Pruebas de Penetración Basadas en Amenazas

Las Pruebas de Penetración Basadas en Amenazas (TLPT) son una forma rigurosa de evaluación de ciberseguridad obligatoria en virtud del Capítulo IV de DORA (Artículos 26-27) para determinadas entidades financieras. A diferencia de las pruebas de penetración estándar, las TLPT se guían por inteligencia de amenazas real y replican las tácticas, técnicas y procedimientos (TTP) de actores de amenazas reales que atacan al sector financiero.

DORA exige que las entidades financieras identificadas por las autoridades competentes realicen TLPT al menos cada tres años. Las pruebas deben abarcar varias o todas las funciones críticas o importantes de la entidad financiera y ejecutarse sobre sistemas productivos en activo. El alcance de cada prueba se determina en colaboración con las autoridades competentes y debe incluir a los proveedores terceros de servicios TIC críticos cuando proceda.

Las TLPT bajo DORA deben seguir el marco TIBER-EU (Threat Intelligence-Based Ethical Red Teaming) o marcos nacionales equivalentes reconocidos por las Autoridades Europeas de Supervisión. Las pruebas comprenden tres fases: una fase de inteligencia de amenazas para identificar escenarios de ataque realistas, una fase de equipo rojo en la que evaluadores externos intentan comprometer los sistemas de la entidad utilizando los escenarios identificados, y una fase de equipo azul en la que se evalúan las defensas de la entidad.

Los resultados de las TLPT se comparten con las autoridades competentes y deben incluir un plan de remediación. Las entidades financieras deben demostrar que han abordado las vulnerabilidades identificadas. Aunque las pruebas implican "ataques" controlados, deben realizarse con las salvaguardas apropiadas para evitar interrumpir las operaciones de la entidad o la estabilidad del sistema financiero en su conjunto. Solo evaluadores externos cualificados pueden realizar las TLPT, sujetos a requisitos específicos en cuanto a su experiencia e independencia.