Por qué los mainframes siguen siendo importantes en la era digital de la banca – Entrevista con Jennifer Nelson

Jennifer Nelson es CEO de izzi Software.

¡Descubre las principales noticias y eventos del sector fintech!

Suscríbete al boletín de FinTech Weekly

Leído por ejecutivos de JP Morgan, Coinbase, Blackrock, Klarna y más

En una industria obsesionada con la última ola de tecnología, es fácil olvidar que algunos de los pilares más sólidos en infraestructura financiera han existido durante décadas. Aunque la innovación en fintech a menudo se presenta como una carrera hacia el futuro, la columna vertebral de la banca global permanece silenciosamente anclada en sistemas que muchos erróneamente descartan como reliquias: los mainframes.

Esto no es solo una cuestión de nostalgia o inercia corporativa. Los mainframes aún procesan la mayor parte de las transacciones financieras mundiales, con una fiabilidad y escala que muchos sistemas más nuevos no pueden igualar. Su capacidad para manejar enormes volúmenes de datos en tiempo real, sin comprometer la seguridad, los hace indispensables en un sistema financiero que depende tanto de la velocidad como de la confianza.

Sin embargo, a pesar de su papel crítico, los mainframes a menudo se malinterpretan. En un entorno donde “nube primero” es la norma, puede parecer contraintuitivo defender tecnologías más antiguas. Pero llamar al mainframe un sistema legado simplifica demasiado una verdad mucho más compleja. Para entender por qué, debemos examinar el equilibrio entre los sistemas heredados y el impulso moderno hacia infraestructuras híbridas.

El caso de la modernización con precaución

Las instituciones financieras están bajo una presión implacable para modernizarse. Inversionistas, clientes y reguladores esperan servicios digitales sin fisuras, seguridad reforzada y rendimiento cada vez más rápido. Para muchos líderes, la tentación es perseguir el cambio de manera agresiva — deshacerse de los sistemas antiguos y migrar de forma masiva a la nube.

Pero la modernización no es simplemente un proyecto técnico. Es una iniciativa estratégica que conlleva riesgos si se realiza a la ligera. Los datos que han estado seguros en un entorno de mainframe durante décadas quedan expuestos en el momento en que se transfieren a otro lugar. Las aplicaciones optimizadas para mainframe pueden fallar al migrarlas, provocando problemas de latencia costosos. Estos riesgos no son solo hipotéticos — amenazan las operaciones diarias, el cumplimiento regulatorio e incluso la confianza del consumidor.

La lección es clara: la verdadera modernización no consiste en arrancar lo viejo para poner lo nuevo. Se trata de integrar fortalezas, planificar las actualizaciones cuidadosamente y asegurarse de que el próximo paso no desestabilice lo que ya funciona.

Una brecha de habilidades con consecuencias reales

La tecnología evoluciona más rápido que la experiencia necesaria para mantenerla. Esto es especialmente evidente en el ámbito de los mainframes. Durante años, bancos e instituciones financieras han dependido de un grupo de ingenieros con profundo conocimiento institucional de los sistemas IBM Z y plataformas relacionadas. A medida que muchos de esos expertos se jubilan, la próxima generación aún no ha reemplazado completamente sus habilidades.

Esto genera un desafío serio. Una base de conocimientos limitada aumenta el riesgo de errores costosos, incluso cuando existen protecciones. La resiliencia de los mainframes no puede compensar completamente el factor humano. Hasta que se capacite y mentoree a nuevos ingenieros, los bancos enfrentan vulnerabilidades no por la tecnología en sí, sino por la reducción del grupo de profesionales que saben usarla de manera segura.

La seguridad sigue siendo cosa de personas

Cuando surgen conversaciones sobre ciberseguridad, gran parte del enfoque está en herramientas y defensas. Sin embargo, una y otra vez, las verdaderas debilidades provienen del comportamiento humano. En el mundo de los mainframes, esto suele reducirse a cómo se otorgan, gestionan y revocan los permisos.

Los desarrolladores que no comprenden completamente las implicaciones de permisos elevados pueden dejar puertas abiertas, no por malicia, sino por capacitación incompleta o conveniencia. Las empresas que no actualizan los accesos cuando los empleados cambian de rol pueden exponer datos sensibles innecesariamente. Incluso con tecnología sofisticada, las prácticas básicas de higiene de seguridad siguen siendo esenciales — y con frecuencia se pasan por alto.

Presentamos a Jennifer Nelson

Para contextualizar estos desafíos y oportunidades, consultamos a Jennifer Nelson, CEO de Izzi Software. Nelson ha construido su carrera en sistemas mainframe, pasando 15 años en Rocket Software y cinco en BMC, antes de ampliar su perspectiva en roles de ingeniería senior fuera del ecosistema IBM Z. En 2024, fundó Izzi Software, una compañía dedicada a adquirir y hacer crecer negocios basados en plataformas IBM Z y IBM Power.

