Pruebas TLPT: Qué son y qué empresas deben realizarlas

Las TLPT son pruebas de penetración basadas en amenazas a las que deberán someterse numerosas entidades del sector financiero a partir de enero de 2025

Desde que el ser humano lo inventó, el dinero siempre ha atraído a los delincuentes. A lo largo de la historia, los criminales han ido diseñando estrategias y técnicas para conseguir dinero de manera ilícita. Por eso, no debe sorprendernos que las entidades financieras y sus clientes sean un target central para los atacantes y una de las grandes amenazas que se ciernen sobre el conjunto de la sociedad.

Este mismo año, el Fondo Monetario Internacional (FMI), alertó de que los ciberataques contra el sector financiero ponen en jaque la estabilidad financiera mundial y que los incidentes de seguridad podrían afectar a la operatividad de las organizaciones del sector, generar cuantiosas pérdidas y tener repercusiones macroeconómicas.

Para hacer frente a este amenazante panorama, la Unión Europea aprobó a finales de 2022 el DORA, un reglamento que busca mejorar la resiliencia de las entidades financieras europeas y que establece la obligación de que las organizaciones se sometan a una prueba TLPT. Es decir, a una prueba de penetración basada en amenazas (Threat-Led Penetration Testing), que permita evaluar si son capaces de resistir ante amenazas persistentes avanzadas (APT).

El reglamento DORA entrará en vigor el 17 de enero de 2025, de tal forma que las compañías financieras tienen cuatro meses para adaptarse a este marco normativo y estarán obligadas a contratar la realización de un TLPT para fortalecer sus capacidades defensivas frente a los ataques.

A continuación, vamos a desgranar las claves de las pruebas TLPT para ayudar a bancos, aseguradoras, fondos de inversión y demás entidades financieras a entender en qué consisten y cómo deben llevarse a cabo para cumplir con la normativa y evitar multas millonarias.

1. TIBER-EU: El origen de las pruebas TLPT

El miedo a que incidentes graves menoscaben la continuidad de negocio de las entidades financieras viene de lejos. Al fin y al cabo, estamos hablando de un sector crítico para el funcionamiento del sistema económico.

Por eso, antes de la aprobación del reglamento DORA, el Banco Central Europeo (BCE) lanzó TIBER-EU, un framework para realizar ejercicios de Red Team ético basado en inteligencia de amenazas (Theat Intelligence-Based Ethical Red-Teaming).

En esencia, el marco TIBER sienta las bases para que las compañías, las autoridades públicas y los equipos de Threat Intelligence y Red Team puedan llevar a cabo pruebas TLPT.

¿En qué consisten estas pruebas? Los profesionales de Threat Intelligence provén la información necesaria para conocer las tácticas, técnicas y procedimientos de los actores hostiles que pudieran afectar a las entidades financieras objetivo. Y los equipos de Red Team realizan ataques, simulando ser los actores maliciosos anteriormente identificados, contra los activos críticos de las entidades financieras empleando las TTPs de dichos delincuentes. Así, las pruebas TLPT permiten detectar fortalezas y debilidades en las organizaciones y ayudarlas a mejorar su ciberresiliencia.

Mediante la puesta en marcha de este marco de pruebas, el BCE y los demás bancos centrales que lo adoptaron, como el Banco de España, facilitan que las compañías del sector financiero se sometieran a pruebas TLPT para protegerse frente a las amenazas persistentes avanzadas.

Así, junto a la guía desarrollada por el BCE, el Banco de España también hizo pública su propia guía (TIBER-ES) para sistematizar y homogeneizar la realización de pruebas TLPT.

Desde el inicio del programa TIBER-EU, cientos de entidades se han sometido voluntariamente a pruebas TLPT. Sin embargo, el reglamento DORA va un paso más allá e impone la realización de pruebas TLPT a gran parte de las compañías que opera en el sector financiero.

