Innovación abierta sin perder control: cómo colaborar con terceros sin comprar más complejidad#
La innovación abierta suena bien por una razón simple: ninguna institución financiera seria puede asumir que toda capacidad relevante nacerá dentro de sus cuatro paredes. Fintechs, hyperscalers, regtechs, proveedores de identidad, plataformas antifraude, motores analíticos, servicios de nube, integradores y partners especializados pueden acelerar muchísimo la exploración y la entrega.
El problema empieza cuando la colaboración externa se confunde con externalizar criterio.
Ahí es donde una estrategia de innovación abierta deja de ser un acelerador y se convierte en una fábrica de dependencias, excepciones y complejidad estructural. El Basel Committee on Banking Supervision, en sus Principles for the sound management of third-party risk, reconoce que los bancos dependen cada vez más de terceros para acceder a capacidades especializadas, escalar y mejorar eficiencia, pero advierte que esos arreglos también introducen riesgo operacional, concentración y vulnerabilidades que deben gestionarse dentro del marco general de gobierno y resiliencia.
¿Cómo aprovechar innovación abierta sin perder control?#
La innovación abierta funciona bien cuando amplía capacidades concretas sin sustituir estrategia, arquitectura ni gobierno. En servicios financieros, colaborar con terceros tiene sentido si la organización define antes qué problema quiere resolver, qué capacidades quiere conservar, qué dependencias está dispuesta a aceptar y qué controles deben estar presentes desde el diseño.
El Basel Committee señala que la gestión del riesgo de terceros debe abarcar el ciclo de vida completo del arreglo, desde planeación y due diligence hasta monitoreo, continuidad y terminación. NIST, por su parte, trata el Cybersecurity Supply Chain Risk Management como una práctica integral para gestionar exposición a riesgo a lo largo de productos, servicios, proveedores y ecosistemas tecnológicos.
El error más común: usar terceros para acelerar sin definir qué no debe delegarse#
La innovación abierta no falla solo por elegir un mal proveedor. Muchas veces falla porque la institución nunca definió qué parte de la capacidad quería realmente conservar dentro de casa.
Ese punto es crítico. Una cosa es apoyarte en un tercero para construir más rápido. Otra muy distinta es delegarle decisiones, datos, procesos o dependencias que terminan vaciando tu arquitectura y debilitando tu capacidad de gobierno.
Los principios del Basel Committee insisten en que los bancos deben entender la naturaleza y materialidad de sus arreglos con proveedores de servicios terceros, asignar roles y responsabilidades claras, mantener inventarios, evaluar concentración y asegurar que el riesgo de terceros quede integrado al marco general de riesgo del banco.
Innovación abierta no es outsourcing intelectual#
Hay una tentación muy humana en organizaciones presionadas por velocidad: pensar que un tercero no solo traerá la herramienta, sino también el criterio. Y eso casi nunca termina bien.
La institución puede y debe apoyarse en capacidades externas. Pero la definición de arquitectura objetivo, estándares de integración, gobierno del dato, tolerancia al riesgo, trazabilidad, continuidad y accountability no deberían quedar prestadas al proveedor.
NIST SP 800-161r1 describe el Cybersecurity Supply Chain Risk Management como una disciplina que cruza seguridad y cadena de suministro para gestionar exposición a riesgos en productos, servicios y ecosistemas tecnológicos; el documento enfatiza gobierno, procesos, controles y monitoreo continuo, no una confianza ciega en terceros.
El verdadero costo oculto de colaborar mal con terceros#
Lo que más daño hace rara vez aparece en la primera demo. El costo oculto de una mala estrategia de innovación abierta suele aparecer después:
- datos duplicados o mal gobernados,
- integraciones frágiles,
- dependencia excesiva de APIs o componentes críticos,
- dificultad para sustituir al proveedor,
- contratos mal alineados al nivel de riesgo,
- controles paralelos,
- observabilidad insuficiente,
- o incapacidad de reconstruir el flujo end-to-end sin ayuda externa.
El Basel Committee vincula explícitamente la gestión de terceros con resiliencia operacional y remite a sus Principles for operational resilience, donde se espera que las entidades evalúen dependencias de terceros, resiliencia adecuada, contingencia y salida antes de comprometer operaciones críticas.
Una forma práctica de distinguir colaboración útil de dependencia peligrosa#
Yo usaría cinco preguntas.
1. ¿Qué problema concreto estamos resolviendo?#
Si la respuesta es “porque el mercado se está moviendo” o “porque todos están haciendo alianzas”, todavía no hay suficiente claridad.
2. ¿Qué capacidad queremos acelerar y cuál no debemos ceder?#
No todo debe quedar afuera. Integración, estándares, arquitectura objetivo, gobierno del dato y accountability suelen ser capacidades que conviene conservar.
