Pruebas de Penetración Basadas en Amenazas

Un ejercicio de Red Team para instituciones financieras

Las Pruebas de Penetración Basadas en Amenazas (TLPT) son un tipo súper avanzado de ejercicio Red Team que Alter Solutions ofrece para ayudar a las entidades financieras a evaluar y mejorar su resiliencia en ciberseguridad y cumplir con la regulación DORA de la UE.

 

Habla con un experto

Pentesters y Red Teamers en medio de una Prueba de Penetración guiada por amenazas para una institución financiera

Alter Solutions es un Proveedor de Auditoría de Seguridad de Sistemas de Información certificado por la Agencia Nacional de Ciberseguridad de Francia (ANSSI), una de las autoridades de ciberseguridad más respetadas de Europa.


Esto avala la competencia y fiabilidad de nuestros auditores para realizar auditorías de seguridad en todos los ámbitos:

  • Auditoría organizativa y física

  • Auditoría de arquitectura

  • Auditoría de configuración

  • Auditoría de código

  • Pruebas de penetración / Pentesting

La certificación PASSI es una visa de seguridad emitida por la ANSSI (Agencia Nacional de Ciberseguridad de Francia)

¿Qué es TLPT?

Auditor de seguridad analizando el sistema y los procesos de una empresa

Diseñado específicamente para el sector financiero, el TLPT (Threat-Led Penetration Testing) es un ejercicio Red Team a gran escala que simula un ataque real contra activos, sistemas y procesos, basándose en el panorama actual de amenazas, para evaluar la postura de ciberseguridad y la resiliencia de organizaciones clave en nuestro sistema financiero.


Es más probable que estas entidades sean el objetivo de ciberatacantes que buscan causar fallos sistémicos, por eso necesitan un tipo de auditoría de seguridad más avanzada que las empresas de otros sectores.


El TLPT es obligatorio al menos cada 3 años según la Ley de Resiliencia Operativa Digital (DORA), que afecta a muchas entidades financieras, especialmente instituciones de crédito y de pago. Estas pruebas son compatibles con el marco TIBER-EU, creado por el Banco Central Europeo para proporcionar guías sobre Red Teaming ético basado en inteligencia de amenazas.

“Las Pruebas de Penetración Basadas en Amenazas (TLPT) se refieren a un marco que imita las tácticas, técnicas y procedimientos de actores de amenazas reales que representan una amenaza cibernética genuina, y que ofrece una prueba controlada y personalizada, basada en inteligencia (red team) de los sistemas críticos de producción en vivo de la entidad financiera.”
– Definición de DORA (Artículo 3(17))

Los principales actores del TLPT

Equipo Cyber TLPT

El equipo interno dentro de la autoridad/regulador TLPT que supervisa la prueba y asegura que sigue las reglas TLPT.

Equipo de Control

El equipo interno de la entidad financiera que gestiona el proceso TLPT desde dentro.

Blue Team

El equipo interno de defensa responsable de proteger a la entidad financiera contra amenazas cibernéticas. No debe saber que se está realizando un TLPT.

Proveedor de Inteligencia de Amenazas

Expertos externos responsables de recopilar y analizar datos y escenarios de amenazas, basándose en fuentes confiables.

Red Team

Los testers – externos y/o internos de la entidad financiera – que realmente realizan el TLPT.

Las 5 etapas del TLPT

La regulación DORA define cinco pasos principales en el proceso de pruebas que deben completarse:

#1

Preparación

El cliente debe completar una serie de tareas antes de contactar a un proveedor de servicios TLPT, como definir canales de comunicación dentro del equipo de control, seleccionar un proveedor de inteligencia de amenazas, preparar un documento de especificación del alcance, entre otras cosas. Luego, si la empresa decide confiar en testers externos, juntos definen objetivos y analizan medidas de gestión de riesgos antes de pasar a las siguientes etapas.

#2

Inteligencia de Amenazas

El equipo de Alter Solutions intenta recopilar toda la información posible sobre la empresa, el objetivo/alcance seleccionado, e identifica amenazas y vulnerabilidades cibernéticas que podrían afectar a la entidad financiera. Luego, proponen diferentes escenarios de ataque al cliente – al menos tres deben ser seleccionados para seguir adelante. Esta fase puede durar entre uno y dos meses.

#3

Prueba Red Team

Esta es la fase real de ataque, donde se lleva a cabo el TLPT durante al menos 12 semanas, dependiendo de la escala, alcance y complejidad de la organización.

