DORA Pentest España: Obligaciones de Prueba de Penetración según los Art. 24 y 26
Desde el 17 de enero de 2025, el reglamento Digital Operational Resilience Act (DORA, Reglamento (UE) 2022/2554) se aplica directamente en todos los Estados miembros de la Unión Europea, incluida España. El artículo 24 obliga a las entidades financieras a realizar pruebas de penetración regulares de sus sistemas TIC; el artículo 26 impone a las entidades de importancia sistémica los Threat-Led Penetration Tests (TLPT) adicionales en el marco TIBER-EU. En España, el Banco de España y la CNMV ejercen un papel central en la supervisión de estos requisitos. La presente guía explica qué entidades están en el perímetro, qué exige concretamente el reglamento y qué enfoque satisface los requisitos normativos.
Por qué DORA convierte la prueba de penetración en una obligación regulatoria
DORA no es una guía de buenas prácticas: es un reglamento europeo de aplicación directa. A diferencia de las anteriores directrices EBA sobre riesgos TIC (EBA/GL/2019/04), DORA tiene fuerza vinculante: el Banco de España y la CNMV pueden imponer sanciones pecuniarias de hasta el 1 % del volumen de negocios diario a escala mundial e implicar personalmente la responsabilidad de los directivos. El artículo 24, apartado 1, del Reglamento DORA exige que las entidades financieras sometan sus sistemas, aplicaciones e infraestructuras TIC a un «programa de pruebas de resiliencia operativa digital» regular. El artículo 24, apartado 2, cita expresamente las «pruebas de penetración, incluidas las pruebas de penetración basadas en amenazas». El Banco de España ha precisado en sus comunicaciones de enero de 2025 que un simple escaneo de vulnerabilidades no satisface este requisito: se exige una prueba de penetración completa con un perímetro documentado, una metodología y una prueba de explotación. Para las entidades significativas y de importancia sistémica (art. 26 DORA), el marco TLPT (Threat-Led Penetration Testing, referencia TIBER-EU / TIBER-ES) se aplica adicionalmente, y solo los proveedores acreditados por el Banco de España pueden llevar a cabo dichas pruebas.
- DORA Art. 24 §1 y §2: obligación de pruebas de seguridad TIC regulares, incluidas pruebas de penetración para todas las entidades financieras del Art. 2 DORA — entidades de crédito, empresas de servicios de inversión, aseguradoras, entidades de pago, proveedores de servicios de criptoactivos (MiCA), agencias de calificación, depositarios centrales de valores.
- DORA Art. 26 §1: obligación TLPT para las entidades de importancia sistémica — al menos cada tres años, una prueba de penetración basada en amenazas completa realizada por un proveedor acreditado, coordinada con la autoridad competente (Banco de España / CNMV).
- DORA Art. 24 §7 y §8: las pruebas deben ser realizadas por partes independientes (internas o externas); para los servicios TIC críticos, por testers externos; documentación completa que incluya perímetro, metodología y vulnerabilidades detectadas.
- RTS DORA (Reglamento Delegado (UE) 2024/1774): las normas técnicas de regulación precisan los requisitos relativos a las pruebas de seguridad TIC — cobertura mínima, frecuencia, obligaciones de información.
- TIBER-ES (marco del Banco de España): adaptación española del marco TIBER-EU, que define los criterios de acreditación de los proveedores Red Team que operan en el mercado español y los procedimientos de coordinación con el Banco de España.
- Responsabilidad personal de los directivos (Art. 5 DORA): el consejo de administración y la alta dirección son directamente responsables de la resiliencia operativa digital — la ausencia de pruebas de penetración documentadas constituye un riesgo de gobierno directo.
- Coordinación transfronteriza (Art. 26 §8 DORA): para las entidades que operan en varios Estados miembros, el BCE coordina los TLPT conjuntos — el marco TIBER-EU define el ámbito aplicable a la supervisión española.