3. ¿Qué tan sustituible es este tercero?#
Si mañana el proveedor falla, cambia condiciones o sale del mercado, ¿la institución puede sostener operación crítica, migrar o contener el daño?
4. ¿Qué riesgo de concentración estamos comprando?#
El Basel Committee trata la concentración como un punto central del riesgo de terceros, tanto a nivel de proveedor individual como por dependencia amplia del ecosistema.
5. ¿Qué evidencia operativa y contractual exige este arreglo?#
Aquí entran monitoreo, niveles de servicio, pruebas, continuidad, auditoría, tratamiento de datos, subcontratación, terminación y salida.
Un ejemplo realista: fintech especializada, banco grande y una mala pregunta inicial#
Imaginemos una institución financiera que quiere mejorar onboarding digital y prevención de fraude. Aparece una fintech especializada con una propuesta atractiva: validación documental, biometría, señales de riesgo y decisiones más rápidas.
La mala pregunta sería: “¿qué tan rápido la integramos?”
La buena pregunta es otra: “¿qué parte del journey, del dato y de la decisión estamos dispuestos a poner en manos de este tercero, bajo qué controles y con qué plan de salida?”
Si la organización integra al proveedor sin definir arquitectura de integración, due diligence, ownership de datos, métricas operativas, tratamiento de incidentes y criterios de continuidad, probablemente acelerará al inicio y pagará después. Si, en cambio, usa al tercero para ampliar capacidades concretas dentro de un marco claro, puede ganar velocidad sin regalar control.
Los principios de third-party risk del Basel Committee son especialmente útiles aquí porque exigen gestión durante todo el ciclo de vida del arreglo, incluyendo contratación, monitoreo continuo, incidentes, continuidad y terminación.
En México, colaborar con terceros también obliga a pensar en datos, contratos y suspensión de servicios#
En el contexto mexicano, este tema no se queda en una buena práctica internacional.
La Ley Federal de Protección de Datos Personales en Posesión de los Particulares establece principios como licitud y responsabilidad para el tratamiento de datos personales. Además, el Reglamento de la LFPDPPP señala en su artículo 54 que toda subcontratación de servicios por parte del encargado que implique tratamiento de datos personales debe ser autorizada por el responsable y realizarse en nombre y por cuenta de este último. Eso vuelve muy relevante la forma en que se estructuran relaciones con proveedores que intervienen sobre información personal.
Por otro lado, en ámbitos regulados por Banco de México, hay reglas que exigen incluso condiciones contractuales y suspensión del servicio frente a cambios relevantes del tercero. La Circular 13/2017 compilada de Banco de México establece que el participante debe abstenerse de utilizar el servicio del tercero cuando advierta cambios en su operación que puedan afectar el cumplimiento normativo o de las normas internas, y que esa obligación debe preverse expresamente en el contrato o instrumento jurídico correspondiente.
Eso refuerza un punto central: en servicios financieros mexicanos, colaborar con terceros no es solo un asunto de integración técnica. También es un asunto de diseño contractual, tratamiento de datos y capacidad de suspensión o sustitución.
La innovación abierta que sí sirve amplía opcionalidad, no dependencia irreversible#
La mejor colaboración con terceros no te encierra más. Te deja más opciones.
Te permite aprender más rápido, probar capacidades, reducir tiempo de construcción y enfocarte en diferenciales reales. Pero debería hacerlo de un modo que preserve suficiente autonomía para gobernar arquitectura, riesgo, operación y evolución futura.
NIST SP 1305, su guía rápida sobre Cybersecurity Supply Chain Risk Management alineada con CSF 2.0, insiste en que gestionar riesgo de cadena de suministro no es un evento puntual, sino una práctica continua que debe integrarse al marco de gobierno y a decisiones ejecutivas.
Reflexión de Arquitectura#
La arquitectura madura no se opone a la innovación abierta. Se opone a que la organización compre velocidad destruyendo modularidad, trazabilidad y sustituibilidad. La pregunta correcta no es si un tercero puede resolver algo. La pregunta es si ese arreglo deja una capacidad más fuerte o un acoplamiento más peligroso.
Lo que un CTO debería leer detrás de esta conversación#
Desde dirección tecnológica, este tema es menos sobre aliarse más y más sobre cómo gobernar mejor las alianzas.
Un CTO serio debería poder responder con claridad:
- qué capacidades diferenciales deben quedar dentro,
- qué capacidades conviene consumir externamente,
- qué umbrales obligan a mayor due diligence,
- qué controles mínimos deben exigirse a terceros,
- y cómo se medirá si la colaboración realmente dejó una capacidad reusable o solo una dependencia costosa.
El Basel Committee es claro en que la alta dirección y el board deben asegurar marcos adecuados para third-party risk, con roles definidos, apetito de riesgo coherente y visibilidad suficiente sobre proveedores materiales.
