Banco de España: Requisitos de Ciberseguridad y Pruebas de Penetración para Entidades de Crédito
El Banco de España, como autoridad supervisora nacional de las entidades de crédito, entidades de pago e instituciones de dinero electrónico, ejerce competencias directas de supervisión tecnológica y de ciberseguridad. En el marco de DORA (Reglamento (UE) 2022/2554), el Banco de España supervisa el cumplimiento de los requisitos de resiliencia operativa digital — incluyendo las pruebas de penetración del Art. 24 y los TLPT del Art. 26 — para las entidades bajo su competencia. Además, el Banco de España ha publicado su propia Guía de Supervisión Tecnológica, alineada con las EBA Guidelines on ICT and Security Risk Management (EBA/GL/2019/04), que establece expectativas específicas sobre la gestión de riesgos tecnológicos y de ciberseguridad. Esta guía explica qué exige el Banco de España en materia de pruebas de penetración, cómo se estructura la supervisión tecnológica y qué documentación necesita una entidad para superar una inspección.
Por qué el Banco de España exige pruebas de penetración a las entidades de crédito
El Banco de España aplica un enfoque de supervisión basado en riesgos para la ciberseguridad y la resiliencia tecnológica de las entidades supervisadas. Con la entrada en vigor de DORA el 17 de enero de 2025, el Banco de España es la autoridad competente designada para supervisar el cumplimiento de DORA por parte de las entidades de crédito, entidades de pago e instituciones de dinero electrónico bajo su supervisión. En el contexto de las inspecciones tecnológicas — ya sea mediante el proceso SREP (Supervisory Review and Evaluation Process) o mediante inspecciones ad hoc — el Banco de España revisa la adecuación de las pruebas de seguridad TIC realizadas por las entidades. La ausencia de pruebas de penetración documentadas, o la existencia de pruebas superficiales que no cubran los sistemas TIC críticos, es considerada una deficiencia significativa en la gestión del riesgo operacional TIC y puede resultar en requerimientos de capital adicional (Pilar 2) o en medidas supervisoras formales. Además, el Banco de España coordina TIBER-ES y acredita a los proveedores Red Team para los TLPT de las entidades sistémicas.
- DORA Art. 24 §1 y §2 bajo supervisión del Banco de España: las entidades de crédito españolas bajo supervisión directa del Banco de España deben implementar un programa de pruebas de resiliencia operativa digital que incluya pruebas de penetración regulares — el Banco de España verifica el cumplimiento mediante el proceso SREP y las inspecciones tecnológicas.
- EBA Guidelines on ICT and Security Risk Management (EBA/GL/2019/04): las directrices EBA, aplicables desde 2020, establecen expectativas sobre pruebas de seguridad TIC que el Banco de España integra en su marco supervisor — las pruebas de penetración se consideran un control clave para verificar la eficacia de las medidas de seguridad TIC.
- Guía de Supervisión Tecnológica del Banco de España: documento supervisor que detalla las expectativas del Banco de España sobre la gestión de riesgos tecnológicos, incluyendo la seguridad de sistemas TIC, la gestión de vulnerabilidades y las pruebas de seguridad periódicas.
- SREP Tecnológico: el proceso SREP integra la evaluación de la resiliencia tecnológica — las entidades con deficiencias en pruebas de seguridad TIC pueden recibir requerimientos adicionales de capital (Pilar 2) o medidas supervisoras formales conforme al Art. 104 de la Directiva CRD IV.
- Inspecciones tecnológicas in situ: el Banco de España realiza inspecciones tecnológicas específicas — los inspectores solicitan los informes de pruebas de penetración más recientes, la metodología utilizada, los hallazgos identificados y el estado de remediación.
- TIBER-ES coordinación: el Banco de España designa las entidades obligadas a realizar TLPT TIBER-ES conforme al Art. 26 DORA, establece los criterios de acreditación de proveedores y coordina las pruebas con el BCE para grupos transfronterizos.
- Notificación de incidentes al Banco de España: las entidades deben notificar al Banco de España los incidentes TIC significativos conforme al Art. 19 DORA — las pruebas de penetración regulares reducen la probabilidad de incidentes notificables al identificar vulnerabilidades antes de que sean explotadas.