Qué debe cubrir una prueba de penetración conforme a DORA
- Sistemas TIC de las funciones esenciales (Art. 24 §3 DORA): sistemas bancarios core, API de pagos, plataformas de negociación, archivos de datos de clientes — inventario completo de activos como requisito previo.
- Autenticación y control de accesos: implementaciones MFA (requisitos SCA PSD2), flujos OAuth2/OIDC, gestión de accesos privilegiados (PAM), autorizaciones de cuentas de servicio.
- Seguridad de las API según OWASP API Top 10 (2023): API1 Broken Object Level Authorization, API2 Broken Authentication, API3 Broken Property Level Authorization — especialmente crítico para las API Open Banking (PSD2, Berlin Group NextGenPSD2).
- Segmentación de red y configuración de cortafuegos: separación de entornos TIC (producción / pruebas / desarrollo), movimiento lateral entre segmentos, aislamiento de red SWIFT (SWIFT CSP CSCF v2024).
- Cifrado de datos en reposo y en tránsito: TLS 1.3 (RFC 8446), integración HSM para material criptográfico, suites de cifrado obsoletas (CVE-2016-2107 POODLE, CVE-2023-0215 OpenSSL), CVE-2022-0778 (bucle infinito OpenSSL).
- Dependencias TIC de terceros (Art. 28 DORA): componentes SaaS, proveedores de infraestructura cloud, procesadores de pagos — riesgos de la cadena de suministro, CVE conocidos en bibliotecas de terceros.
- Continuidad operativa y recuperación ante incidentes: prueba de la capacidad de un atacante para comprometer los procesos de copia de seguridad; simulación de ransomware sobre sistemas de backup; verificación de tiempos de recuperación.
- Simulaciones de ingeniería social y phishing (para los encargos TLPT más completos): concienciación del personal, controles técnicos de detección de phishing, tiempos de respuesta del equipo de respuesta a incidentes.
- Infraestructura cloud (riesgos de terceros Art. 28 DORA): errores de configuración IAM en AWS/Azure/GCP, permisos de S3 Bucket, cuentas de almacenamiento expuestas, funciones serverless no seguras.
- Registro y monitorización (Art. 10 DORA): verificación de que las actividades de ataque son detectadas por el SIEM/SOAR — principio «detectar lo que hacemos» como prueba DORA.
Ejemplo de hallazgo
Flujo OAuth2 inseguro en la pasarela API Open Banking (violación FAPI)
La pasarela API Open Banking implementa el flujo OAuth2 Authorization Code sin PKCE (Proof Key for Code Exchange, RFC 7636). Un atacante en posición de man-in-the-middle puede interceptar el código de autorización desde la URL de redirección del navegador e intercambiarlo por un token de acceso sin poseer el code_verifier. Además, la pasarela no valida el parámetro «state», lo que permite un ataque Cross-Site Request Forgery durante la inicialización de OAuth. La pasarela procesa más de 50.000 transacciones PSD2 al día; un token comprometido permite el acceso completo de lectura a los datos de cuenta y a los pagos iniciados. Esta vulnerabilidad ha sido explotada activamente en entornos similares, como documenta CVE-2022-21449 (ECDSA Psychic Signatures) en implementaciones Java.
Corrección: Implementar PKCE (RFC 7636) como requisito obligatorio para todos los flujos OAuth2 (incluido el lado servidor, en defensa en profundidad). Validar el parámetro «state» en cada solicitud de autorización. Migrar hacia el perfil de seguridad Financial-grade API (FAPI 2.0, OpenID Foundation) como mejor práctica para Open Banking. Rotación de tokens tras cada uso, duración breve de los tokens de acceso (máximo 5 minutos), tokens de refresco solo con rotación. Documentar el protocolo de prueba de penetración conforme al Art. 24 §7 DORA.