Los escenarios de ataque previamente aprobados pueden ejecutarse en secuencia o al mismo tiempo.

#4

Cierre

En las 4 semanas siguientes al final de la fase de prueba red team, el proveedor debe enviar un informe detallado del ejercicio al cliente. Luego, debe realizarse un ejercicio de reproducción dentro de 10 semanas, donde tanto los testers como el Blue Team del cliente repasan las acciones ofensivas y defensivas del TLPT, con fines de aprendizaje. Por último, todas las partes involucradas deben proporcionarse feedback entre sí sobre el proceso TLPT, y la entidad financiera debe presentar un informe oficial que resuma los hallazgos del TLPT.

#5

Plan de remediación

Dentro de las 8 semanas posteriores a la notificación oficial de cierre, la entidad financiera deberá proporcionar un plan de remediación a la autoridad TLPT, que contenga una descripción de las vulnerabilidades identificadas, medidas de remediación propuestas, un análisis de causa raíz, quién es responsable de cada medida dentro de la organización y los riesgos de no implementar ese plan.

Experto en Inteligencia de Amenazas trabajando en el Informe de Inteligencia de Amenazas

Consulta aquí la regulación DORA para leer los detalles de cada una de las etapas del TLPT

¿Quién debe realizar TLPT?

Si bien DORA se dirige a todo el sector financiero, los TLPT son obligatorios solo para entidades financieras con:
Servicios/actividades que impactan en el sector financiero
Preocupaciones de estabilidad financiera, a nivel nacional o europeo
Un perfil de riesgo específico, relacionado con su nivel de madurez y características tecnológicas involucradas
Esto incluye todas las instituciones financieras de importancia sistémica global*, a saber:
  • Instituciones de crédito
  • Instituciones de pago
  • Instituciones de dinero electrónico
  • Depositarios centrales de valores
  • Contrapartes centrales
  • Centros de negociación
  • Empresas de seguros y reaseguros

 

*Instituciones que cumplen criterios específicos identificados en la regulación DORA.

Miembro del equipo de seguridad de una institución financiera monitoreando el tráfico de red

Las reglas del TLPT

Pentester preparando la intrusión inicial de una Prueba de Penetración basada en amenazas
Un TLPT debe cumplir varios requisitos definidos por DORA, como:
  • Realizarse al menos cada 3 años.
  • Cubrir varias o todas las funciones críticas o importantes de una entidad financiera.
  • Realizarse en sistemas de producción en vivo.
  • Cubrir toda la superficie de ataque: superficie física (intrusiones en las instalaciones), superficie humana (amenazas dirigidas a personas, como ingeniería social) y superficie digital (todo activo digital que pueda ser impactado por un ciberataque).
  • Aplicar medidas efectivas de gestión de riesgos para mitigar el impacto potencial en datos, activos, servicios u operaciones

La importancia del TLPT

_-2-1 _-2
Maximizar la ciberresiliencia

Las organizaciones obtienen una evaluación realista de su capacidad para responder a amenazas cibernéticas, lo que les permite abordar vulnerabilidades específicas y ajustar sus estrategias de seguridad en línea con los métodos reales utilizados por los atacantes.

Group 615-1 Group 615
Mejorar la protección de datos y la confianza del cliente

Al cubrir todos los puntos débiles en sus estrategias de seguridad, las instituciones financieras pueden proteger mejor los datos de los clientes y, por lo tanto, reforzar la confianza.

Group 640-1 Group 640-2
Asegurar el cumplimiento de DORA

La regulación DORA requiere que las entidades financieras críticas realicen TLPT, por lo que una organización que lo logre destaca por su compromiso y participación activa en la lucha contra el cibercrimen y la protección de la infraestructura financiera global.

Group 646-3 Group 646-1
Evitar daños financieros y reputacionales

El incumplimiento de los requisitos de DORA puede llevar a multas y sanciones regulatorias significativas, sin mencionar todos los daños financieros y reputacionales que pueden surgir de una violación de datos o ciberataque.

Group 642-1 Group 642-2
Promover el aprendizaje de los equipos de seguridad

Los equipos internos de seguridad (Blue teams) pueden aprender mucho de un ejercicio de Red Teaming como TLPT y mejorar sus capacidades de gestión de vulnerabilidades y respuesta a incidentes para futuras ocasiones.

Group 612 Group 612-1
Asegurar el ecosistema financiero global

Si todas las instituciones financieras de importancia sistémica global mejoran su postura de seguridad, entonces el sector financiero en general está tan protegido como puede estar.

