ISGroup Consultoría de Ciberseguridad

Penetration Test DORA obligatorio para entidades financieras

La entrada en vigor de la Ley de Resiliencia Operativa Digital (DORA, por sus siglas en inglés) ha transformado las pruebas de seguridad de una mejor práctica recomendada a una obligación normativa estricta para el sector financiero. Aunque parte del debate se ha centrado en las pruebas avanzadas de Red Teaming, el cumplimiento requiere, ante todo, un programa sólido de pruebas de penetración (pentesting) bajo DORA, como parte de las verificaciones ordinarias previstas en el Artículo 25.

Pruebas de penetración ordinarias vs. TLPT

DORA establece una distinción clara entre las pruebas de seguridad convencionales y las pruebas avanzadas.

  • Pentest ordinario (Art. 25): Se centra en la evaluación detallada de las vulnerabilidades técnicas y de configuración, analizando a menudo sistemas individuales o entornos de forma aislada. Estas pruebas forman parte del programa general de pruebas que las entidades financieras deben realizar periódicamente.
  • TLPT (Threat-Led Penetration Testing – Art. 26): Es una prueba avanzada guiada por inteligencia (Red Teaming) que simula escenarios reales de ataque contra toda la entidad, involucrando personas, procesos y tecnologías. El TLPT debe ejecutarse obligatoriamente en sistemas de producción reales y operativos.

Casos de uso de las pruebas de penetración en DORA

  • Validar los controles de seguridad tras cambios significativos en la infraestructura.
  • Identificar debilidades antes de la puesta en producción de nuevos sistemas o paquetes de software.
  • Cumplir con los requisitos de pruebas anuales para las entidades financieras no sujetas a TLPT, garantizando aun así la resiliencia de los sistemas TIC.

Alcance correcto: Internet-facing, interno, nube, aplicaciones, IAM

El perímetro de una prueba de penetración bajo DORA debe basarse en el riesgo e incluir:

  • Sistemas expuestos (Internet-facing): Para prevenir intrusiones externas.
  • Aplicaciones y software: Probando tanto el código fuente como las interfaces de usuario.
  • Nube e infraestructuras de terceros: Dado que el perímetro de DORA incluye explícitamente los servicios TIC proporcionados por terceros.
  • Gestión de accesos (IAM): Verificando la robustez de las políticas de autenticación y los riesgos de escalada de privilegios.

Evidencias y remediación

No es suficiente con realizar la prueba; DORA exige un proceso documental riguroso. Tras la actividad de testing, la entidad debe generar un informe que incluya:

  • Una descripción de las carencias (shortcomings) identificadas.
  • Un análisis de las causas raíz (root cause analysis) de los ataques exitosos.
  • Un plan de remediación (remediation plan) que indique cómo se resolverán las vulnerabilidades, asignando prioridades y plazos concretos.
  • La evidencia de las pruebas de retest para confirmar la eficacia de las acciones correctivas.

Cuándo tiene sentido realizarlo con testers externos

DORA permite el uso de recursos internos (bajo condiciones estrictas de independencia y competencia), pero el uso de testers externos es recomendable y, a veces, obligatorio. Los testers externos garantizan:

  • Independencia total y ausencia de conflictos de interés.
  • Competencias especializadas y certificaciones reconocidas por el mercado.
  • Cumplimiento para entidades sistémicas: las instituciones crediticias significativas están obligadas a utilizar testers externos para las pruebas avanzadas y, en cualquier caso, deben alternar entre testers internos y externos cada tres pruebas.

Errores típicos en los pentests de “solo cumplimiento”

  • Probar solo en entornos de staging: para los TLPT, DORA impone pruebas en sistemas “en vivo”, ya que los entornos de prueba no replican fielmente los riesgos operativos.
  • Excluir a terceros: los contratos con proveedores TIC deben prever la obligación de cooperar en las pruebas de seguridad de la entidad financiera.
  • Considerar la prueba como un “aprobado/suspendido”: el fin último debe ser el aumento de la madurez cibernética, no solo la obtención de un “sello”.

Preguntas frecuentes

  • ¿El pentest y el TLPT son equivalentes?
  • No. El pentest es una verificación técnica de vulnerabilidades, mientras que el TLPT es una simulación de ataque avanzada y completa basada en inteligencia de amenazas (threat intelligence).
  • ¿El pentest es siempre obligatorio?
  • Sí, para todas las entidades en el ámbito de DORA es obligatorio un programa de pruebas periódico que incluya verificaciones de tipo prueba de penetración.
  • ¿Se puede realizar internamente?
  • Sí, pero con fuertes limitaciones. Es necesaria la aprobación de la autoridad, el uso de inteligencia de amenazas externa y, para los bancos significativos, el recurso obligatorio a testers externos.

No te dejes sorprender: desarrolla hoy tu plan anual de pruebas de penetración basado en el riesgo para alinear tus sistemas críticos con los requisitos técnicos de DORA.

In

, , ,