Qué cubre una prueba de penetración conforme a los requisitos del Banco de España
- Sistemas TIC de funciones esenciales bajo supervisión del Banco de España: banca core (procesamiento de cuentas, pagos, crédito), sistemas de liquidación interbancaria (TARGET2, SNCE), plataformas de banca digital — inventario de activos como prerrequisito.
- Seguridad de la banca digital y APIs PSD2: portales de banca online, aplicaciones móviles, APIs Open Banking conforme a Berlin Group NextGenPSD2, gestión de SCA (Strong Customer Authentication) — CVE-2022-21449 (ECDSA Psychic Signatures en implementaciones Java de SCA).
- Infraestructura SWIFT y sistemas de pagos: seguridad del entorno SWIFT Alliance Access/Lite2/Web Platform, controles SWIFT CSP CSCF v2024, segmentación del segmento SWIFT, integridad de los mensajes de pago.
- Gestión de identidades y accesos privilegiados: Active Directory, gestión de cuentas de administrador, MFA para acceso remoto y privilegiado, PAM (Privileged Access Management), CVE-2021-42278 (noPac samAccountName spoofing).
- Seguridad de la infraestructura cloud bancaria: migración a Microsoft Azure / AWS Financial Services, configuración IAM, clasificación y cifrado de datos en la nube, controles de salida de datos — evaluación conforme al marco de externalización de la EBA (EBA/GL/2019/02).
- Continuidad del negocio y recuperación ante desastres (BCP/DRP): prueba de la capacidad de un atacante para comprometer los sistemas de backup y recuperación — simulación de ransomware, verificación de la integridad de las copias de seguridad, tiempos de recuperación (RTO/RPO).
- Redes corporativas y segmentación: separación de redes de usuario, redes de administración y redes de sistemas críticos — movimiento lateral entre segmentos, verificación de reglas de cortafuegos, configuración de switches y routers.
- Seguridad de proveedores tecnológicos críticos (Art. 28 DORA): evaluación del riesgo de los principales proveedores tecnológicos — auditoría de cláusulas contractuales de seguridad, revisión de certificaciones SOC2/ISO 27001 de proveedores críticos.
- Gestión de vulnerabilidades y parches: verificación de la exposición real a CVE conocidos en los sistemas de la entidad — CVE-2023-44487 (HTTP/2 Rapid Reset DDoS), CVE-2021-44228 (Log4Shell), identificación de sistemas sin parches recientes.
- Logging, monitorización y respuesta a incidentes (Art. 10 DORA): verificación de que los ataques simulados generan alertas en el SIEM bancario — cobertura de detección, tiempos de respuesta del SOC, capacidad de contención y erradicación.
Ejemplo de hallazgo
Acceso no autorizado a panel de administración bancario expuesto en Internet sin MFA
Durante la revisión de la superficie de ataque externa, se identificó un panel de administración del sistema bancario core (aplicación de gestión de parámetros de productos y tipos de interés) accesible directamente desde Internet sin segmentación de red. El panel solo requiere usuario y contraseña estáticos, sin autenticación multifactor. Un ataque de fuerza bruta sobre las credenciales (sin bloqueo de cuenta tras intentos fallidos) permitió al equipo de prueba acceder al panel con credenciales por defecto de instalación no modificadas (admin/admin). El acceso al panel permite modificar parámetros de productos bancarios (tipos de interés, límites de crédito), lo que podría tener impacto directo en la posición financiera de la entidad. CVE-2023-4966 (Citrix Bleed session token leakage) ilustra el tipo de vulnerabilidades que afectan a interfaces de gestión expuestas en el sector financiero.
Corrección: Retirar inmediatamente el panel de administración de la exposición directa a Internet — alojar detrás de VPN corporativa o red de administración segmentada. Implementar autenticación multifactor obligatoria para todos los accesos a paneles de administración. Cambiar todas las credenciales por defecto e implementar una política de contraseñas fuertes con rotación. Implementar bloqueo de cuenta tras 5 intentos fallidos y registro de todos los intentos de autenticación. Realizar una auditoría completa de todos los sistemas de gestión expuestos en Internet conforme a las expectativas de la Guía de Supervisión Tecnológica del Banco de España.
