4 min de lectura

DORA exige a las entidades financieras sistémicamente relevantes la realización periódica de pruebas de penetración dirigidas por amenazas (TLPT, por sus siglas en inglés) sobre sistemas productivos. Nada de laboratorios de pruebas ni entornos de ensayo: ataques reales contra infraestructura real, sin que el equipo azul (Blue Team) lo sepa. Las primeras notificaciones oficiales de las autoridades supervisoras comenzarán en 2026. Los CIO del sector financiero que no estén preparados ya tienen un problema con un horizonte temporal muy corto.

En resumen

En qué se diferencia el TLPT de una prueba de penetración convencional

La mayoría de las empresas conocen las pruebas de penetración: un equipo externo examina sistemas definidos en busca de vulnerabilidades, documenta los resultados y formula recomendaciones. Estas pruebas se llevan a cabo sobre sistemas de prueba o dentro de un alcance acotado; el equipo interno de seguridad (Blue Team) está informado, y los resultados se incorporan al siguiente informe de auditoría.

El TLPT bajo DORA es algo fundamentalmente distinto. Tres dimensiones diferencian al TLPT de las pruebas de penetración convencionales. En primer lugar: la confidencialidad. El Blue Team, es decir, el equipo interno de seguridad de TI, no sabe que se está llevando a cabo una prueba. Solo un pequeño círculo dentro de la dirección está informado (el llamado White Team). En segundo lugar: los sistemas productivos. La prueba se ejecuta sobre la infraestructura real, no sobre copias ni entornos de prueba. Los riesgos son reales, los resultados son significativos y un error del equipo rojo puede tener consecuencias efectivas. En tercer lugar: la inteligencia sobre amenazas como punto de partida. Antes de que el equipo rojo inicie el ataque, un proveedor independiente de inteligencia sobre amenazas analiza la situación específica de amenazas a la que se enfrenta la entidad. El ataque simula actores reales de amenazas con tácticas reales, no un manual genérico.

El esfuerzo requerido es, por tanto, considerable: un ciclo completo de TLPT dura entre 6 y 12 meses. Solo la fase del equipo rojo tiene una duración mínima de 12 semanas calendario. Además, se deben considerar la definición del alcance (scoping), el análisis de inteligencia sobre amenazas, el Purple Teaming (análisis conjunto con el Blue Team tras finalizar la prueba) y la redacción del informe final. Para los CIO que hasta ahora solo han conocido pruebas de penetración estándar, el TLPT representa una categoría completamente distinta.

«Las pruebas de penetración dirigidas por amenazas permiten a las entidades financieras identificar vulnerabilidades de forma temprana y evaluar la resistencia de sus sistemas de TIC en condiciones realistas».
BaFin, «Simulating attacks to enhance security» (diciembre de 2024)

¿Quiénes deben realizar el TLPT?

No todas las entidades financieras están sujetas a la obligación TLPT. DORA limita este requisito a instituciones con relevancia sistémica. Concretamente, están afectadas: las instituciones globalmente sistémicamente importantes (G-SII) y las instituciones nacionalmente sistémicamente importantes (O-SII); las entidades que hayan procesado, en cada uno de los últimos dos ejercicios, más de 150 000 millones de euros en transacciones de pago; los depositarios centrales de valores (CSD) y las contrapartes centrales (CCP).

En Alemania, esto incluye a las grandes entidades: Deutsche Bank, Commerzbank, DZ Bank, los bancos regionales (Landesbanken) y las aseguradoras sistémicamente relevantes. Pero también pueden verse afectados prestadores especializados de servicios de pago que superen el umbral de transacciones. Las autoridades supervisoras (en Alemania, BaFin y el Banco Central Alemán) designan individualmente a las entidades obligadas. La primera oleada de notificaciones tendrá lugar en 2026.

Para los CIO fuera del sector financiero, el TLPT sigue siendo relevante: NIS2 contiene requisitos similares respecto a pruebas de seguridad periódicas para entidades esenciales. Se prevé que la metodología TLPT se convierta también fuera del ámbito de DORA en el estándar de oro para las pruebas de resiliencia.

TIBER-DE: el marco alemán

El TLPT bajo DORA se basa en el marco TIBER-EU (Threat Intelligence-Based Ethical Red Teaming), introducido por el Banco Central Europeo en 2018. En Alemania, el Banco Central Alemán implementa dicho marco como TIBER-DE, actualmente en su versión 4.0 (julio de 2025).

