TIBER-EU / TIBER-ES España: Marco de Pruebas de Penetración Basadas en Inteligencia de Amenazas
TIBER-EU (Threat Intelligence-Based Ethical Red Teaming) es el marco del Banco Central Europeo (BCE) para pruebas de penetración basadas en inteligencia de amenazas reales, diseñado para las infraestructuras financieras críticas de la Unión Europea. España ha implementado TIBER-EU como TIBER-ES bajo la coordinación del Banco de España, siendo la autoridad española de referencia para la acreditación de proveedores Red Team y la supervisión de estas pruebas en el sector financiero nacional. Con la entrada en vigor de DORA, el Art. 26 convierte el TLPT (Threat-Led Penetration Testing) — cuya implementación de referencia en la UE es TIBER-EU — en obligatorio para las entidades financieras de importancia sistémica. Esta guía explica el marco TIBER-ES, qué entidades están obligadas, cómo se estructura una prueba TIBER-ES y cuáles son los pasos para la acreditación de proveedores.
Por qué TIBER-ES y DORA Art. 26 son fundamentales para las entidades financieras españolas
El marco TIBER-EU, publicado por el BCE en 2018 y actualizado en 2022, define el estándar europeo para las pruebas de penetración de alta complejidad en infraestructuras financieras críticas. A diferencia de los pentests convencionales, TIBER-EU requiere que el proveedor Red Team utilice inteligencia de amenazas real y actualizada sobre el entorno de la entidad específica para diseñar los escenarios de ataque. Con DORA Art. 26, los TLPT se convierten en obligatorios para las entidades de importancia sistémica al menos cada tres años. El Banco de España coordina TIBER-ES y establece los criterios de acreditación para los proveedores Red Team autorizados a realizar pruebas TIBER-ES en España. Las entidades que no pueden demostrar el cumplimiento del TLPT ante el Banco de España o el BCE se exponen a sanciones significativas conforme al Art. 50 DORA y a medidas supervisoras adicionales. Más allá de la obligación regulatoria, TIBER-ES proporciona información de valor estratégico: los escenarios de ataque diseñados a partir de inteligencia real revelan vulnerabilidades que los pentests convencionales no detectan.
- DORA Art. 26 §1: obligación TLPT para entidades financieras de importancia sistémica — al menos cada tres años, una prueba de penetración basada en amenazas coordinada con la autoridad competente, utilizando el marco TIBER-EU como referencia principal en la UE.
- Marco TIBER-ES: implementación española de TIBER-EU coordinada por el Banco de España — define los criterios de acreditación de proveedores Red Team, los requisitos de inteligencia de amenazas (Threat Intelligence Provider, TIP), la metodología de prueba y los procedimientos de reporte.
- TIBER-EU tres fases: Preparación (scoping, mandato, selección de proveedores acreditados), Prueba (recopilación de inteligencia de amenazas + ejecución Red Team coordinada) y Cierre (informe consolidado, plan de remediación, revisión supervisora).
- DORA Art. 26 §2: los resultados del TLPT deben ser compartidos con la autoridad competente (Banco de España / BCE) — solo los proveedores acreditados pueden llevar a cabo TLPT con reconocimiento regulatorio.
- Coordinación transfronteriza (DORA Art. 26 §8): para los grupos financieros que operan en múltiples jurisdicciones de la UE, el BCE puede organizar TLPT conjuntos utilizando el marco TIBER-EU — resultado reconocido por múltiples supervisores nacionales simultáneamente.
- TIBER-EU Intelligence-Led: a diferencia de los pentests convencionales basados en herramientas automatizadas, TIBER-ES requiere un Threat Intelligence Provider (TIP) acreditado que elabore un informe de inteligencia de amenazas sobre los actores de amenaza específicos del sector y la entidad evaluada.
- Protección de la confidencialidad (TIBER-EU): el marco incluye protocolos estrictos de confidencialidad — solo el equipo de dirección (White Team) conoce que se está realizando la prueba; las operaciones del Red Team no son reveladas al equipo de seguridad (Blue Team) para evaluar capacidades reales de detección y respuesta.