Su visión — que abarca la ingeniería tradicional de mainframes y el liderazgo en software moderno — la convierte en una voz rara en la conversación actual sobre estrategia tecnológica en servicios financieros.

¡Disfruta la entrevista!

1. Mientras fintech corre hacia la nube nativa en todo, usted ha argumentado que el mainframe sigue siendo fundamental para la estabilidad bancaria global. ¿Qué cree que la mayoría de los innovadores malinterpretan sobre el papel de los sistemas antiguos hoy en día?

Lo primero que malinterpretan es llamar al mainframe un sistema legado; que por haber sido lanzado hace más de 60 años, ya está obsoleto. Es como llamar a Windows un sistema operativo legado. La realidad no es esa. Los mainframes son más relevantes hoy que cuando fueron inventados.

Todo el mundo quiere datos a la velocidad de la luz. Quieren que los datos se devuelvan en cuanto presionan un botón, sin importar dónde se encuentren. Y con razón, porque el usuario final no debería saber — y no debería tener que saber — las complejidades de su solicitud, como dónde están los datos. Pero solo los mainframes pueden ofrecer el rendimiento y la seguridad en un entorno híbrido.

Los mainframes pueden ingerir datos dondequiera que estén, analizarlos y reportarlos, con recomendaciones, mejor que cualquier otra plataforma, y más rápido. Muéstreme otro sistema que pueda ingerir datos de toda una red global, analizarlos, detectar anomalías en tiempo real y enviarlos de vuelta al solicitante.

El que mejor conoce sus datos gana, porque los datos son tan valiosos como el capital en efectivo. Cuando los innovadores descartan los mainframes como sistemas legacy, están descartando su velocidad, potencia y la capacidad de procesar cantidades masivas de datos a la velocidad necesaria para detección de riesgos en tiempo real.

La gente piensa que la nube fue un cambio de juego y que los mainframes están desactualizados en comparación. El concepto de computación en la nube a través de una red es, en efecto, moderno y revolucionario para muchos. Pero si conoces la tecnología de mainframe, notarás que comparte muchas características con la nube. Por ejemplo, al ingresar al mainframe, inicias sesión en TSO, que significa “opción de compartición de tiempo”. Tienes tu propia sesión TSO, o una instancia de Microsoft Teams.

Todos usan los mismos procesadores en el mainframe. Pero cuando no estás ejecutando un programa o trabajo por lotes, la capacidad se asigna a quienes la necesitan. También inicias sesión en un LPAR, o partición lógica, con almacenamiento, seguridad y privacidad dedicados. Los usuarios en un LPAR no pueden acceder a datos en otro LPAR, a menos que esté específicamente configurado así. Eso es en esencia lo que es la nube: compartir recursos cuando no se usan y asegurar los datos dedicados a tu instancia. Pero los mainframes llevan usando estos conceptos años.

2. La infraestructura híbrida—mezclando mainframes con capas de nube más nuevas—se está convirtiendo en la norma. Desde su experiencia, ¿cuáles son los verdaderos factores de riesgo que se introducen cuando las organizaciones intentan modernizar demasiado rápido o de forma superficial?

De los múltiples riesgos, puedo reducirlo a dos.

El primer riesgo es el consumo de datos. Los datos en un mainframe son algunos de los más seguros que existen. Cuando los sacas del mainframe o los haces visibles a alguien que los ingiere, hay un riesgo para la privacidad y regulación de los datos. ¿Quién los está mirando? ¿A dónde van cuando salen del mainframe?

El segundo riesgo está en optimizar las aplicaciones para que funcionen en un entorno híbrido. Las aplicaciones optimizadas para mainframe pueden terminar funcionando de manera subóptima en otro servidor. La latencia y los problemas de rendimiento pueden perjudicar la productividad.

3. Ha alertado sobre una brecha de habilidades en experiencia en mainframes. ¿Qué tan grave es el riesgo institucional cuando menos ingenieros saben cómo operar y asegurar los sistemas en los que todavía dependen las instituciones financieras?

El riesgo es severo. Los desarrolladores más nuevos — no solo los jóvenes, sino también los que son nuevos en la industria — aprenderán y desarrollarán su experiencia. Pero hasta que la próxima generación alcance ese nivel, las instituciones financieras tendrán una exposición por un tiempo, ya que el conocimiento institucional no será tan profundo como debería.

Las personas con poca experiencia o conocimientos pueden, sin querer, causar riesgos a los datos o al sistema operativo. Estos sistemas son resilientes y tienen varias capas de protección contra errores humanos, pero aún existe un riesgo considerable hasta que las habilidades estén en el nivel necesario. Los bancos ya enfrentan esta brecha hoy en día.

4. Las conversaciones sobre seguridad a menudo se centran en herramientas, pero usted ha señalado que las personas siguen siendo la primera línea. ¿Qué puntos ciegos operativos ha visto surgir con mayor frecuencia en la gestión de entornos mainframe?

