Bancos y aseguradoras tienen tres meses para someter a pruebas externas sus estructuras de ciberseguridad

Bancos, aseguradoras, fondos de inversión, sociedades de gestión y el resto de entidades del sector financiero van a tener que someterse  a partir del 17 de enero del 2025 a pruebas de penetración basadas en amenazas. Así lo establece el reglamento DORA, una normativa que busca garantizar la capacidad de resistir a los ciberataques de las compañías de este sector crítico para la sociedad y la economía europeas. La empresa gallega Tarlogic Security ha organizado una jornada de alto nivel para abordar las claves del nuevo marco normativo y explicar a las compañías en qué consisten estos test de ciberseguridad avanzados que tendrán que realizar todas las entidades salvo las microempresas y las pequeñas organizaciones.

En el evento han participado como ponentes el Banco de España, y el Instituto Nacional de Ciberseguridad (INCIBE). Asimismo, han asistido tanto los reguladores del sector bancario y asegurador como una veintena de entidades del sector financiero español y multinacionales de ámbitos tan relevantes como las infraestructuras, el retail o el turismo. A lo largo de la jornada, los equipos de Threat Intelligence y Red Team de la compañía de ciberseguridad compartieron con los asistentes las lecciones aprendidas durante la realización de pruebas de penetración basadas en amenazas en los últimos años.

Además, los profesionales de Tarlogic pusieron en valor los beneficios de unos test que permiten detectar vulnerabilidades antes de que sean explotadas y mejorar los mecanismos de prevención, detección y respuesta a los ciberataques. De tal forma que las compañías que se someten a ellos están mejor preparadas para hacer frente a los incidentes de seguridad y evitar que se produzcan graves consecuencias operativas, económicas, legales y reputacionales que repercutan tanto en ellas como en sus clientes.

De los test de estrés a la banca a las pruebas TLPT

Tras la crisis financiera de 2008 originada por las hipotecas subprime, la Unión Europea obligó a las entidades bancarias a someterse a test de estrés que permitiesen medir su solvencia y evaluar cómo responderían ante un escenario económico adverso. Pues bien, las pruebas TLPT (Threat-Led Penetration Testing) tienen unos objetivos similares a los test de estrés a la banca, pero están orientadas a combatir una de las mayores amenazas a las que se enfrenta el sector financiero en la actualidad: los ciberataques.

¿En qué consisten estos test? Profesionales especializados en inteligencia de amenazas dirigida deben recopilar toda la información que necesitan los actores hostiles para atacar a una entidad financiera y desentrañar su modus operandi. De esta manera, se puede obtener una panorámica de las amenazas a las que se enfrenta una compañía.

A partir de esta labor de investigación, se diseñan escenarios específicos de ataques y un equipo de Red Team lleva a cabo ejercicios comportándose como lo haría un atacante real. Así, pueden poner a prueba los mecanismos defensivos de la empresa y prever las consecuencias que podría generar un ciberataque.

Finalmente, se elabora un plan de actuación para aplicar las recomendaciones de los profesionales de ciberseguridad e incrementar el nivel de resiliencia de la compañía. Para que estas pruebas TLPT sean validadas por el Banco de España, las empresas deberán realizarlas de acuerdo a la metodología TIBER, diseñada por el Banco Central Europeo (BCE). Asimismo, tendrán que contratar a compañías de ciberseguridad con experiencia y prestigio en la realización de esta clase de estas pruebas avanzadas (sector en el que la gallega Tarlogic es puntera) y abarcar las funciones críticas de la entidad financiera. También es preciso que involucren desde el inicio al regulador durante la realización de las pruebas y remitirle toda la información una vez finalizadas.

Las compañías deberán someterse a estas pruebas una vez cada tres años, aunque el Banco de España puede imponer que la frecuencia sea mayor. Si no se realizan estas pruebas, tanto las entidades como sus cargos directivos se exponen a cuantiosas sanciones económicas y daños reputacionales severos.

El 17 de enero de 2025 marcará un nuevo hito en la creación de un marco normativo europeo que busca incrementar el nivel de ciberseguridad de las empresas, proteger a los sectores críticos de la UE y salvaguardar los intereses de los ciudadanos. Así, en los últimos años, la Unión Europea ha lanzado el marco TIBER y aprobado normas como el Reglamento General de Protección de Datos (RGPD), el reglamento DORA o la directiva NIS2, que afecta a otros sectores críticos como la salud, la energía o el transporte. La aprobación de estas normas tiene un doble objetivo: por un lado, incrementar la capacidad de las compañías europeas de protegerse frente a unos ciberataques que aumentan en número, sofisticación y capacidad de hacer daño de una manera vertiginosa. Y por otro, salvaguardar al tejido productivo y a la ciudadanía frente a las consecuencias de los ciberataques.

Sin embargo, no solo las compañías del sector financiero pueden beneficiarse de la realización de pruebas de penetración basadas en amenazas. Aunque otros sectores económicos no están obligados aún a someterse a estos test, resulta previsible que se acabe imponiendo su realización.