Cómo se estructura una prueba TIBER-ES y qué cubre
- Definición del perímetro (scoping TIBER-ES): identificación de las funciones críticas de la entidad (Critical Functions, CF) — sistemas de pagos, infraestructuras de liquidación, plataformas de negociación, sistemas de gestión de garantías — conforme a las directrices TIBER-EU de scoping.
- Inteligencia de amenazas específica (Threat Intelligence, TI): el TIP acreditado elabora un informe de amenazas adaptado al perfil de la entidad — actores de amenaza conocidos del sector financiero español y europeo, TTP (tácticas, técnicas y procedimientos) actualizadas según el marco MITRE ATT&CK.
- Reconocimiento externo e OSINT: recopilación de información sobre la superficie de ataque externa de la entidad — subdominios, tecnologías expuestas, credenciales filtradas (p. ej. mediante servicios de threat intelligence), información en redes sociales y foros de actores maliciosos.
- Phishing e ingeniería social dirigida: campañas de phishing basadas en la inteligencia de amenazas recopilada — simulación de las TTP reales de actores de amenaza identificados en el informe TI, sin previo aviso al equipo Blue Team.
- Explotación de la infraestructura perimetral: prueba de vulnerabilidades en sistemas expuestos a Internet — aplicaciones web, VPNs, APIs, portales de gestión — CVE-2023-46805 (Ivanti Connect Secure authentication bypass), CVE-2024-21887 (Ivanti command injection).
- Movimiento lateral y escalada de privilegios internos: simulación de post-explotación tras el acceso inicial — movimiento lateral en Active Directory, escalada de privilegios, acceso a sistemas de pago y liquidación, CVE-2021-34527 (PrintNightmare Windows Print Spooler RCE).
- Persistencia y exfiltración de datos simulada: prueba de la capacidad de los controles de detección para identificar actividad de persistencia (backdoors, tareas programadas maliciosas) y exfiltración de datos hacia infraestructura de C2 externa.
- Evaluación de capacidades Blue Team (Purple Team): revisión coordinada de los logs generados durante la prueba Red Team para evaluar qué actividades fueron detectadas, alertadas y respondidas por el equipo de seguridad — plan de mejora de capacidades SOC.
- Informe TIBER-ES y revisión supervisora: elaboración del informe consolidado (Generic Intelligence-Led Testing Report, GILT) para presentación al Banco de España / BCE, incluyendo hallazgos, evidencias, plan de remediación y medidas correctoras ya implementadas.
- Preparación para TIBER-ES con Matproof Sentinel: Matproof Sentinel puede utilizarse como herramienta de pre-TIBER para identificar y remediar vulnerabilidades básicas antes de la prueba TIBER-ES — mejorando la eficiencia de la inversión y el resultado de la prueba.
Ejemplo de hallazgo
Escalada de privilegios en Active Directory mediante abuso de delegación Kerberos sin restricciones
Durante la fase de movimiento lateral del ejercicio Red Team TIBER-ES, se identificó que un servidor de aplicaciones con acceso a sistemas de pagos tiene habilitada la delegación Kerberos sin restricciones (Unconstrained Kerberos Delegation). Un atacante que comprometa este servidor puede extraer los tickets Kerberos TGT de todos los usuarios autenticados en el servidor, incluyendo cuentas de administrador de dominio. Mediante el ataque «Pass-the-Ticket», el atacante puede autenticarse como administrador de dominio y acceder a los sistemas de liquidación de pagos sin necesidad de conocer las credenciales. Este vector de ataque corresponde a las TTP documentadas del grupo APT conocido en el sector financiero europeo. CVE-2020-17049 (Kerberos Bronze Bit attack) documenta una variante relacionada. El impacto potencial es la toma de control total del dominio Active Directory y el acceso a los sistemas críticos de la entidad.
Corrección: Deshabilitar la delegación Kerberos sin restricciones en todos los servidores que no la requieran estrictamente. Para los servidores que sí la requieran, migrar a delegación restringida basada en recursos (Resource-Based Constrained Delegation, RBCD) con la lista mínima de servicios permitidos. Habilitar el atributo «Este equipo es confidencial y no puede ser delegado» (Protected Users Security Group) para todas las cuentas de administrador de dominio y cuentas de servicio críticas. Implementar monitorización de anomalías en solicitudes TGT (Windows Event ID 4769). Revisar y remediar todos los servidores con delegación sin restricciones en el inventario de Active Directory conforme al plan de remediación TIBER-ES.