Estamos certificados

Otros servicios de Auditoría de Ciberseguridad y Pentesting

¿Por qué Alter Solutions?

Group 639-1 Group 639
18 años de experiencia

Alter Solutions fue fundada en París en 2006 y desde entonces se ha enfocado en transformación digital. Operamos en 8 países entre Europa, América y África, y hemos sido socios de seguridad para empresas en sectores de manufactura, servicios, finanzas, seguros, transporte y tecnología durante más de 10 años.

Group 640-May-02-2024-02-48-12-6081-PM Group 640-4
Flexibilidad y enfoque centrado en el cliente

Proporcionamos un nivel de servicio adaptado a las necesidades del cliente, llegando hasta una protección 24/7. Tenemos un sólido historial en diferentes sectores y tecnologías, y nuestro enfoque de servicios IT es tecnológicamente agnóstico – lo que cuenta es lo que es correcto para cada cliente.

Group 616-1 Group 616
Privacidad como valor central

Tanto tus datos como los de tus clientes están seguros con nosotros. Nuestros expertos operan dentro de la Unión Europea (UE), lo que significa que cumplimos completamente con el Reglamento General de Protección de Datos (GDPR).

Group 638 Group 638-1
Certificaciones clave

Tenemos certificaciones de seguridad relevantes como PASSI, ISO 27001 y CSIRT. Nuestros expertos también están certificados con OSCP, OSCE, GXPN y CRTM.

Nuestros Artículos

Nuestros Casos Prácticos

FAQ

Tenemos más de 10 años de experiencia realizando diferentes tipos de pentesting y ejercicios de red teaming para los sectores bancario, financiero y de seguros. Tenemos un profundo conocimiento del marco TIBER-EU, y lo complementamos con un gran conocimiento en enfoques de ciberseguridad defensiva.

Nuestra amplia experiencia también nos permite minimizar la interrupción de operaciones al realizar un ejercicio TLPT, porque conocemos los riesgos que vienen con la exploración de vulnerabilidades específicas y mantenemos una línea abierta de comunicación con el cliente para decidir qué hacer en tales circunstancias.

Sí. Para proteger los datos del cliente, Alter Solutions garantiza las siguientes medidas:

  1. Uso de laptops reforzadas, para que en caso de robo o intrusión los datos que tenemos de nuestros clientes no sean accesibles.
  2. Uso de canales de comunicación encriptados para cada intercambio que pueda ser crítico. Por ejemplo: información recopilada durante la fase de inteligencia de amenazas; informe final con las vulnerabilidades detectadas; datos personales de usuarios.
  3. Eliminación de todos los datos del cliente después de que se complete el ejercicio TLPT. Enviamos al cliente un documento que certifica que eliminamos toda la información recopilada durante el proceso de prueba.

Varían mucho de ejercicio a ejercicio, dependiendo de lo que se encuentre durante la fase de inteligencia de amenazas. Algunas estrategias comunes que podrían usarse para iniciar una Prueba de Penetración Basada en Amenazas son la ingeniería social (por ejemplo, ataques de phishing), intrusiones físicas o la explotación de vulnerabilidades técnicas.

No en la forma en que se realiza, sino meramente en el tiempo dedicado a la fase de inteligencia de amenazas. Recuerda que TLPT está diseñado específicamente para instituciones financieras críticas, por lo que nunca tendrá que ajustarse a empresas pequeñas o medianas. Si entidades como esas están buscando una auditoría de seguridad integral, entonces los enfoques convencionales de Red Teaming o Pentesting son más adecuados.

Principalmente los pasos iniciales de la fase de preparación, donde el cliente tiene que seleccionar el proveedor de inteligencia de amenazas y los testers (internos, externos o ambos), definir canales y procesos de comunicación, y preparar el documento de especificación del alcance.

Al final, el plan de remediación también es responsabilidad de la institución financiera – el proveedor TLPT simplemente proporciona el informe de prueba con recomendaciones para corregir vulnerabilidades técnicas, pero luego el cliente decide cómo ponerlo en términos prácticos.

Sí, pero los miembros asignados a cada equipo deben ser diferentes y actuar de forma independiente. Si la institución financiera usa testers internos, entonces el proveedor de inteligencia de amenazas debe ser externo.

Solicita una reunión

Llena nuestro formulario de contacto y nuestro equipo dedicado de ciberseguridad se pondrá en contacto contigo dentro de las 24 horas.
Gestor de cuentas de ciberseguridad trabajando en una propuesta de proyecto en el ordenador