La regulación DORA (Digital Operational Resilience Act), adoptada por la Unión Europea, establece un marco normativo para fortalecer la resiliencia operativa digital de las entidades financieras, entendiendo por entidades financieras no solo a los bancos, sino también a las aseguradoras, fondos de inversión, compañías de criptoactivos y un sinfín de proveedores de servicios financieros de distinta índole. Este reglamento busca garantizar que las instituciones del sector financiero puedan resistir, responder y recuperarse de cualquier tipo de ciberincidente y otras disrupciones tecnológicas. En un entorno donde la dependencia de la tecnología es crucial, DORA se convierte en un pilar fundamental para proteger la estabilidad del sistema financiero europeo y la confianza de los clientes.
Uno de los elementos clave de DORA es la exigencia de realizar Pruebas Avanzadas de Penetración Dirigidas por Amenazas, conocidas como TLPT (Threat Led Penetration Testing). Estos ejercicios permiten a las entidades financieras evaluar su capacidad para detectar, responder y mitigar ciberataques avanzados simulados bajo condiciones realistas. La naturaleza dirigida por amenazas de estos ejercicios asegura que las pruebas sean relevantes y específicas a los riesgos a los que está expuesta cada organización.
La implementación de los ejercicios TLPT no solo evalúa la preparación técnica, sino también la coordinación interna y la capacidad de respuesta ante crisis. Estos ejercicios son llevados a cabo por equipos de Red Team, que simulan ataques avanzados para identificar vulnerabilidades en los sistemas, procesos y personal de la organización. El objetivo es fortalecer la seguridad global de la entidad, mejorando tanto los controles tecnológicos como las estrategias de mitigación y recuperación. Y, como el propio BCE ya contaba con una metodología denominada Tiber-EU, traspuesta en muchos países como es el caso de España (Tiber-ES), que ya iba dirigida al entrenamiento de las entidades con ciberejercicios basados en banderas que emulaban TTPs, han decidido que sea este y no otro el framework de referencia en el que basarse.
En última instancia, la regulación DORA, junto con los ejercicios TLPT, representa un paso esencial hacia la protección integral del ecosistema financiero europeo. Al exigir pruebas rigurosas y prácticas sólidas de resiliencia, se fomenta una cultura de ciberseguridad proactiva y robusta que protege no solo a las instituciones, sino también a los clientes y a la economía en general frente a amenazas emergentes.
Ejercicios de Red Team bajo TIBER-EU
Desde que el 27 de diciembre de 2022 se publicase el Reglamento (UE) 2022/2554: Resiliencia Operativa Digital (DORA, Digital Operational Resilience Act), el framework Tiber-EU ha comenzado a verse como un compañero de viaje indispensable para las entidades financieras, quienes hasta ese momento la veían como una metodología voluntaria que, a modo de best practices, les facilitaba una vía repetible para poder medir si estaban haciendo bien los deberes. Si bien su origen es bastante anterior a DORA y se remonta a la propuesta británica de CBEST, y que luego empujó Países Bajos con su Tiber-NL, no ha sido hasta estos últimos años cuando se ha instaurado como un marco clave y de referencia, totalmente compatible con DORA y que probablemente verá en su próxima actualización un enfoque más alineado si cabe.
Y es que no cabe duda de que este 2024 ha sido fundamental para DORA, pues ha sido el año en el que ha sido publicado el mayor paquete RTS y era el último año antes del pistoletazo de salida del próximo 17 de enero de 2025, fecha que marca el fin del período de transición desde su entrada en vigor. Por ello, muchas entidades financieras ya han empezado a ponerse al día con la regulación, y han comenzado a entrenarse mediante ejercicios de TLPT realizados por compañías expertas en Ciberseguridad y Red Teaming. En este sentido Zerolynx ha sido una de las opciones preferentes, ya que ha sido la empresa que han elegido más de 10 entidades financieras para realizar sus ejercicios TLPT de este 2024, con el fin de anticiparse a lo que está por venir en este ya cercano 2025.
TLPT (Threat Led Penetration Testing)
A diferencia de las pruebas de penetración tradicionales, los TLPT se centran en emular ataques reales basados en las tácticas, técnicas y procedimientos (TTPs) de actores maliciosos específicos que representan una amenaza plausible. Este enfoque permite evaluar de manera más realista la capacidad de la organización para detectar, responder y mitigar ataques dirigidos, asegurando una protección efectiva contra amenazas avanzadas.
El principal objetivo del TLPT es medir la resiliencia de la organización frente a amenazas concretas. Esto incluye evaluar la eficacia de los sistemas de defensa para detectar y responder a ataques, identificar vulnerabilidades críticas en infraestructuras, aplicaciones y procesos, y validar la efectividad de los controles de seguridad existentes. Además, los TLPT ayudan a mejorar la preparación frente a ataques dirigidos, permitiendo a las organizaciones ajustar sus estrategias defensivas basándose en escenarios realistas que reflejan el panorama actual de amenazas.