2. Reglamento DORA: Un marco normativo para garantizar que las entidades financieras pueden resistir a los ataques

Al igual que ocurre con las pruebas TLPT o con el marco TIBER, el concepto DORA sintetiza el nombre en inglés de esta normativa europea: Digital Operational Resilience Act. Este título explica a la perfección el objetivo fundamental del reglamento: garantizar la resiliencia operativa digital de las entidades que forman parte del sector financiero europeo.

Para ello, el reglamento DORA establece la creación de un marco de gestión de los riesgos TIC, impone medidas precisas para agilizar y perfeccionar la notificación de incidentes graves e incluye pruebas de resiliencia operativa digital que deben realizar las organizaciones.

Dentro de dichas pruebas destacan las TLPT por su nivel de profundidad y complejidad.

3. Threat Intelligence y Red Team. Los dos servicios clave para realizar pruebas TLPT

Como apuntamos antes, las pruebas TLPT se cimentan sobre dos actividades avanzadas de ciberseguridad que aportan un alto valor añadido: Threat Intelligence y Red Team.

3.1. Threat Intelligence

Una vez que se ha fijado el alcance de las pruebas TLPT y se han acordado todos los aspectos relacionados con ellas entre las compañías financieras y los probadores entra en juego el equipo de Threat Intelligence. Estos profesionales deben recopilar toda la información que deben obtener los actores hostiles para lanzar un ciberataque contra una entidad financiera.

Este caudal de información aporta datos de enorme valor sobre las tácticas, técnicas y procedimientos de los atacantes reales y es crítico para diseñar los escenarios que posteriormente ha de poner a prueba el equipo de Red Team.

Así, gracias a la inteligencia de amenazas dirigida se puede obtener una panorámica precisa de las amenazas a las que se enfrenta la compañía que se está sometiendo a las pruebas TLPT y los objetivos de los actores hostiles.

Al finalizar sus trabajos, los profesionales de Threat Intelligence elaborarán un informe específico de amenazas que afectan a la entidad. Dicho informe se conoce por sus siglas en inglés: TTI (Targeted Threat Intelligence).

3.2. Red Team

A partir del TTI, se adapta el alcance de las pruebas TLPT y los objetivos que se deben cumplir mediante la ejecución de ejercicios de Red Team. Acto seguido, se diseñan los escenarios basados en amenazas, empleando toda la información de inteligencia obtenida por el equipo de Threat Intelligence. Esto se recoge en un informe conocido por RTTP (Red Team Test Plan).

El siguiente paso es comenzar la ejecución de los ejercicios de Red Team recogidos en el RTTP. Su duración varía en función del alcance y los objetivos establecidos, pero suele rondar los tres meses por ejercicio. Durante su transcurso, los profesionales de Red Team se comportan como atacantes reales y despliegan un amplio abanico de técnicas para superar los mecanismos defensivos de la empresa y las acciones de su Blue Team y lograr cumplir los objetivos.

Además, claro está, el Red Team debe documentar todas sus actuaciones y elaborar informes periódicos para que la entidad esté al tanto de la evolución de la prueba TLPT.

Finalizada la fase de ejecución de la prueba, deberán elaborarse informes tanto sobre la actuación tanto del Red Team como del Blue Team. Tras estos, es necesario llevar a cabo unas sesiones que permitan compartir dicha información entre ambos equipos, aconsejando incluso la recreación conjuntas actividades para asegurar su completa comprensión.

Asimismo, es imprescindible elaborar un plan de actuación para aplicar las recomendaciones hechas por los profesionales de ciberseguridad y ciberinteligencia, de cara a solventar las debilidades detectadas en las pruebas TLPT.

Las pruebas TLPT finalizan con la remisión de toda la documentación a la autoridad competente, quien habrá estado puntualmente informada de las actividades llevadas a cabo durante todas las fases anteriores, con el objeto de que puedan validar el ejercicio.

