¿Qué pasaría si una institución bancaria de importancia global cayera debido a un incidente de ciberseguridad? Lo más probable es que todo el ecosistema financiero se vería afectado y se instalaría una crisis.

 

Prevenir un escenario como este es el objetivo de la Ley de Resiliencia Operativa Digital (DORA), que se centra en mejorar la postura de ciberseguridad y la resiliencia del sector financiero en Europa a través de una serie de medidas, una de las cuales es la implementación de Pruebas de Penetración Basadas en Amenazas (TLPT - Threat-Led Penetration Tests) periódicas.

 

Los grandes bancos, compañías de seguros, firmas de inversión, proveedores de servicios de pago y otras instituciones financieras cruciales deben ser plenamente conscientes de qué son los TLPT, cómo deben realizarse y cómo pueden aprovecharse para abordar vulnerabilidades técnicas. Veamos los detalles.

 

 

Primero lo primero: ¿qué es DORA?

La Ley de Resiliencia Operativa Digital es una regulación de la Unión Europea (UE) que busca fortalecer la seguridad IT de las entidades financieras y asegurar que el sector financiero en Europa sea capaz de mantener su resiliencia en caso de una interrupción operativa severa.

 

DORA entró en vigor el 16 de enero de 2023 y se aplica desde el 17 de enero de 2025. Cubre 20 tipos diferentes de entidades financieras y proveedores de servicios TIC externos.

 

Lee más sobre DORA y la Directiva NIS 2 en este artículo.

 

 

¿Qué es TLPT?

Las Pruebas de Penetración Basadas en Amenazas son un ejercicio Red Team a gran escala, descrito por DORA como específicamente diseñado para el sector financiero, que simula un ataque integral contra los activos, sistemas y procesos de una organización, para identificar y ayudar a corregir vulnerabilidades de seguridad. Esta prueba finalmente lleva a la mejora de la resiliencia cibernética de entidades financieras críticas, cuya interrupción podría causar un fallo sistémico global.


La información más relevante sobre TLPT se resume en la tabla siguiente:

 

 

TLPT (Pruebas de Penetración Basadas en Amenazas) según DORA

Objetivo

Obligatorio para instituciones financieras de importancia sistémica global* como:

  • Instituciones de crédito
  • Instituciones de pago
  • Instituciones de dinero electrónico
  • Depositarios centrales de valores
  • Contrapartes centrales
  • Centros de negociación
  • Empresas de seguros y reaseguros

*Instituciones que cumplen criterios específicos definidos por DORA.

Alcance

Toda la superficie de ataque: física, humana y digital. Debe cubrir varios o todos los sistemas críticos o importantes de producción en vivo de una entidad financiera

Actores
  • Equipo Cyber TLPT (autoridad/regulador que supervisa la prueba)
  • Equipo de Control (equipo interno que gestiona el proceso)
  • Blue Team (equipo interno de seguridad defensiva)
  • Proveedor de Inteligencia de Amenazas (expertos externos)
  • Red Team (testers expertos externos y/o internos)

Etapas
  1. Preparación
  2. Inteligencia de Amenazas
  3. Prueba Red Team
  4. Cierre (incluye ejercicio de reproducción)
  5. Plan de remediación

Marco

Compatible con TIBER-EU

Duración

6 – 12 meses

Resultados

Hay cuatro entregables principales:

  • Informe de Inteligencia de Amenazas: por el proveedor de inteligencia de amenazas, en fase 2.
  • Informe de prueba Red Team: por los testers/Red Team, en fase 4.
  • Ejercicio de reproducción: por el Red Team y Blue Team, en fase 4.
  • Plan de remediación: por la entidad financiera, en fase 5.

