InicioBlog › Modelo de responsabilidad compartida en ciberseguridad para Unidades de Valuación
Seguridad

Modelo de responsabilidad compartida en ciberseguridad para Unidades de Valuación

Solución IDEAS 8 min de lectura
Modelo de responsabilidad compartida en ciberseguridad para Unidades de Valuación

La creencia que pone en riesgo a tu Unidad de Valuación

Existe una creencia profundamente arraigada en el sector de valuación inmobiliaria:

"Yo contrato un sistema de valuación, por lo tanto, el sistema es responsable de la seguridad de mi información."

Esta idea, aunque comprensible, es incorrecta y peligrosa. En la práctica, las instituciones financieras que contratan servicios de valuación no evalúan solo al sistema — evalúan toda la operación de la Unidad de Valuación: cómo manejas los datos, quién accede a ellos, qué dispositivos usas, y cómo proteges la información sensible de los acreditados.

¿Qué es el modelo de responsabilidad compartida?

El modelo de responsabilidad compartida es un concepto ampliamente adoptado en tecnología y seguridad de la información. En el contexto de valuación inmobiliaria, funciona así:

Lo que es responsabilidad del proveedor del sistema

  • Infraestructura: Servidores, nube (por ejemplo, Azure), disponibilidad
  • Seguridad de la aplicación: Cifrado de datos (TLS, AES), protección perimetral (WAF)
  • Respaldos: Copias de seguridad automatizadas y recuperación
  • Trazabilidad: Logs de actividad, auditoría del sistema
  • Autenticación: MFA, gestión de sesiones seguras

Lo que es responsabilidad de la Unidad de Valuación

  • Usuarios y accesos: Quién tiene acceso, cuándo se da de baja, contraseñas
  • Dispositivos: Laptops, celulares, tabletas usadas por valuadores
  • Manejo de documentos: INE, escrituras, planos, boletas prediales, fotos
  • Subcontratación: Peritos y valuadores externos
  • Cumplimiento legal: Protección de datos personales, avisos de privacidad
  • Herramientas externas: Uso de correo, nube personal, WhatsApp, herramientas de IA

¿Por qué importa esto ahora?

Las instituciones financieras en México — HSBC, BBVA, Santander, Scotiabank, entre otras — han elevado significativamente sus requisitos de seguridad hacia proveedores y terceros. Esto incluye a las Unidades de Valuación.

El proceso típico de evaluación incluye:

  1. Levantamiento del servicio que prestas al banco
  2. Cuestionario de seguridad formal (TPCQ, Sure Cloud, etc.)
  3. Revisión de controles y evidencias documentadas
  4. Emisión de hallazgos y plan de acción correctiva

Los bancos no solo preguntan "¿qué sistema usas?" — preguntan cómo opera tu organización: si tienes políticas de acceso, si cifras los dispositivos, si controlas la información que manejan tus valuadores en campo, si tienes procedimientos de respuesta a incidentes.

El marco legal lo confirma

La Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) define dos roles fundamentales:

  • Responsable: Quien decide sobre el tratamiento de los datos → la Unidad de Valuación
  • Encargado: Quien trata datos por cuenta del responsable → el proveedor del sistema

La ley es clara: la responsabilidad legal no se delega. La UV debe implementar medidas administrativas, técnicas y físicas para proteger los datos. Y en caso de un incidente, la obligación de notificar y responder recae en la UV como responsable.

El modelo de 3 capas que funciona

No se requiere una certificación ISO completa ni grandes inversiones. Lo que se necesita son controles mínimos, prácticos y auditables, organizados en tres capas:

Capa 1: Proveedor tecnológico

El sistema de valuación debe ofrecer seguridad integrada: cifrado, MFA, logs de auditoría, protección perimetral, respaldos, y evidencia lista para auditorías bancarias. Esta capa generalmente ya está cubierta si usas un sistema profesional.

Capa 2: Unidad de Valuación (controles internos)

Esta es la capa donde la mayoría de las UV tienen vacíos:

  • Dispositivos: Cifrado obligatorio, contraseña, no compartir equipos
  • Accesos: Usuarios individuales (nunca compartidos), baja inmediata al terminar relación, MFA activado
  • Información: No usar correos personales para trabajo, no subir archivos a nubes personales, controlar las descargas
  • Inteligencia artificial: Prohibir el uso de cuentas personales de IA para procesar datos de avalúos
  • Peritos externos: Contratos con lineamientos de seguridad, acuerdos de confidencialidad

Capa 3: Apoyo externo

Una auditoría anual, pruebas de vulnerabilidad y asesoría puntual de un especialista. No necesitas un equipo completo de ciberseguridad — necesitas un aliado que te ayude a validar que tus controles están funcionando.

El insight clave

"El mayor riesgo en el ecosistema de valuación no está en la tecnología, sino en la operación."

La solución no es que las Unidades de Valuación se conviertan en expertos en ciberseguridad. La solución es que adopten controles mínimos adecuados al riesgo, apoyados por proveedores tecnológicos que integren la seguridad como parte del servicio.

¿Tu UV está preparada para una auditoría bancaria?

Conoce cómo GYS Avalúos integra seguridad de nivel financiero en su plataforma y te ayuda a cumplir con los requisitos de los bancos.

Solicitar información
Compartir:

Artículos relacionados

Seguridad

Tu información es tuya: seguridad y privacidad en la nube

15 Mar 2026 · 5 min
Seguridad

El mayor riesgo de ciberseguridad en valuación no está en la tecnología

01 Apr 2026 · 7 min
Seguridad

Lo que los bancos realmente evalúan en una auditoría de seguridad a tu Unidad de Valuación

04 Apr 2026 · 9 min
Solicitar Demo WhatsApp
Configuración de Cookies

Este sitio utiliza cookies para garantizar la mejor experiencia. Puedes elegir qué categorías permitir. Más información