El mayor riesgo de ciberseguridad en valuación no está en la tecnología

El eslabón que nadie vigila

Cuando se habla de ciberseguridad en valuación inmobiliaria, la conversación suele centrarse en el sistema: ¿tiene cifrado? ¿está en la nube? ¿tiene respaldos? Estas preguntas son importantes, pero apuntan al lugar equivocado.

El mayor riesgo de seguridad en la cadena de valuación no está dentro del sistema. Está en todo lo que ocurre fuera de él.

Los puntos de fuga reales

En el día a día de una operación de valuación, la información sensible — INE, escrituras, planos, boletas prediales, fotografías, datos financieros — pasa por múltiples manos y dispositivos antes de llegar al sistema. Y es en ese trayecto donde ocurren las fugas.

1. Celulares personales sin control

El valuador va a la inspección con su celular personal. Toma 30 fotos del inmueble, incluyendo fachada, interiores, documentos del propietario, y geolocalización. Esas fotos quedan en la galería del teléfono, se sincronizan automáticamente con Google Photos o iCloud, y permanecen ahí indefinidamente — sin cifrado, sin control de acceso, sin política de borrado.

El Instituto Nacional de Estándares y Tecnología (NIST) documenta exactamente este patrón como un riesgo elevado del modelo BYOD (Bring Your Own Device): los dispositivos personales capturan fotografías, video y ubicación, y sincronizan datos locales con ubicaciones remotas de terceros, lo cual es precisamente lo que ocurre en cada inspección de campo.

2. WhatsApp como herramienta de trabajo

Enviar documentos por WhatsApp es práctica común: el valuador manda fotos al coordinador, el coordinador reenvía al director, alguien comparte un expediente completo en un grupo. El problema: WhatsApp almacena copias en cada dispositivo, los respaldos van a Google Drive o iCloud (sin cifrado end-to-end del respaldo), y no existe trazabilidad de quién tiene qué.

3. Correos personales y nubes gratuitas

"Te lo mando a tu Gmail." Una frase que parece inocente pero que constituye una transferencia de datos personales a un tercero según la LFPDPPP. Lo mismo aplica para Dropbox personal, Google Drive personal, o cualquier servicio que no esté bajo control contractual de la UV.

4. Inteligencia artificial sin control

Este es el riesgo más reciente y quizás el más subestimado. Un valuador sube fotografías de un inmueble a una herramienta de IA gratuita para generar descripciones o análisis. En ese momento, las imágenes — que pueden contener información identificable — se transfieren a servidores de terceros sin ningún acuerdo de confidencialidad, sin control de retención, y sin consentimiento del titular de los datos.

Un ejemplo que lo ilustra todo

1. Valuador toma fotos en su celular personal durante la inspección
2. Las fotos se sincronizan automáticamente con la nube personal
3. El valuador sube algunas a una herramienta de IA gratuita para procesar
4. Pierde el dispositivo o lo cambia sin borrar datos

Resultado:

• Fuga de datos personales del acreditado
• Incumplimiento de la LFPDPPP
• Riesgo contractual con el banco que solicitó el avalúo
• Hallazgo crítico en la próxima auditoría bancaria

El caso SHF: una advertencia real

En enero de 2026, la Sociedad Hipotecaria Federal (SHF) sufrió un incidente de ciberseguridad asociado al grupo de ransomware un grupo de ransomware. Se reportó la extracción de aproximadamente 277 GB de información, organizada por institución financiera. El incidente afectó trámites y validaciones donde intervienen avalúos, expedientes y flujos documentales.

La lección es directa: si una institución central del sistema financiero puede ser víctima de un ciberataque, una Unidad de Valuación sin controles básicos es aún más vulnerable.

El mito del seguro de ciberseguridad

"Tengo seguro, estoy cubierto." Esta es otra creencia peligrosa. Un seguro de ciberseguridad:

• No evita incidentes
• No sustituye controles de seguridad
• No cubre negligencia
• No evita sanciones regulatorias

Un seguro es transferencia de riesgo económico, no cumplimiento de seguridad.

¿Qué hacer? Controles mínimos para el trabajo de campo

No se trata de prohibir la tecnología. Se trata de regular el tratamiento de la información:

Dispositivos

• Cifrado del dispositivo activado (tanto en Android como iOS)
• Contraseña o biométrico obligatorio
• No compartir equipos entre valuadores
• Borrado de datos del avalúo una vez subidos al sistema

Comunicación

• No enviar expedientes por WhatsApp ni correo personal
• No usar nubes personales para almacenar documentos de trabajo
• Subir todo directamente al sistema de valuación

Inteligencia artificial

• Prohibir el uso de cuentas personales de IA para datos de avalúos
• Si se usa IA, debe ser bajo acuerdo contractual que proteja los datos

Al terminar la relación laboral

• Baja inmediata de accesos al sistema
• Borrado remoto de datos en dispositivos (si aplica)
• Recuperación de equipos y documentos

El riesgo es operativo, no tecnológico

"El mayor riesgo en el ecosistema de valuación no está en la tecnología, sino en la operación."

Tu sistema puede tener el mejor cifrado, la mejor infraestructura y los mejores respaldos. Pero si la información sale del sistema sin control — por un celular, un WhatsApp o una cuenta de IA gratuita — todo lo demás pierde sentido.