Referencia: CVE-2020-17049 (Kerberos Bronze Bit) · MITRE ATT&CK T1558.001 (Steal or Forge Kerberos Tickets: Golden Ticket) · MITRE ATT&CK T1134.001 (Access Token Manipulation) · DORA Art. 26 §3 (TLPT scope) · TIBER-EU Framework v2.0 §4.3 (Targeted Threat Intelligence)
TIBER-ES vs otras modalidades de pentest: comparación
| — | Escaneo gratuito | Matproof Sentinel | Consultoría tradicional |
|---|---|---|---|
| Motor de escaneo automatizado | ✓ (vista previa 3 min) | ✓ Escaneo completo | ✗ Solo manual |
| Cobertura OWASP Top 10 | Parcial | ✓ Completa | ✓ Completa |
| Evidencia proof-of-exploit | ✗ | ✓ Por hallazgo | ✓ Por hallazgo |
| Mapeo normativo (DORA/NIS2/ISO 27001) | ✗ | ✓ Automatizado | ✓ Manual |
| Informe PDF listo para auditoría | ✗ | ✓ Inmediato | ✓ Entrega 2–4 semanas |
| Escaneos continuos / recurrentes | ✗ | ✓ Por despliegue | ✗ Encargo anual |
| Tiempo hasta el primer resultado | ~3 min | ~30 min escaneo completo | 2–4 semanas |
| Precio | €0 | Desde €149 | €8.000–€25.000 |
| Revisión de código fuente (SAST) | ✗ | ✓ Plan Growth | ✓ En alcance |
| Pruebas de API (REST/GraphQL) | ✗ | ✓ Automatizado | ✓ Manual |
Preparación para TIBER-ES y pentest DORA Art. 24
- 1 escaneo pentest completo
- Hallazgos priorizados por IA con CVSS 3.1
- Proof-of-exploit por hallazgo
- Informe PDF listo para auditoría
- Mapeo normativo (DORA, NIS2, ISO 27001)
- Escaneos ilimitados (hasta 3 dominios)
- Monitorización continua
- Integración CI/CD (GitHub, GitLab)
- Todos los mapeos normativos
- Soporte prioritario
- Escaneos + dominios ilimitados
- Pruebas autenticadas / White-Box
- Pruebas de API e infraestructura cloud
- Account manager de seguridad dedicado
- SLA de respuesta en 24h
Preguntas frecuentes sobre TIBER-EU / TIBER-ES en España
¿Qué es TIBER-ES y cómo se relaciona con TIBER-EU?
TIBER-ES es la implementación nacional española del marco TIBER-EU del BCE para pruebas de penetración basadas en inteligencia de amenazas en infraestructuras financieras críticas. El Banco de España coordina TIBER-ES y establece los criterios específicos de acreditación para los proveedores Red Team (Red Team Provider, RTP) y los proveedores de inteligencia de amenazas (Threat Intelligence Provider, TIP) autorizados a operar en España. TIBER-ES sigue la estructura de tres fases de TIBER-EU y garantiza que los resultados de la prueba sean reconocidos por el Banco de España y el BCE como evidencia de cumplimiento del Art. 26 DORA.
¿Qué entidades financieras españolas están obligadas a realizar TIBER-ES / TLPT?
El Art. 26 DORA establece que las autoridades competentes (Banco de España, CNMV, DGSFP) designan qué entidades financieras deben realizar TLPT teniendo en cuenta criterios de importancia sistémica, tamaño, interconexión e impacto potencial en la estabilidad financiera. En España, los bancos sistémicos nacionales (SIFI nacionales), los principales grupos de seguros y las infraestructuras de mercados financieros de importancia sistémica son los candidatos principales. El Banco de España comunica individualmente a las entidades designadas su obligación de realizar TLPT.
¿Cuánto cuesta una prueba TIBER-ES completa?
