La Unión Europea impulsó un nuevo marco normativo, DORA o Digital Operational Resilience Act, que entrará en vigor en enero de 2025, con un ámbito de aplicación que se centra en el sector financiero, cuya operativa crítica derivada de la realización de transacciones quiere protegerse, en un contexto en el que proliferan las ciberamenazas.
A pesar de que la normativa solo vaya dirigida a organizaciones financieras, desde bancos hasta aseguradoras, prevé la implementación de unas pruebas TLP que por sus características, exhaustividad y profundidad pueden asumirse como un tipo de evaluación hacia la que tender en el resto de empresas, con independencia de su tamaño y nicho de actividad. Si bien, requieren un despliegue de tiempo y recursos especializados que ahora mismo solo está al alcance de grandes compañías, que cuentan con medios para ir más allá de las metodologías de evaluación de riesgos y las auditorías de ciberseguridad tradicionales.
Con todo, los negocios y organizaciones tienen que blindar sus activos informacionales, cuya criticidad también cabría atender aunque no se trate de datos correspondientes a operativa financiera, ya que no aplicará de momento DORA pero sí lo hace la RGPD. Pero más allá de cuestiones legales, lo cierto es que los principios, prácticas y recursos que promueve la propia normativa pueden servir perfectamente de referente al que aspirar, para poder mejorar todo lo que sea posible la protección en un ecosistema plagado de ciberamenazas.
Ámbitos clave de DORA
La Digital Operational Resilience Act regula varios aspectos esenciales como la gestión de riesgos de terceros, obligando a las entidades a responsabilizarse de los derivados de proveedores tecnológicos críticos, sin que la delegación en estos pueda traducirse en despreocupación, al exigirse ahora una supervisión adecuada y la demanda de garantías contractuales de los servicios contratados en atención a la resiliencia y la seguridad.
Asimismo, DORA hace un gran énfasis en la preservación de la continuidad operativa, para lo que pone el foco en los planes de respuesta y recuperación a incidentes. Estos además, y aquí viene una de las vertientes más interesantes, deben articularse en función de pruebas TLPT, que hayan medido previamente mediante simulaciones complejas la capacidad de las organizaciones de afrontar escenarios reales de ataque.
¿Qué son exactamente las pruebas basadas en amenazas (TLPT)?
Las Threat-Led Penetration Testing (TLPT) son pruebas que simulan ataques cibernéticos sofisticados, diseñados específicamente para replicar el comportamiento de actores maliciosos altamente competentes.
Estas pruebas no se limitan a identificar vulnerabilidades genéricas, sino que evalúan cómo responderían a amenazas reales los sistemas, procesos y equipos humanos, en lo que supone la triada de vectores clave en la gestión de ciberseguridad. Además se testan las APT, es decir las amenazas persistentes avanzadas consistentes en emplear mucho tiempo y recursos para infiltrarse y eventualmente permanecer en los sistemas críticos de las organizaciones.
Para la realización de las pruebas TLPT interviene un Red Team, un grupo de expertos que actúan como lo harían los ciberdelicuentes, utilizando para emularlos tácticas, técnicas y procedimientos (TTPs) reales en sintonía con las amenazas APT más complejas. Al grupo rojo se opone un Blue Team, un equipo interno o externo de ciberseguridad que se encarga de monitorizar y responder a los ataques del Red Team.
Hay que resaltar que estas pruebas van más allá del hacking ético tradicional, ya que los ataques de Red Team pueden prolongarse durante meses, y además actúan en escenarios simulados específicos, creados a partir de información recabada por equipos de Threat Intelligence, esto es por especialistas en inteligencia de amenazas dirigida, cuyo informe TTI previo (Targeted Threat Intelligence) con las vulnerabilidades detectadas es la base sobre la que se desplegarán los ejercicios.
Así, pues, la metodología TLPT tendría tres fases decisivas que sería el reconocimiento mediante Threat Intelligence, los ejercicios de Red Team para realizar ataques simulados, incluyendo los de amenazas avanzadas persistentes para mantenerse dentro de los sistemas sin ser detectados; y ya por último vendría el informe de vulnerabilidades, que sería la base para erigir los planes de respuesta y resiliencia.
Más allá del sector financiero
Aunque DORA solo obligue a la realización de pruebas TLPT a compañías financieras, supone un reglamento que marca el camino de por dónde va a ir la normativa de ciberseguridad a nivel global en el futuro. Algo que se explica a la perfección en un contexto en el que las ciberamenazas crecen, se complejizan y pueden servirse de tecnologías vicarias cuyas capacidades están también en plena expansión.
De hecho, cuando se aprobó DORA también se alumbró la directiva NIS2, enfocada a la ciberseguridad de organizaciones de otros sectores críticos como el de la salud, transportes, energía, agua, alimentación, etc. Pero al margen de las obligaciones que puedan imponer las normativas, lo sustantivo es poder proteger a todas las empresas con esquemas de seguridad que incluyan metodologías robustas como las pruebas TLPT, asumiendo que a día de hoy requieren un despliegue de medios, recursos y tiempo que no está al alcance de la mayoría de organizaciones.
De no ir por ese camino, se corre el peligro de caer en una brecha en el ámbito de la ciberseguridad, no en la acepción clásica que le damos sino en el sentido atribuido a la ‘brecha digital’, al poder darse un panorama en el que las grandes compañías quedan protegidas frente a las amenazas más peligrosas como las APT avanzadas, y por tanto estas se redirigen hacia las más vulnerables, en un proceso similar al experimentado con los ataques de ransomware, que se han cebado con las PYMES en los últimos años, ya que los ciberdelincuentes las han considerado un objetivo fácil frente a otros que estaban más protegidos.
El contexto actual de amenazas y el que se divisa en el horizonte invitan a hacer todo lo posible por incrementar los niveles de ciberresiliencia de todas las organizaciones, con el objetivo de proteger sus activos y operaciones críticas contra todo tipo de ataques e incidentes, para lo que DORA supone un referente normativo aunque tenga que ser por ahora a título orientativo, y las pruebas TLPT una herramienta poderosa a la que aspirar para poder mejorar la seguridad.