4. Requisitos que establece DORA para realizar las pruebas TLPT

En su artículo 26, el reglamento DORA indica los requisitos que deben tener en cuenta tanto las compañías financieras como las empresas probadoras a la hora de realizar las pruebas TLPT:

1. Las pruebas TLPT deben abarcar todas o algunas de las funciones críticas de la entidad financiera.
2. Se deben realizar sobre los sistemas de producción activos que la compañía emplee para sustentar sus funciones esenciales. Así, deben incluirse tanto los sistemas subyacentes como los servicios TIC que sustenten estas funciones. Esto implica tener en cuenta los servicios contratados a proveedores terceros.
3. Precisamente, si hay proveedores incluidos dentro del alcance de las pruebas, las compañías deberán asegurar su participación. El reglamento DORA contempla la realización de pruebas TLPT conjuntas entre varias entidades financieras cuando compartan un proveedor de servicios TIC, que preste servicios a empresas no incluidas en el ámbito de aplicación de la normativa.
4. Deben desplegarse controles para la gestión de riesgos para evitar que las pruebas TLPT puedan repercutir negativamente en datos, activos y operaciones empresariales.
5. Para que una actividad TLPT sea considera como tal bajo el reglamento DORA, la ejecución de esta ha de seguir al completo las normas técnicas dictadas por la autoridad competente, las cuales se harán de conformidad con el marco TIBER-EU.

Como apuntamos antes, una vez que las pruebas TLPT hayan sido realizadas, las compañías deben remitir a la autoridad competente, que en nuestro país es el Banco de España, la siguiente información:

• Los principales hallazgos encontrados durante el transcurso de las pruebas TLPT.
• Los planes correctores para subsanar las debilidades detectadas.
• La documentación que permita verificar que las pruebas TLPT se realizaron cumpliendo todos los requisitos normativos.

El Banco de España, tras analizar esta información, hará llegar a la entidad un informe de validación de la prueba.

5. ¿Qué empresas deben someterse a pruebas TLPT y cada cuánto tiempo han de realizarse?

El reglamento DORA es de aplicación a las entidades financieras, así como a las compañías que les prestan servicios TIC:

• Entidades de crédito y de pago.
• Empresas de seguros y reaseguros.
• Intermediarios de seguros, reaseguros y seguros complementarios.
• Proveedores de servicios de:
  • Inversión.
  • Información sobre cuentas.
  • Suministro de datos.
  • Financiación participativa.
  • Criptoactivos
• Empresas de dinero electrónico.
• Depositarios centrales de valores.
• Entidades de contrapartida central.
• Centros de negociación.
• Registros de operaciones y de titulaciones.
• Fondos de pensiones de empleo.
• Gestores de fondos de inversión alternativos.
• Sociedades de gestión.
• Agencias de calificación crediticia.
• Administradores de índices de referencia cruciales.
• Proveedores terceros de servicios de TIC.

5.1. Exclusión de las organizaciones pequeñas

Más allá de este listado, el reglamento contempla la exclusión de algunas empresas, sobre todo, por su tamaño. Por ejemplo, las aseguradoras y reaseguradoras cuyos ingresos anuales brutos por primas de seguros sean inferiores a 5 millones de euros quedan fuera del ámbito de aplicación de DORA. Lo mismo podemos señalar de los intermediarios de seguros que sean considerados microempresas o pymes.

A ello debemos sumar que la norma excluye de la obligatoriedad de realizar pruebas TLPT a todas las microempresas y a otras entidades como las empresas de servicios de inversión pequeñas o fondos de pensiones de tamaño reducido.

Estas exclusiones se deben a que:

1. Estas compañías no tienen el suficiente nivel de madurez de ciberseguridad, por lo que obligarlas a realizar pruebas tan complejas y profundas como las TLPT carece de sentido.
2. Que una de estas empresas sufra un incidente de seguridad no va a afectar a un gran número de ciudadanos y negocios y no reverberará en la economía y la sociedad europeas.