Reflexión CTO#
La innovación abierta madura no consiste en abrir el radar y cerrar los ojos. Consiste en ampliar capacidades sin perder criterio, sin regalar accountability y sin convertir cada aceleración externa en una nueva fuente de fragilidad interna.
Mi opinión: la mejor alianza no es la que impresiona más, sino la que deja mejor sistema#
No creo que el problema sea colaborar con terceros. De hecho, en muchos casos sería ingenuo no hacerlo.
El problema empieza cuando la organización confunde velocidad externa con madurez interna. Ahí es donde una alianza que parecía brillante termina complicando más de lo que resuelve.
Por eso, para mí, la innovación abierta útil tiene una prueba muy simple: después de colaborar con ese tercero, ¿tu sistema quedó más fuerte, más claro y más gobernable? ¿O solo quedó más rápido por un tiempo y más dependiente para el futuro?
Esa diferencia separa una alianza estratégica de una dependencia elegante.
Conclusión#
La innovación abierta puede acelerar muchísimo. Puede traer talento, especialización, velocidad de construcción y opcionalidad estratégica. Pero solo genera valor sostenible cuando la institución conserva criterio, arquitectura, control y capacidad de sustitución.
En servicios financieros, colaborar con terceros sin gobierno no es apertura. Es exposición.
En 2026, la conversación madura ya no debería ser si conviene innovar con partners. La pregunta importante es cómo hacerlo sin comprar más complejidad, más concentración y más dependencia de la que el negocio realmente necesita.
Glosario breve#
Innovación abierta
Enfoque donde una organización colabora con actores externos —fintechs, proveedores, universidades, hyperscalers, partners— para explorar, desarrollar o acelerar capacidades.
Third-party risk management (TPRM)
Gestión del riesgo asociado a terceros que proveen servicios, tecnología, procesos o componentes relevantes para la operación.
Cybersecurity Supply Chain Risk Management (C-SCRM)
Disciplina para gestionar riesgos de ciberseguridad asociados a cadenas de suministro tecnológicas, incluyendo productos, servicios, proveedores y dependencias.
Due diligence
Evaluación previa de un tercero antes de contratarlo o integrarlo, considerando aspectos técnicos, operativos, financieros, regulatorios y de seguridad.
Sustituibilidad
Capacidad de reemplazar un tercero o componente sin colapsar una operación crítica.
Encargado
En la regulación mexicana de datos personales, quien trata datos personales por cuenta del responsable.
Fintech (Tecnología Financiera) Financial Technology. Se refiere a empresas que utilizan la tecnología, internet, software y aplicaciones móviles para ofrecer servicios financieros de manera más rápida, accesible y eficiente que la banca tradicional.
Hyperscalers (Hiperescaladores) Son los grandes proveedores de servicios de computación en la nube que ofrecen servicios de infraestructura (IaaS), plataforma (PaaS) y software (SaaS) a escala masiva.
RegTech (Tecnología Regulatoria) Es un subconjunto de la Fintech que utiliza tecnología para ayudar a las instituciones financieras a cumplir con los requisitos regulatorios (compliance) de manera más eficiente y menos costosa. Fintech busca crear nuevos productos financieros; RegTech busca gestionar la legalidad de esos productos.
Basel Committee Comité de Supervisión Bancaria de Basilea (BCBS, por sus siglas en inglés) es el principal organismo normativo mundial para la regulación prudencial de los bancos.
Onboarding El onboarding bancario es el proceso mediante el cual una entidad financiera incorpora nuevos clientes.
Accountability Compromiso personal de asumir la responsabilidad total por las acciones, decisiones, resultados y consecuencias, sin poner excusas ni buscar culpables externos.
Referencias#
Basel Committee on Banking Supervision, Principles for the sound management of third-party risk
https://www.bis.org/bcbs/publ/d605.pdfFSI / BIS, Sound management of third-party risk – Executive Summary
https://www.bis.org/fsi/fsisummaries/exsum_23911.htmBasel Committee on Banking Supervision, Principles for operational resilience
https://www.bis.org/bcbs/publ/d516.pdfNIST, Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations (SP 800-161r1)
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-161r1.pdfNIST, NIST CSF 2.0: Quick-Start Guide for Cybersecurity Supply Chain Risk Management (SP 1305)
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.1305.pdfCámara de Diputados, Ley Federal de Protección de Datos Personales en Posesión de los Particulares
https://www.diputados.gob.mx/LeyesBiblio/pdf/LFPDPPP.pdfCámara de Diputados, Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares
https://www.diputados.gob.mx/LeyesBiblio/regley/Reg_LFPDPPP.pdfBanco de México, Circular 13/2017 (texto compilado)
https://www.banxico.org.mx/marco-normativo/normativa-emitida-por-el-banco-de-mexico/circular-13-2017/%7BD2B92717-D923-ED2F-194E-7180B3CDEFAC%7D.pdf