Referencia: CVE-2023-4966 (Citrix Bleed, explotado activamente en sector financiero) · OWASP A07:2021 Identification and Authentication Failures · CWE-1392 Use of Default Credentials · EBA/GL/2019/04 §4.6.2 (Access Control) · DORA Art. 9 §3 (ICT security policies) · Guía de Supervisión Tecnológica Banco de España §5.2
Pentest Banco de España: comparación de opciones
| — | Escaneo gratuito | Matproof Sentinel | Consultoría tradicional |
|---|---|---|---|
| Motor de escaneo automatizado | ✓ (vista previa 3 min) | ✓ Escaneo completo | ✗ Solo manual |
| Cobertura OWASP Top 10 | Parcial | ✓ Completa | ✓ Completa |
| Evidencia proof-of-exploit | ✗ | ✓ Por hallazgo | ✓ Por hallazgo |
| Mapeo normativo (DORA/NIS2/ISO 27001) | ✗ | ✓ Automatizado | ✓ Manual |
| Informe PDF listo para auditoría | ✗ | ✓ Inmediato | ✓ Entrega 2–4 semanas |
| Escaneos continuos / recurrentes | ✗ | ✓ Por despliegue | ✗ Encargo anual |
| Tiempo hasta el primer resultado | ~3 min | ~30 min escaneo completo | 2–4 semanas |
| Precio | €0 | Desde €149 | €8.000–€25.000 |
| Revisión de código fuente (SAST) | ✗ | ✓ Plan Growth | ✓ En alcance |
| Pruebas de API (REST/GraphQL) | ✗ | ✓ Automatizado | ✓ Manual |
Ofertas de pentest conformes con los requisitos del Banco de España
- 1 escaneo pentest completo
- Hallazgos priorizados por IA con CVSS 3.1
- Proof-of-exploit por hallazgo
- Informe PDF listo para auditoría
- Mapeo normativo (DORA, NIS2, ISO 27001)
- Escaneos ilimitados (hasta 3 dominios)
- Monitorización continua
- Integración CI/CD (GitHub, GitLab)
- Todos los mapeos normativos
- Soporte prioritario
- Escaneos + dominios ilimitados
- Pruebas autenticadas / White-Box
- Pruebas de API e infraestructura cloud
- Account manager de seguridad dedicado
- SLA de respuesta en 24h
Preguntas frecuentes sobre ciberseguridad y pentest bajo supervisión del Banco de España
¿Qué entidades están bajo supervisión tecnológica directa del Banco de España?
El Banco de España supervisa directamente las entidades de crédito (bancos, cajas de ahorros, cooperativas de crédito, establecimientos financieros de crédito) y las entidades de pago e instituciones de dinero electrónico inscritas en los registros del Banco de España. Para los grupos bancarios significativos (con activos superiores a 30.000 millones de euros), la supervisión directa la ejerce el BCE a través del Mecanismo Único de Supervisión (MUS), mientras que el Banco de España actúa como autoridad nacional competente en el proceso conjunto de supervisión.
¿Qué documenta el Banco de España durante una inspección tecnológica?
Durante una inspección tecnológica in situ, el Banco de España solicita habitualmente: los informes de pruebas de penetración de los últimos dos años (metodología, perímetro, hallazgos, estado de remediación); el inventario de activos TIC y la clasificación de sistemas críticos; la política de gestión de vulnerabilidades y los registros de parcheo; el plan de continuidad del negocio y recuperación ante desastres (BCP/DRP) y los resultados de los últimos ejercicios de prueba; la documentación del SIEM y los procedimientos de respuesta a incidentes; y los acuerdos con proveedores tecnológicos críticos y las cláusulas de seguridad (conforme al Art. 30 DORA).
¿Cómo afecta la supervisión del BCE (MUS) a los bancos significativos españoles?