5.2. Proporcionalidad a la hora de establecer qué entidades financieras deben realizar las pruebas TLPT

Junto a las exclusiones, la norma también establece que las autoridades competentes deben aplicar el principio de proporcionalidad en la realización de las pruebas TLPT. Lo que implica que el alcance y la complejidad de estas pruebas avanzadas no deben ser iguales para todas las compañías.

Así, el reglamento DORA índice que las autoridades competentes como el Banco de España deben determinar la realización de las pruebas TLPT teniendo en cuenta:

• La repercusión de los servicios y actividades de cada compañía en el sector financiero.
• La posibilidad de que un incidente de seguridad en una empresa afecte a la estabilidad financiera de un país o de la UE.
• El perfil de riesgo de la compañía en lo relativo a las TIC.
• El nivel de madurez tecnológica de la entidad.

5.3. Someterse a pruebas TLTP cada tres años… como mínimo

Las compañías del sector financiero obligadas a someterse a las pruebas TLPT deberán hacerlo, como mínimo una vez cada tres años.

Sin embargo, el Banco de España puede establecer que una organización aumente la frecuencia de realización de las pruebas en función de:

• El perfil de riesgo de la entidad.
• Las circunstancias operativas.

Por lo que es esperable que las compañías financieras de mayor relevancia y que resultan sistémicas para el funcionamiento del tejido productivo y la sociedad vayan a estar obligadas a realizar pruebas TLPT con una frecuencia mayor.

6. ¿Qué requisitos deben cumplir las empresas de ciberseguridad que ejecuten las pruebas TLTP?

Las TLPT son pruebas avanzadas que solo pueden diseñar y ejecutar equipos con un alto nivel de cualificación y experiencia dotados de recursos suficientes. Hablando en plata, no todas las empresas de ciberseguridad pueden realizar estas pruebas. Por eso, el reglamento DORA indica con claridad qué requisitos deben cumplir las compañías probadoras:

• Ser idóneas y tener un elevado prestigio en el sector.
• Tener capacidades técnicas y organizativas, así como conocimientos especializados en:
  • Inteligencia de amenazas.
  • Pruebas de penetración.
  • Ejercicios de Red Team.
• Contar con la acreditación de un órgano de certificación de un país de la UE o estar adheridas a códigos de buenas conductas o marcos éticos.
• Disponer de una garantía o una auditoría independiente que avale una gestión óptima de los riesgos asociados a las pruebas TLPT. Lo que incluye:
  • La protección de la información confidencial de las compañías financieras.
  • Medidas de reparación si se producen riesgos empresariales para las empresas sometidas a las pruebas TLPT.
• Tener un seguro de responsabilidad civil profesional que cubra la falta intencionada y la negligencia.

Por ende, es imprescindible que las compañías financieras contraten a empresas de ciberseguridad con una amplia trayectoria a sus espaldas y que, además, cuenten con experiencia específica en la realización de pruebas TLPT acordes al marco TIBER-EU.

7. ¿Pueden las empresas realizar las pruebas TLPT internamente?

El reglamento DORA establece que las pruebas TLPT pueden ser realizadas de manera interna por las empresas. Sin embargo, esta posibilidad está fuertemente acotada por la propia norma, puesto que:

1. La compañía debe disponer de equipos experimentados y solventes de Red Team que cumplan con todos los requisitos que impone la norma a las empresas probadoras.
2. Las entidades de crédito significativas (por su tamaño, su relevancia para la economía o la importancia de sus actividades transfronterizas) deben contratar, obligatoriamente, a probadores externos para la realización de las pruebas TLPT.
3. La realización de pruebas TLPT a cargo de probadores internos solo será posible si:
   • La autoridad competente la ha autorizado.
   • Se ha verificado que la empresa dispone de los recursos necesarios y ha podido garantizar que no vayan a producirse conflictos de intereses durante las pruebas TLPT.
   • El proveedor de Threat Intelligence sí es externo.
4. Aun así, cada tres ejercicios están obligadas a contratar a probadores externos.