La gestión de entornos relevantes suele centrarse en permisos elevados. Cuando un ingeniero de software escribe código, a veces necesita permisos elevados para hacer algo específico en el sistema operativo, como habilitar que un programa realice una acción más sensible. Si el ingeniero no comprende bien las mejores prácticas, no sabrá cuándo entrar y salir de ese estado autorizado elevado. Ese estado conlleva más riesgo, por lo que los ingenieros no deben permanecer en él mucho tiempo para entender las mejores prácticas al desarrollar para ese sistema.

También hay prácticas básicas de seguridad que se deben seguir en cualquier red de TI. Cuando otorgas autorizaciones especiales a alguien en un rol determinado, necesitas un proceso claro para retirar esas autorizaciones cuando cambian de rol, para garantizar que se eliminen los accesos. Muchas veces no es un problema, si todavía son empleados o no son actores maliciosos. Pero siempre hay riesgo cuando dejas demasiados datos sensibles accesibles a personas que ya no los necesitan.

Además, los conjuntos de datos a nivel de sistema en mainframes permiten a los usuarios realizar funciones fundamentales en un sistema. Solo ciertos usuarios deben tener acceso a esas funciones. Por ejemplo, algunos controles de seguridad solo pueden activarse en niveles más profundos del sistema operativo. Te sorprendería cuántas veces las empresas dejan sin revisar principios básicos de seguridad. Hay formas de que los ingenieros hagan su trabajo sin tener acceso a esos recursos raíz, pero es más fácil trabajar con ese nivel de acceso, por lo que las empresas dejan la puerta trasera abierta más de lo que deberían.

La mayoría de los empleados se puede confiar, pero estos son principios fundamentales que algunas instituciones financieras dejan abiertos y olvidan.

5. Los ataques de ransomware ya no solo apuntan a los endpoints, sino a la infraestructura central. ¿Qué hace que los sistemas legacy sean particularmente vulnerables — y, en algunos casos, más resistentes — que las plataformas más nuevas?

Los mainframes tienen capas de seguridad integradas que la mayoría de los servidores simplemente no poseen. Solo porque puedas ingresar al mainframe no significa que tengas acceso a los datos críticos del negocio, que es lo que normalmente bloquea el ransomware. Luego, debes saber dónde están los datos y cómo acceder a ellos. Además, los datos pueden estar segmentados, por lo que un invasor solo tendría acceso a un segmento y no a toda la información necesaria para un ataque de ransomware exitoso. Y si no tienes acceso al dispositivo de almacenamiento, no puedes ver los datos en ese dispositivo.

6. Desde su experiencia, ¿cómo sería una modernización efectiva para instituciones financieras que no pueden permitirse “arrancar y reemplazar” pero necesitan estar preparadas para el futuro?

La modernización significa cosas diferentes en distintas empresas, dependiendo de en qué estado estén con sus aplicaciones. Ya sea B2B o B2C, las empresas están modernizando continuamente, actualizando servidores y laptops.

Lo mismo sucede con las aplicaciones críticas para el negocio. Una empresa puede actualizar esas aplicaciones periódicamente, pero dado que las aplicaciones tradicionales de mainframe fueron desarrolladas hace varias generaciones, lo mejor que pueden hacer las empresas es evaluar completamente qué hace cada aplicación de principio a fin. Así, pueden planificar su modernización en etapas manejables.

Las empresas pueden segmentar una aplicación, dividiéndola en partes para que las diferentes funciones y características se actualicen y reescriban lentamente con el tiempo, según sea posible. Si ves la modernización como un proceso continuo, la tendencia a mejorar e iterar se vuelve constante.

Los líderes deben tener siempre una mentalidad proactiva. Las preguntas deben ser: “¿Qué podemos hacer ahora? ¿Qué podemos contener este año? ¿Qué podemos contener en los próximos dos años?” Esa es una mejor estrategia que “¿cómo reescribimos todo esto?”.

Hay que iterar en los sistemas y desarrollarlos progresivamente. Comienza reescribiendo una función de una aplicación crítica, y luego añádele las demás funciones según puedas. Cambia en fases pequeñas.

Arrancar y reemplazar es una opción. Suena drástico y brutal, pero en realidad solo significa dejar de usar un sistema para usar otro. Pero la dirección necesita tener la voluntad para un cambio grande de golpe y aprobar el presupuesto. La verdad es que, en realidad, es más un “reemplazo”, porque puede tomar años completar el proceso.

7. Para los líderes tecnológicos que vienen de una mentalidad de nube primero, ¿cuál sería el cambio de pensamiento más importante al tratar con sistemas mainframe críticos?

Aprender qué está haciendo realmente el mainframe. La Juramento Hipocrático dice “no hacer daño”, así que hay que entender qué responsabilidades tiene el mainframe para evitar errores dañinos. Cuando quienes tienen una mentalidad de nube primero entienden la totalidad de las transacciones que llegan al mainframe, la naturaleza de esas transacciones y cuánto depende la rentabilidad de su empresa de ellas, comprenderán y sabrán cómo evitar dañar el rendimiento y la rentabilidad de su compañía.