Frecuencia

Al menos cada 3 años

 

 

¿Qué haría un ciberatacante? Técnicas TLPT de Alter Solutions

La fase de inteligencia de amenazas

Nuestro Lead Pentester y Lead Red Teamer, Yann Gascuel, explica cómo se lleva a cabo un ejercicio Red Team más avanzado como TLPT, después de que el objetivo y alcance se hayan definido con el cliente en la fase de preparación. "La idea es imitar lo que haría un atacante real. Empezamos con la fase de inteligencia de amenazas, donde intentamos obtener toda la información posible, aprender qué tecnologías usa la empresa y quiénes son los usuarios con más privilegios – cualquier cosa que pueda usarse para phishing", explica.


Los recién llegados suelen ser también objetivos fáciles, porque aún no están completamente al tanto de los protocolos de seguridad. "Por eso también usamos LinkedIn como fuente de inteligencia de amenazas, para obtener información sobre empleados que podrían ser objetivos vulnerables. Además, usamos algunas herramientas específicas que buscan en registros DNS, y también buscamos evidencia de fugas de datos", añade nuestro Lead Pentester.


Después de recopilar toda esta información, nuestros expertos preparan un informe de Inteligencia de Amenazas (TTI – Targeted Threat Intelligence report), resumiendo lo que se aprendió sobre el objetivo y creando escenarios de amenaza para la prueba real. "Es cuando nos preguntamos qué intentaría hacer un atacante. Probablemente intentará equilibrar el riesgo de ser arrestado con aumentar las posibilidades de éxito en el ataque, así que intentamos pensar así y delinear diferentes escenarios de ataque potenciales."

 

La prueba Red Team

Dependiendo de lo que se encuentre durante la fase de inteligencia de amenazas y qué escenarios de ataque se planeen, las técnicas empleadas para iniciar un TLPT varían mucho. Pero nuestro Lead Red Teamer proporciona algunos ejemplos: "Como intrusión inicial podemos usar phishing o realizar una intrusión física. Cuando estamos dentro, el curso de acción también dependerá de lo que encontremos. Puede involucrar explorar vulnerabilidades técnicas, combinar eso con ingeniería social o incluso el uso de keyloggers [un tipo de tecnología de vigilancia que registra todo lo que un usuario escribe en un teclado]".


Durante todo el ejercicio, el Blue Team del cliente no sabe que se está realizando un TLPT, lo que significa que también están siendo probadas sus capacidades defensivas. Según el marco TIBER-EU, detectar al Red Team es un objetivo establecido para el Blue Team, más que un fracaso del lado ofensivo.


Otra cosa importante a tener en cuenta respecto a la fase de pruebas es que la forma en que opera el Red Team de Alter Solutions cumple con las leyes de protección de datos como GDPR. "Usamos laptops reforzadas y encriptadas, así que si alguien la roba, no podrá acceder a los datos que tenemos de nuestros clientes", verifica nuestro experto. "También usamos canales de comunicación encriptados para cada intercambio que pueda ser crítico, y después del final del ejercicio borramos todos los datos que tenemos y enviamos al cliente un documento certificando que lo hicimos", añade.


Según DORA, la fase de pruebas tiene que durar al menos 12 semanas – todo depende de la escala, alcance y complejidad del ejercicio TLPT planificado para esa organización específica.

 

El secreto para asegurar una mínima interrupción del negocio

Esa es la pregunta del millón en cualquier ejercicio Red Team: ¿cómo equilibra el equipo de pruebas la simulación realista de amenazas con una mínima interrupción operativa? Nuestro Lead Pentester revela el secreto: "Es una combinación de experiencia y comunicación. Cuando estamos realizando un ataque, tenemos experiencia para saber qué vulnerabilidades pueden ser riesgosas de explorar y si pueden causar que algo se caiga – sabemos, por ejemplo, cuando un tipo específico de servidores antiguos no soporta un ataque. Eso viene con la experiencia, así que cuando identificamos un riesgo como ese nos comunicamos con el cliente y decidimos juntos si deberíamos hacerlo o no".


