Zerolynx: referencia en Tests TLPT - Red Team para el sector financiero
Juan Antonio CallesCompartir
La regulación DORA (Digital Operational Resilience Act), adoptada por la Unión Europea, establece un marco normativo para fortalecer la resiliencia operativa digital de las entidades financieras, entendiendo por entidades financieras no solo a los bancos, sino también a las aseguradoras, fondos de inversión, compañías de criptoactivos y un sinfín de proveedores de servicios financieros de distinta índole. Este reglamento busca garantizar que las instituciones del sector financiero puedan resistir, responder y recuperarse de cualquier tipo de ciberincidente y otras disrupciones tecnológicas. En un entorno donde la dependencia de la tecnología es crucial, DORA se convierte en un pilar fundamental para proteger la estabilidad del sistema financiero europeo y la confianza de los clientes.
Uno de los elementos clave de DORA es la exigencia de realizar Pruebas Avanzadas de Penetración Dirigidas por Amenazas, conocidas como TLPT (Threat Led Penetration Testing). Estos ejercicios permiten a las entidades financieras evaluar su capacidad para detectar, responder y mitigar ciberataques avanzados simulados bajo condiciones realistas. La naturaleza dirigida por amenazas de estos ejercicios asegura que las pruebas sean relevantes y específicas a los riesgos a los que está expuesta cada organización.
La implementación de los ejercicios TLPT no solo evalúa la preparación técnica, sino también la coordinación interna y la capacidad de respuesta ante crisis. Estos ejercicios son llevados a cabo por equipos de Red Team, que simulan ataques avanzados para identificar vulnerabilidades en los sistemas, procesos y personal de la organización. El objetivo es fortalecer la seguridad global de la entidad, mejorando tanto los controles tecnológicos como las estrategias de mitigación y recuperación. Y, como el propio BCE ya contaba con una metodología denominada Tiber-EU, traspuesta en muchos países como es el caso de España (Tiber-ES), que ya iba dirigida al entrenamiento de las entidades con ciberejercicios basados en banderas que emulaban TTPs, han decidido que sea este y no otro el framework de referencia en el que basarse.
En última instancia, la regulación DORA, junto con los ejercicios TLPT, representa un paso esencial hacia la protección integral del ecosistema financiero europeo. Al exigir pruebas rigurosas y prácticas sólidas de resiliencia, se fomenta una cultura de ciberseguridad proactiva y robusta que protege no solo a las instituciones, sino también a los clientes y a la economía en general frente a amenazas emergentes.
Ejercicios de Red Team bajo TIBER-EU
Desde que el 27 de diciembre de 2022 se publicase el Reglamento (UE) 2022/2554: Resiliencia Operativa Digital (DORA, Digital Operational Resilience Act), el framework Tiber-EU ha comenzado a verse como un compañero de viaje indispensable para las entidades financieras, quienes hasta ese momento la veían como una metodología voluntaria que, a modo de best practices, les facilitaba una vía repetible para poder medir si estaban haciendo bien los deberes. Si bien su origen es bastante anterior a DORA y se remonta a la propuesta británica de CBEST, y que luego empujó Países Bajos con su Tiber-NL, no ha sido hasta estos últimos años cuando se ha instaurado como un marco clave y de referencia, totalmente compatible con DORA y que probablemente verá en su próxima actualización un enfoque más alineado si cabe.
Y es que no cabe duda de que este 2024 ha sido fundamental para DORA, pues ha sido el año en el que ha sido publicado el mayor paquete RTS y era el último año antes del pistoletazo de salida del próximo 17 de enero de 2025, fecha que marca el fin del período de transición desde su entrada en vigor. Por ello, muchas entidades financieras ya han empezado a ponerse al día con la regulación, y han comenzado a entrenarse mediante ejercicios de TLPT realizados por compañías expertas en Ciberseguridad y Red Teaming. En este sentido Zerolynx ha sido una de las opciones preferentes, ya que ha sido la empresa que han elegido más de 10 entidades financieras para realizar sus ejercicios TLPT de este 2024, con el fin de anticiparse a lo que está por venir en este ya cercano 2025.
TLPT (Threat Led Penetration Testing)
A diferencia de las pruebas de penetración tradicionales, los TLPT se centran en emular ataques reales basados en las tácticas, técnicas y procedimientos (TTPs) de actores maliciosos específicos que representan una amenaza plausible. Este enfoque permite evaluar de manera más realista la capacidad de la organización para detectar, responder y mitigar ataques dirigidos, asegurando una protección efectiva contra amenazas avanzadas.
El principal objetivo del TLPT es medir la resiliencia de la organización frente a amenazas concretas. Esto incluye evaluar la eficacia de los sistemas de defensa para detectar y responder a ataques, identificar vulnerabilidades críticas en infraestructuras, aplicaciones y procesos, y validar la efectividad de los controles de seguridad existentes. Además, los TLPT ayudan a mejorar la preparación frente a ataques dirigidos, permitiendo a las organizaciones ajustar sus estrategias defensivas basándose en escenarios realistas que reflejan el panorama actual de amenazas.