Una prueba TIBER-ES completa, incluyendo el proveedor de inteligencia de amenazas (TIP) acreditado y el equipo Red Team (RTP) acreditado, tiene un coste que oscila típicamente entre 150.000 € y 400.000 €, dependiendo del alcance del perímetro, la complejidad de los sistemas evaluados y la duración de la fase de prueba (habitualmente 10-14 semanas para la fase activa). Para la fase de preparación TIBER-ES — análisis de brechas, remediación de vulnerabilidades básicas — Matproof Sentinel ofrece una alternativa coste-eficiente desde 149 €.
¿Puede Matproof Sentinel preparar a una entidad para una prueba TIBER-ES?
Sí — Matproof Sentinel es una excelente herramienta de preparación pre-TIBER-ES. Permite identificar y remediar las vulnerabilidades técnicas básicas antes de la prueba TIBER-ES, lo que mejora la eficiencia de la inversión (el Red Team acreditado puede concentrarse en vectores de ataque avanzados en lugar de vulnerabilidades técnicas básicas) y el resultado de la prueba. Sin embargo, Matproof Sentinel no sustituye al TLPT TIBER-ES DORA Art. 26, que requiere proveedores específicamente acreditados por el Banco de España.
¿Cómo se coordinan los TLPT TIBER-EU para grupos financieros que operan en múltiples países de la UE?
El Art. 26 §8 DORA establece que el BCE puede coordinar TLPT conjuntos para grupos financieros transfronterizos, utilizando el marco TIBER-EU como referencia. En estos casos, un único TLPT puede ser reconocido simultáneamente por múltiples autoridades nacionales competentes (Banco de España, Banca d'Italia, DNB, BaFin, etc.), evitando la necesidad de pruebas separadas en cada jurisdicción. El proceso de coordinación lo gestiona el BCE en colaboración con los bancos centrales nacionales.
¿Qué diferencia a un Red Team TIBER-ES de un pentest convencional?
Las diferencias fundamentales son: (1) Inteligencia de amenazas real: TIBER-ES requiere un TIP acreditado que elabore un informe sobre los actores de amenaza específicos del sector y la entidad — no se trata de una metodología genérica, sino de escenarios basados en amenazas reales. (2) Confidencialidad operacional: solo el White Team (dirección y función de auditoría interna) conoce la prueba; el Blue Team (SOC, CISO operativo) no es informado previamente, lo que evalúa las capacidades reales de detección. (3) Alcance funcional crítico: el scoping se centra en las funciones críticas de la entidad, no en toda la infraestructura. (4) Reconocimiento regulatorio: solo los TLPT realizados por proveedores acreditados tienen reconocimiento como evidencia de cumplimiento DORA Art. 26.
¿Cómo se acreditan los proveedores Red Team para TIBER-ES?
El Banco de España mantiene el proceso de acreditación de proveedores Red Team (RTP) y de inteligencia de amenazas (TIP) para TIBER-ES. Los criterios de acreditación siguen las directrices del marco TIBER-EU e incluyen: experiencia demostrable en ejercicios Red Team de alta complejidad en infraestructuras financieras, certificaciones técnicas del personal (OSCP, CREST CCSAS, TIBER-EU certificado), independencia e imparcialidad respecto a la entidad evaluada, y capacidad de gestión de la confidencialidad. La lista de proveedores acreditados es gestionada y publicada por el Banco de España.
¿Cómo afecta TIBER-ES a las entidades financieras no sistémicas?
Las entidades financieras no designadas como sistémicas por el Banco de España no están obligadas a realizar TLPT TIBER-ES conforme al Art. 26 DORA. Sin embargo, el Art. 24 DORA les obliga a pruebas de penetración regulares basadas en riesgo. Muchas entidades no sistémicas adoptan voluntariamente elementos del marco TIBER-ES para sus pruebas de penetración anuales — en particular, la incorporación de inteligencia de amenazas en el diseño de escenarios de ataque — lo que mejora significativamente la calidad y relevancia de las pruebas.
Profundiza — artículos relacionados del blog
Prepare su entidad para TIBER-ES y DORA Art. 24
Matproof Sentinel es la plataforma de preparación pre-TIBER-ES más eficiente: identifique y remedie vulnerabilidades técnicas antes de su prueba TIBER-ES, mejore su postura de seguridad continua entre ciclos TLPT y genere informes conformes al Art. 24 §7 DORA. Para el TLPT Art. 26, le conectamos con proveedores acreditados por el Banco de España.
Iniciar el escaneo de preparación