De hecho, durante el ejercicio TLPT en sí, este es el único escenario donde pueden ocurrir interacciones Red Team-cliente. "Hay pocas o ninguna interacción con el cliente durante este período. Solo ocurre si detectamos riesgos que puedan causar alguna interrupción. En ese caso, contactamos al cliente para mantenerlos informados, pero de lo contrario no se establece comunicación."

 

La fase de cierre

Después de que se completa el ejercicio, dentro de cuatro semanas escribiremos y entregaremos al cliente el informe oficial de prueba Red Team. "Ahí es donde describimos los ataques que se realizaron, los éxitos, los fallos, lo que fue detectado y otros detalles. Eso es muy útil para que el cliente sepa cuáles son las debilidades de la organización y qué necesita ser abordado", enfatiza Gascuel.

 

El paso final de nuestra colaboración en el proceso TLPT es realizar un ejercicio de reproducción donde los equipos Red y Blue trabajan estrechamente para repasar las acciones ofensivas y defensivas tomadas durante el ejercicio. "Todos ganan: el Blue Team aprende qué hacer en un escenario de ataque real, y nuestros testers aprenden cómo pueden ser detectados en una situación como esa, para poder ser más difíciles de detectar en un próximo ejercicio."

 

 

¿Qué sigue y qué se gana?

El paso final del proceso TLPT es, según DORA, responsabilidad de la entidad financiera. Consiste en escribir un plan de remediación que contenga una descripción de las vulnerabilidades identificadas, medidas de remediación propuestas, un análisis de causa raíz, entre otras cosas.


Si ese plan se implementa correctamente, entonces los beneficios para esa organización específica (y para el sector financiero en su conjunto) son claros:

  • Se incrementa la ciberresiliencia
    La entidad financiera es capaz de corregir vulnerabilidades en su infraestructura, sistemas y procesos antes de que los ciberatacantes tengan la oportunidad de aprovecharlas.

  • Los datos de los clientes están mejor protegidos
    Con menos puntos débiles para que los actores maliciosos exploten, los datos de los clientes de las instituciones financieras están mejor protegidos y, consecuentemente, los niveles de confianza de los clientes aumentan.

  • Se asegura el cumplimiento de DORA
    Realizar TLPT periódicos es un paso crucial no solo para proteger el ecosistema financiero global, sino también para evitar sanciones y multas regulatorias, así como daños financieros y reputacionales que pueden venir de un ciberataque dañino.

  • Los equipos de seguridad siguen desarrollando habilidades
    Especialmente durante el ejercicio de Purple teaming, el Blue team tiene la oportunidad de repasar cada detalle del ejercicio TLPT y aprender cómo detener al Red Team o potenciales atacantes reales.

 

 

Conclusión

El TLPT de DORA es un paso adelante en la forma en que las instituciones financieras abordan la evaluación de ciberseguridad. También es lo más cerca que hemos estado de asegurar los niveles más altos de protección en los sectores bancario y financiero, especialmente en Europa.


Este ejercicio Red Team a gran escala requiere una planificación meticulosa, coordinación entre múltiples actores y colaboración con socios experimentados en ciberseguridad que puedan ayudar en cada paso del camino. Nuestros pentesters y red teamers pueden contribuir no solo con su experiencia en trabajar con múltiples instituciones financieras a lo largo de los años, sino también con la forma en que interactúan con el cliente, establecen canales claros de comunicación y gestionan riesgos.


Los beneficios de realizar TLPT están clarísimos: deben ser vistos no solo como un ejercicio de cumplimiento, sino también como una oportunidad para fortalecer la ciberresiliencia de las entidades financieras, mejorar la gestión de vulnerabilidades, las capacidades de detección y respuesta, contribuyendo en última instancia a un ecosistema financiero más seguro y estable.
Red Teamer líder en la realización de una prueba de penetración basada en amenazas para una institución financiera
Nuestro servicio TLPT
Descubre cómo funciona este ejercicio de Red Team a gran escala y cómo puede ayudar a las entidades financieras a evaluar y mejorar su resistencia en ciberseguridad.
Saber más
Compartir artículo