad y luego dejar la llave debajo del felpudo".
En Jiaxi, tenemos un proceso riguroso de debida diligencia de proveedores. Antes de contratar a cualquier tercero, evaluamos sus políticas de seguridad, sus certificaciones, y nos aseguramos de que firmen acuerdos de confidencialidad que cumplan con las normativas de todas las jurisdicciones donde operamos. Además, realizamos auditorías anuales a nuestros proveedores críticos. Sí, es trabajo, pero es trabajo necesario. Porque al final del día, si el proveedor de tu proveedor tiene una filtración, la culpa no la va a pagar ese proveedor; la vas a pagar tú frente a tus clientes.
Una práctica que implementamos y que recomiendo encarecidamente es la segmentación de datos con terceros. Si un proveedor necesita acceso a cierta información para realizar su servicio, le damos solo esa información, y solo por el tiempo necesario. Nada de accesos permanentes ni datos completos. Esto reduce drásticamente la superficie de ataque. Por supuesto, siempre hay quien dice "es que es más complicado", pero como digo yo: "La seguridad no es cómoda, pero la ruina tampoco lo es".
Auditorías externas y transparencia con clientes
Finalmente, quiero hablar de algo que considero fundamental y que muchas empresas evitan como a la plaga: las auditorías externas y la transparencia. Un proveedor de contabilidad externalizada que se niega a ser auditado por un tercero independiente tiene algo que esconder. Así de simple. En Jiaxi, no solo aceptamos auditorías externas, las promovemos activamente. Cada año contratamos a una firma especializada en seguridad informática para que evalúe nuestros sistemas y nos emita un certificado. Ese certificado lo compartimos con todos nuestros clientes.
Les voy a contar una anécdota personal. Cuando empecé en Jiaxi hace 12 años, uno de los primeros clientes que conseguimos era una empresa alemana muy estricta con los temas de seguridad. Su director financiero vino personalmente a nuestras oficinas y me pidió ver todo: nuestros servidores, nuestros protocolos, hasta los registros de acceso de los empleados. Recuerdo que estábamos nerviosos, pero decidimos abrir todas las puertas (literal y metafóricamente). Al final, nos felicitó y se convirtió en uno de nuestros clientes más leales. La transparencia genera confianza, y la confianza es la moneda de cambio más valiosa en este negocio.
Además, hemos implementado un sistema de informes trimestrales de seguridad para clientes. En ese informe detallamos: número de intentos de acceso no autorizados bloqueados, resultados de pruebas de penetración, actualizaciones de normativas relevantes, y cualquier incidente menor que haya ocurrido. La mayoría de las empresas de contabilidad externalizada no hacen esto, y créanme, es un diferenciador enorme. Los inversores inteligentes valoran que les traten como socios, no como simples clientes.
Un estudio de PwC de 2023 indicó que el 78% de los directivos financieros consideran la seguridad de datos como el factor más importante al seleccionar un proveedor de externalización contable, por encima incluso del precio. Esto debería ser una llamada de atención para todos los que estamos en esta industria. La seguridad no es un departamento, es una filosofía. Y las auditorías externas son el examen que demuestra que esa filosofía se practica, no solo se predica.
## Conclusión: Mirando hacia adelante Amigos inversores, hemos recorrido juntos un camino que va desde el cifrado básico hasta las complejidades de la gestión de proveedores y las auditorías externas. Si algo quiero que se lleven de este artículo es que la seguridad de datos en la contabilidad externalizada no es un destino, es un viaje continuo. No existe un momento en el que puedas decir "ya estamos seguros" y bajar la guardia. El panorama de amenazas evoluciona cada día, y con él deben evolucionar nuestras defensas. He visto empresas que empiezan con grandes promesas de seguridad y que, con el tiempo, se vuelven complacientes. He visto también a otras que, como Jiaxi, hacen de la seguridad su bandera y convierten ese compromiso en su principal ventaja competitiva. La diferencia entre unas y otras no está en el tamaño, sino en la cultura. Una cultura de seguridad se construye desde arriba hacia abajo, con liderazgo que predica con el ejemplo y empleados que entienden que cada clic, cada archivo, cada correo electrónico, puede ser la diferencia entre un día normal y una crisis reputacional. Mirando hacia el futuro, creo que la inteligencia artificial jugará un papel cada vez más importante en la seguridad de datos. Sistemas que detecten patrones anómalos en tiempo real, que automaticen respuestas a incidentes y que ayuden a predecir vulnerabilidades antes de que sean explotadas. Pero también sé que la tecnología nunca reemplazará el juicio humano, la ética profesional y el compromiso genuino con la confidencialidad del cliente. En el equilibrio entre tecnología y humanidad está la clave. Para terminar, quiero dejarles una reflexión personal. En mis 26 años combinados de experiencia en este sector, he aprendido que la reputación es como un jarrón de porcelana: cuesta años construirla y un segundo romperla. Cada medida de seguridad que implementamos, cada protocolo que seguimos, cada certificación que obtenemos, no es solo para cumplir con la ley o para impresionar a los clientes. Es para honrar la confianza que depositan en nosotros cuando nos entregan lo más valioso que tienen: la información financiera de su negocio. Y esa confianza, créanme, no tiene precio. --- ## Perspectiva de Jiaxi Finanzas e Impuestos En Jiaxi Finanzas e Impuestos, entendemos que la seguridad de datos no es un complemento opcional, sino el pilar fundamental sobre el que se construye la relación de confianza con nuestros clientes. A lo largo de 12 años sirviendo a empresas extranjeras y 14 años de experiencia en procedimientos de registro, hemos desarrollado un ecosistema de protección que integra tecnología de punta, protocolos rigurosos y, sobre todo, una cultura organizacional donde cada miembro del equipo es un guardián de la confidencialidad. Creemos firmemente que la transparencia en nuestros procesos es la mejor carta de presentación, por eso no solo cumplimos con las normativas GDPR, LGPD y leyes locales, sino que vamos más allá, implementando auditorías externas voluntarias y compartiendo informes de seguridad con nuestros clientes. Para nosotros, proteger los datos de quienes confían en Jiaxi no es una obligación legal; es un compromiso ético que define quiénes somos como empresa. En un mundo donde la información es el activo más valioso, nosotros somos los vigilantes que no duermen.