Nota: recientemente el "White Team" ha pasado a denominarse "Control Team", en respuesta a la petición de uno de los países miembro. Por lo que es posible que veamos ambas terminologías durante algún tiempo mientras los documentos van siendo actualizados.
La metodología TLPT sigue un proceso estructurado que comienza con el reconocimiento y modelado de amenazas. En esta fase, que realiza el equipo de Threat Intel, se identifican actores maliciosos específicos que podrían atacar a la organización, como grupos de APTs, hacktivistas o cibercriminales de distinta índole. Con esta información, se diseña un plan de ataque que emula las tácticas y técnicas utilizadas por estos adversarios. Posteriormente, se lleva a cabo la ejecución del ataque, donde los especialistas en ciberseguridad del Red Team simulan intrusiones y evalúan la reacción de los sistemas y equipos de la organización. Finalizado el ataque, se realiza un análisis exhaustivo para identificar las vulnerabilidades explotadas, seguido de la entrega de un informe detallado con recomendaciones y medidas correctivas.
Los TLPT ofrecen múltiples beneficios para las organizaciones. Proporcionan una evaluación realista de la capacidad defensiva frente a amenazas específicas, adaptándose a riesgos concretos y mejorando la preparación frente a ataques avanzados. Asimismo, ayudan a cumplir con requisitos normativos que no solo aplican a la normativa DORA, por ejemplo, son una herramienta muy útil en el cumplimiento de la tambien reciente directiva NIS2. Además, fomentan una mejora continua, proporcionando una base sólida para fortalecer las defensas ante un entorno de amenazas en constante evolución.
En conclusión, los TLPT son una herramienta esencial para organizaciones que buscan proteger sus activos más críticos frente a amenazas avanzadas. Al enfocarse en escenarios reales, no solo mejoran la capacidad defensiva, sino que también promueven una cultura proactiva de seguridad y resiliencia, garantizando una respuesta eficaz ante cualquier eventualidad.
¿Por qué Zerolynx es una gran opción para realizar tus TLPTs?
Más allá de nuestra dilatada experiencia en la realización de ciberejercicios de Red Team, tanto bajo metodología Tiber-EU/ES, como sin seguir el citado framework, somos una de las pocas entidades que ha realizado TLPTs siguiendo las directrices oficiales. Es importante reseñar la necesidad de independencia de la entidad atacante (que no puede en ningún caso trabajar con la entidad en temas de ciberdefensa u operación), y la trasparencia y pulcritud de los procesos a seguir.
Zerolynx ha sido nombrada como la Mejor Empresa de Seguridad TIC 2024 por la Revista Red Seguridad, y tiene uno de los mejores equipos de hacking de nuestro país, con un equipo de pentesters certificado bajo los itinerarios más exigentes. Asimismo, sigue los procedimientos más exhaustivos en materia de ciberseguridad, cumpliendo con el ENS en su nivel Alto, NIS2, ISO 27001 y otras normas y regulaciones relacionadas con la calidad y la seguridad.
Zerolynx cuenta además con su propia infraestructura de Red Team, lo que garantiza la calidad y eficiencia del ejercicio TLPT.
La infraestructura consta de distintos redirectores y distintos firewalls que ocultan el origen real del servidor de Comando y Control, disponiendo de un entorno de pruebas con un equipo específico de desarrollo compaginado con operadores de Red Team sobre el que realizar artefactos y ataques, y de otro entorno de producción sobre el que ejecutar los ejercicios en curso.
Si quieres obtener más información sobre DORA, Tiber-EU/ES o los ciberejercicios TLPT, te dejamos algunas opciones:
- Durante 2024 hemos impartido diversas conferencias y talleres gratuitos. Uno de los más interesantes es el que impartimos Alejandro Auñón y un servidor, Juan Antonio Calles, en el congreso Osintomático 2024, en el que hablamos de los TLPT con bastante nivel de detalle.
- Otra sesión gratuita interesante es el Seminario sobre las regulaciones DORA y NIS2, que tenéis disponible en nuestro canal de YouTube: https://www.youtube.com/watch?v=t7ynsu2Xwkk. Este seminario lo hemos repetido en diversas versiones, por lo que es posible que nos hayáis visto en algún congreso recientemente.
- Otros artículos sobre DORA publicados en Flu Project, o en el blog de Zerolynx, pueden ser otras opciones interesantes para adquirir información actualizada.
- Este año tambien estamos realizando una campaña de formaciones sobre DORA, impartida por una de las personas referentes en la elaboración de esta regulación. Estas formaciones las realizamos bajo demanda, por lo que si tuvieses interés en que fuésemos a tu entidad a impartirlas, por favor, contacta con nuestro equipo comercial. Tenemos diferentes formatos, con sesiones más exprés de 1 hora dirigidas a la alta directiva, o sesiones más técnicas de 2h, 4h y 8h dirigidas a los equipos responsables de la implantación de DORA. Contacta con nosotros para obtener más información.
- Y, por supuesto, habla con nuestro equipo comercial y consúltanos como abordar este tipo de ciberejercicios TLPT en tu entidad, estaremos encantados de visitaros y contaros con detalle como trabajamos
¡Saludos!