Referencia: CVE-2022-21449 (ECDSA Psychic Signatures, Java) · OWASP API2:2023 Broken Authentication · RFC 7636 PKCE · DORA Art. 24 §2 · PSD2 RTS sobre SCA (UE) 2018/389 Art. 9
Pentest DORA: comparación de opciones
| — | Escaneo gratuito | Matproof Sentinel | Consultoría tradicional |
|---|---|---|---|
| Motor de escaneo automatizado | ✓ (vista previa 3 min) | ✓ Escaneo completo | ✗ Solo manual |
| Cobertura OWASP Top 10 | Parcial | ✓ Completa | ✓ Completa |
| Evidencia proof-of-exploit | ✗ | ✓ Por hallazgo | ✓ Por hallazgo |
| Mapeo normativo (DORA/NIS2/ISO 27001) | ✗ | ✓ Automatizado | ✓ Manual |
| Informe PDF listo para auditoría | ✗ | ✓ Inmediato | ✓ Entrega 2–4 semanas |
| Escaneos continuos / recurrentes | ✗ | ✓ Por despliegue | ✗ Encargo anual |
| Tiempo hasta el primer resultado | ~3 min | ~30 min escaneo completo | 2–4 semanas |
| Precio | €0 | Desde €149 | €8.000–€25.000 |
| Revisión de código fuente (SAST) | ✗ | ✓ Plan Growth | ✓ En alcance |
| Pruebas de API (REST/GraphQL) | ✗ | ✓ Automatizado | ✓ Manual |
Ofertas de pentest conformes con DORA
- 1 escaneo pentest completo
- Hallazgos priorizados por IA con CVSS 3.1
- Proof-of-exploit por hallazgo
- Informe PDF listo para auditoría
- Mapeo normativo (DORA, NIS2, ISO 27001)
- Escaneos ilimitados (hasta 3 dominios)
- Monitorización continua
- Integración CI/CD (GitHub, GitLab)
- Todos los mapeos normativos
- Soporte prioritario
- Escaneos + dominios ilimitados
- Pruebas autenticadas / White-Box
- Pruebas de API e infraestructura cloud
- Account manager de seguridad dedicado
- SLA de respuesta en 24h
Preguntas frecuentes sobre la prueba de penetración DORA en España
¿Qué entidades están sujetas a la obligación de prueba de penetración DORA Art. 24 en España?
El Art. 2 DORA define el ámbito de aplicación: entidades de crédito, entidades de pago, entidades de dinero electrónico, empresas de servicios de inversión, empresas de seguros, agencias de calificación crediticia, repositorios de transacciones, plataformas de negociación, proveedores de servicios de criptoactivos (MiCA), servicios de información y proveedores terceros críticos de servicios TIC. En España, la supervisión la ejercen el Banco de España para las entidades de crédito y de pago, la CNMV para las empresas de servicios de inversión y la DGSFP para las aseguradoras. Las pymes (Art. 3 DORA) están sujetas a requisitos simplificados, pero el principio de pruebas técnicas regulares se aplica también a ellas.
¿Cuál es la diferencia entre el pentest DORA Art. 24 y el TLPT del Art. 26?
El Art. 24 prescribe pruebas de penetración generales para todas las entidades financieras afectadas — la frecuencia, el perímetro y la profundidad se basan en el riesgo, pero debe existir un informe de prueba de penetración documentado. El Art. 26 TLPT es un requisito adicional reservado a las entidades «significativas» (bancos sistémicos, aseguradoras importantes): al menos cada tres años, una prueba Red Team completa en la que un proveedor acreditado derive su metodología de un análisis real de la amenaza y ataque sin previo aviso. Un TLPT cuesta generalmente entre 80.000 € y 250.000 €; un pentest DORA estándar es realizable con una plataforma de pentest IA como Matproof Sentinel o un proveedor especializado (8.000 € - 25.000 €).
¿Con qué frecuencia debe realizarse un pentest DORA?