Los requisitos de TIBER-DE coinciden plenamente con las disposiciones de DORA sobre TLPT, aunque en algunos aspectos imponen requisitos previos mínimos ligeramente más estrictos. El Banco Central Alemán asume la responsabilidad operativa de apoyo a las pruebas, mientras que BaFin es la autoridad supervisora competente para las tareas de supervisión. Las entidades que ya hayan realizado una prueba TIBER-DE cuentan con una ventaja sustancial frente a aquellas que comienzan desde cero.

Es fundamental para los CIO: el proveedor de inteligencia sobre amenazas debe ser siempre externo. Uno de cada tres tests debe llevarse a cabo con un equipo rojo externo (los demás pueden ser internos, siempre que el equipo rojo interno cumpla los requisitos de DORA). El Purple Teaming es obligatorio en la fase final. Esto significa que el equipo rojo y el equipo azul analizan conjuntamente qué ha funcionado y qué no. Esta fase constituye la parte más valiosa de la prueba, porque aporta mejoras concretas.

Fuentes: DORA (UE 2022/2554), EBA Final RTS on TLPT, Banco Central Alemán TIBER-DE v4.0

Preparación: qué deben hacer los CIO ahora

1. Determinar si se está afectado. ¿Su entidad queda sujeta a la obligación TLPT? Los criterios son claros (G-SII/O-SII, volumen de transacciones superior a 150 000 millones de euros, CSD/CCP). En caso de duda, contacte proactivamente a BaFin. Quien descubra su condición de afectado únicamente al recibir la notificación oficial dispondrá de muy poco tiempo de antelación.

2. Constituir un White Team. El White Team gestiona internamente el TLPT. Suele estar compuesto por el CIO/CISO, el responsable de gestión de riesgos y un representante del Consejo de Administración. El White Team debe encargar la prueba, definir su alcance y garantizar la confidencialidad frente al Blue Team. Su composición debe quedar fijada con anterioridad, no solo cuando llegue la notificación oficial.

3. Evaluar proveedores externos. Los proveedores de inteligencia sobre amenazas y los prestadores de servicios de equipos rojos deben seleccionarse con mucha antelación. La disponibilidad de proveedores TLPT cualificados es limitada, especialmente si la primera oleada de notificaciones activa simultáneamente a muchas entidades. Los CIO deben preparar contratos marco con, al menos, dos proveedores. Los criterios de cualificación incluyen: certificación CREST, experiencia con TIBER, referencias en entidades comparables.

4. Preparar el alcance (scope). El alcance del TLPT debe cubrir funciones empresariales críticas y los sistemas de TI que las soportan. Esto requiere una documentación actualizada de los servicios críticos, de la infraestructura subyacente y de las dependencias. Las entidades que no hayan documentado recientemente su arquitectura de ciberseguridad tendrán dificultades para definir adecuadamente el alcance.

5. Evaluar la resiliencia interna. El TLPT revela debilidades que posteriormente deben corregirse. Los CIO deben cerrar, antes de la prueba, lagunas obvias: sistemas sin parches, segmentación de red insuficiente, derechos de acceso obsoletos. No para «aprobar» la prueba, sino porque dichas lagunas representan riesgos reales. Un TLPT que detecte vulnerabilidades triviales desperdicia el presupuesto en lo evidente, en lugar de centrarse en los riesgos sutiles que aportan el verdadero valor añadido.

Qué ocurre tras la prueba

El TLPT no concluye con la entrega del informe final. Los resultados deben traducirse en un plan de medidas concreto, cuya implementación será supervisada por la autoridad reguladora. BaFin espera que las vulnerabilidades identificadas se corrijan dentro de plazos definidos. El Consejo de Administración debe aprobar dicho plan de medidas y supervisar su ejecución.

Por tanto, para los CIO el TLPT no supone simplemente un esfuerzo puntual, sino un ciclo continuo de mejora. La responsabilidad personal de la dirección ejecutiva bajo DORA convierte este ciclo en un asunto de máxima prioridad estratégica. Los CIO que traten el TLPT como una mera obligación regulatoria incómoda desaprovechan su valor real: una prueba de estrés realista de su propia capacidad defensiva, algo que ningún ejercicio interno puede ofrecer.

Preguntas frecuentes

Fuente de imagen: Sora Shimazaki / Pexels