Es decir, que, en todos los casos, las entidades financieras deben contratar servicios externos de Threat Intelligence para realizar las pruebas TLPT. Y, en lo que respecta al equipo de Red Team, deberá garantizarse que cumple todos los requisitos legales y que no se produce un conflicto de intereses en la realización de las pruebas.

8. ¿Qué sanciones pueden recibir las compañías que no realicen las pruebas TLPT?

El reglamento DORA establece que el Banco de España y las autoridades competentes del resto de países de la Unión Europea podrán supervisar, investigar y sancionar a las entidades financieras para garantizar el cumplimiento de este marco normativo.

Así, se podrán imponer a las empresas incumplidoras sanciones administrativas y medidas correctoras:

• Requerimientos contra las empresas que no cumplan la norma para que pongan fin a su conducta.
• Exigir el cese de prácticas que no sean acordes con el reglamento.
• Imponer multas económicas de cara a garantizar que las entidades financieras no incumplen con sus obligaciones, como la realización de pruebas TLPT.
• Solicitar a los operadores de telecomunicaciones registros de tráfico de datos si existen sospechas bien fundamentadas de que una compañía está incumpliendo el reglamento.
• Hacer pública la identidad de la compañía que ha cometido una infracción y la naturaleza de esta.

Estas medidas sancionadoras pueden imponerse tanto a las compañías como a los miembros de sus órganos de dirección, por lo que los directivos pueden ser sancionados personalmente por incumplir las obligaciones del reglamento como la realización de pruebas TLPT.

Asimismo, el reglamento deja en manos de los estados de la UE la posibilidad de imponer o no sanciones penales en caso de infracciones especialmente graves.

9. ¿Por qué deberían realizar un TLPT las empresas que no están obligadas a ejecutarlo?

Como señalamos al hablar de las empresas financieras que no están obligadas a realizar pruebas TLPT, no todas las compañías presentan el nivel de madurez necesario para realizarlas. Así, en el caso de las pequeñas empresas es más recomendable que opten por otros servicios como auditorías de seguridad.

En cambio, las compañías de gran tamaño y fuertemente digitalizadas que tienen un nivel de ciberexposición elevado sí deben contemplar la posibilidad de realizar voluntariamente pruebas TLPT. ¿Por qué?

9.1. Seis grandes ventajas de realizar pruebas TLPT en compañías de todos los sectores económicos

1. Estas empresas están en el punto de mira de los grupos de amenazas persistentes avanzadas (APT), que disponen de recursos y conocimientos elevados para diseñar y ejecutar ciberataques muy sofisticados que pueden ser letales para una organización que no está bien preparada.
2. Ofrecen datos de gran valor añadido sobre las amenazas a las que tienen que hacer frente como los TTPs y objetivos de los actores hostiles.
3. Permiten entrenar y formar a los profesionales del equipo defensivo al simular ataques realistas contra la organización.
4. Aportan recomendaciones relevantes para optimizar los mecanismos de prevención, detección y respuesta a ciberataques.
5. Contribuyen a incrementar el nivel de ciberresiliencia de la organización y a proteger sus activos y funciones críticas de cara a evitar que los ciberataques paralicen la actividad de la empresa.
6. Junto a la aprobación del reglamento DORA, también vio la luz la directiva NIS2, que impone medidas en materia de seguridad a las empresas que operan en sectores críticos: salud, energía, transportes, alimentación, agua… Lo que evidencia que el marco normativo va a ser cada vez más exigente. Por ello, es fundamental que las compañías sitúen la ciberseguridad en el centro de su estrategia empresarial.

En definitiva, a partir de 2025, numerosas empresas que operan en el sector financiero estarán obligadas a realizar pruebas TLPT para incrementar su ciberresiliencia frente a los ciberataques.

Por eso, si aún no se han sometido a estas pruebas de penetración basadas en amenazas se aconseja comenzar cuanto antes el proceso para llevarlas a cabo, empezando por la contratación de una empresa de ciberseguridad con experiencia, conocimientos y prestigio en la inteligencia de amenazas y los ejercicios de Red Team.