Los seis grupos bancarios significativos españoles (Santander, BBVA, CaixaBank, Sabadell, Bankinter, Unicaja) están bajo supervisión directa del BCE a través del Mecanismo Único de Supervisión (MUS). El BCE aplica las mismas expectativas del Art. 24 y Art. 26 DORA, pero con mayor exigencia para los bancos sistémicos europeos (G-SIB y O-SII). Para estos grupos, el BCE puede coordinar TLPT transfronterizos conforme al Art. 26 §8 DORA, con reconocimiento simultáneo por parte del Banco de España y otros supervisores nacionales de las filiales del grupo.
¿Qué relación existe entre los requisitos del Banco de España y el Esquema Nacional de Seguridad (ENS)?
El ENS (Real Decreto 311/2022) es el marco de seguridad de la información de referencia para las Administraciones Públicas españolas, no directamente aplicable a las entidades financieras privadas. Sin embargo, el Banco de España en su Guía de Supervisión Tecnológica hace referencia a los controles del ENS como buenas prácticas de referencia para la gestión de la seguridad TIC. Las entidades de crédito que prestan servicios tecnológicos a entidades del sector público deben cumplir con los requisitos del ENS en el marco de esos contratos específicos.
¿Con qué frecuencia recomienda el Banco de España realizar pruebas de penetración?
La Guía de Supervisión Tecnológica del Banco de España y las EBA Guidelines on ICT Risk recomiendan pruebas de penetración al menos anuales para los sistemas TIC críticos y después de cambios arquitectónicos significativos o eventos de seguridad relevantes. Para los sistemas de banca online y APIs PSD2, la práctica supervisora espera pruebas con mayor frecuencia (al menos anuales, idealmente también tras cada versión principal). El Art. 26 DORA establece la obligación TLPT al menos trienal para entidades sistémicas.
¿Qué sanciones puede imponer el Banco de España por deficiencias en ciberseguridad?
El Banco de España dispone de un amplio abanico de medidas supervisoras para las entidades con deficiencias en ciberseguridad y resiliencia tecnológica: requerimientos específicos de capital adicional (Pilar 2 SREP), planes de acción formales con plazos de remediación, advertencias públicas o privadas, sanciones económicas conforme a la Ley 10/2014 de ordenación, supervisión y solvencia de entidades de crédito, y en casos graves, la revocación de la autorización de actividad. Conforme a DORA Art. 50, el Banco de España puede además imponer sanciones pecuniarias de hasta el 1 % del volumen de negocios diario mundial por incumplimientos DORA.
¿Cómo deben las entidades de crédito gestionar los incidentes TIC que detecten durante una prueba de penetración?
Si durante una prueba de penetración se descubre que un sistema ha sido comprometido previamente por un actor malicioso real (más allá del equipo de prueba), la entidad debe activar su protocolo de respuesta a incidentes e iniciar el proceso de notificación al Banco de España conforme al Art. 19 DORA (alerta temprana en 24 horas, notificación completa en 72 horas). Si los datos comprometidos incluyen datos personales de clientes, también debe notificarse a la AEPD conforme al Art. 33 del RGPD. Matproof Sentinel incluye protocolos para la gestión de hallazgos sensibles y la generación de documentación de notificación.
¿Puede Matproof Sentinel generar informes directamente útiles para una inspección del Banco de España?
Sí — Matproof Sentinel genera informes PDF con el nivel de detalle técnico y metodológico que los inspectores del Banco de España solicitan: perímetro documentado, metodología de prueba referenciada (PTES, OWASP Testing Guide), hallazgos clasificados por severidad CVSS 3.1 con proof-of-exploit, referencias normativas (DORA, EBA/GL/2019/04, ENS) y estado de remediación. Los informes de Matproof Sentinel están diseñados para satisfacer tanto los requisitos del Art. 24 §7 DORA como las expectativas documentadas en la Guía de Supervisión Tecnológica del Banco de España.
Profundiza — artículos relacionados del blog
Prepare su entidad para la supervisión tecnológica del Banco de España
Obtenga en 3 minutos una primera evaluación de su exposición a vulnerabilidades — sin registro, sin compromiso. Matproof Sentinel genera informes de prueba de penetración diseñados para satisfacer los requisitos del Art. 24 §7 DORA y las expectativas de la Guía de Supervisión Tecnológica del Banco de España.
Iniciar el escaneo gratuito