DORA no impone una frecuencia fija — el Art. 24 §1 habla de «regularmente». La interpretación del Banco de España y las directrices EBA prevén en general pruebas al menos anuales para los sistemas críticos y tras cambios sustanciales. El Art. 26 TLPT impone explícitamente al menos cada tres años para las entidades afectadas. Recomendación: pentest anual completo + escaneo continuo (mediante Matproof Sentinel) tras cada versión principal.
¿Qué debe contener el informe de pentest DORA?
El Art. 24 §7 DORA exige: documentación del perímetro (qué sistemas se han probado), metodología utilizada, vulnerabilidades identificadas con nivel de gravedad, recomendaciones de remediación y estado (corregido / en curso / aceptado). El Banco de España recomienda además: cualificación del tester (OSCP/CREST o equivalente), referencia metodológica utilizada (PTES, OWASP Testing Guide), prueba de explotación para los hallazgos críticos y altos. Matproof Sentinel genera automáticamente todos estos elementos en el informe PDF.
¿Puede Matproof Sentinel sustituir la prueba TLPT DORA Art. 26?
No — el TLPT DORA Art. 26 exige, para las entidades de importancia sistémica, un proveedor Red Team acreditado por el Banco de España / el BCE. Matproof Sentinel es una plataforma de pentest asistida por IA perfectamente adecuada para el pentest DORA Art. 24 estándar, la preparación al TLPT (análisis de brechas, línea base de vulnerabilidades) y las pruebas de seguridad continuas entre los ciclos TLPT. Para el TLPT, orientamos con gusto hacia partners acreditados.
¿Qué sanciones arriesga una entidad financiera que no puede demostrar un pentest DORA?
El Banco de España, la CNMV y el BCE pueden imponer sanciones de hasta el 1 % del volumen de negocios diario mundial en caso de incumplimiento de los requisitos DORA (Art. 50 DORA). En caso de infracciones reiteradas o graves, es posible también la suspensión de la actividad. Además, la dirección responde personalmente (Art. 5 DORA). En la práctica, la ausencia de pruebas de penetración documentadas durante las inspecciones prudenciales se califica como incumplimiento significativo, con las consiguientes obligaciones de conformidad y justificación.
¿Deben los proveedores TIC terceros (cloud, SaaS) realizar también pentest DORA?
Directamente: sí, si son designados «proveedores terceros críticos de servicios TIC» en virtud del Art. 31 DORA (designación por parte de EBA/ESMA/EIOPA). En ese caso, están directamente sujetos a la supervisión DORA. Indirectamente: todos los demás proveedores TIC terceros deben cumplir requisitos mínimos de seguridad a través de cláusulas contractuales (Art. 30 DORA) que pueden incluir pruebas de penetración. La entidad financiera debe asegurarse conforme al Art. 28 DORA de que sus proveedores terceros críticos realicen pruebas de seguridad adecuadas.
¿Cómo se articulan DORA y NIS2 para las entidades financieras españolas?
DORA es una norma sectorial especial para las entidades financieras y prevalece sobre NIS2 como lex specialis. En España, NIS2 fue transpuesta mediante el Real Decreto-ley 12/2018 y su normativa de desarrollo (actualmente en revisión conforme a la Directiva NIS2 2022/2555), que se aplica en general a las entidades esenciales e importantes en sectores críticos, pero el Art. 4 de la Directiva NIS2 precisa que el derecho sectorial europeo (como DORA) prevalece. Las empresas sujetas tanto a DORA como a NIS2 solo deben cumplir con DORA — el regulador considera que el cumplimiento de DORA cubre íntegramente NIS2.
Profundiza — artículos relacionados del blog
Inicie hoy su pentest conforme a DORA
Obtenga una primera evaluación de su postura de seguridad TIC en 3 minutos — sin registro, sin compromiso. El pentest completo Matproof Sentinel genera un informe listo para auditoría que satisface los requisitos del Art. 24 §7 DORA. Para el TLPT Art. 26, le ponemos en contacto con partners acreditados por el Banco de España.
Iniciar el pentest DORA