TLPT España: Threat-Led Penetration Testing según DORA Art. 26 para Entidades Financieras Sistémicas
El Threat-Led Penetration Testing (TLPT) es la modalidad de prueba de penetración más exigente del marco regulatorio europeo para el sector financiero. El Art. 26 del Reglamento DORA (Reglamento (UE) 2022/2554) establece la obligación de realizar TLPT para las entidades financieras de importancia sistémica al menos cada tres años. En España, el Banco de España designa las entidades obligadas, acredita a los proveedores autorizados y coordina las pruebas con el BCE para los grupos transfronterizos. El marco de referencia para los TLPT en la UE es TIBER-EU, implementado en España como TIBER-ES. Esta guía explica en detalle qué es un TLPT, quién está obligado, cuáles son los criterios de designación del Banco de España, cómo se estructura la prueba y cuál es la diferencia fundamental con un pentest estándar conforme al Art. 24 DORA.
Por qué el TLPT DORA Art. 26 es el estándar más exigente del sector financiero
El TLPT no es un pentest convencional automatizado ni una revisión de vulnerabilidades: es un ejercicio Red Team de alta complejidad en el que un equipo de atacantes expertos, utilizando inteligencia de amenazas real y actualizada, intenta comprometer las funciones críticas de una entidad financiera sin restricciones de alcance previas más allá del perímetro acordado. El Art. 26 §2 DORA especifica que el TLPT debe basarse en «inteligencia de amenazas específica», lo que implica la participación de un proveedor de inteligencia de amenazas (TIP) acreditado que elabore un informe sobre los actores de amenaza, las TTP y los vectores de ataque específicamente relevantes para la entidad. La implementación española del TLPT — TIBER-ES — sigue la estructura de tres fases del marco TIBER-EU: Preparación, Prueba y Cierre. El resultado de un TLPT conforme a DORA Art. 26 proporciona evidencia regulatoria de alto valor ante el Banco de España y el BCE, mientras que los resultados de un pentest estándar Art. 24 tienen un alcance regulatorio diferente y más limitado. La inversión en un TLPT — entre 150.000 € y 400.000 € — se justifica por la obligación regulatoria, la profundidad de los hallazgos y el reconocimiento supervisorio resultante.
- DORA Art. 26 §1: obligación TLPT para entidades financieras «que sean significativas» designadas por la autoridad competente — la designación se basa en criterios de importancia sistémica, no en el tamaño absoluto de la entidad.
- DORA Art. 26 §2: requisito de inteligencia de amenazas «específica y pertinente» — el TLPT debe basarse en un análisis real de amenazas, no en una metodología genérica; requiere un TIP acreditado.
- DORA Art. 26 §3 y §4: el equipo Red Team debe ser externo y acreditado por la autoridad competente (Banco de España); los proveedores internos solo pueden participar si se cumplen condiciones específicas de independencia.
- DORA Art. 26 §5: el TLPT debe cubrir las «funciones esenciales y los activos críticos» de la entidad — el scoping se realiza en coordinación con la autoridad competente para garantizar la adecuada cobertura.
- DORA Art. 26 §7: los resultados del TLPT deben ser validados por la autoridad competente — el informe final se presenta al Banco de España / BCE, que pueden requerir pruebas adicionales o medidas de remediación.
- Frecuencia mínima DORA Art. 26 §1: al menos cada tres años para las entidades designadas — en la práctica, muchas entidades sistémicas realizan TLPT con mayor frecuencia para operaciones de alta criticidad.
- TIBER-EU como marco de referencia: el BCE designa TIBER-EU como el marco para los TLPT en la UE — TIBER-ES es la implementación española, con el Banco de España como autoridad coordinadora nacional.
Qué cubre un TLPT DORA Art. 26 y cómo se diferencia del pentest estándar
- Definición de funciones críticas (Critical Functions Mapping): identificación rigurosa de las funciones y activos críticos de la entidad conforme a las directrices TIBER-ES — sistemas de pagos, infraestructuras de liquidación, plataformas de negociación de alta frecuencia, sistemas de gestión de garantías, procesos de corresponsalía bancaria.
- Informe de inteligencia de amenazas (Targeted Threat Intelligence, TTI): elaborado por un TIP acreditado por el Banco de España — análisis de actores de amenaza específicos del sector financiero español y europeo, campañas activas, vulnerabilidades explotadas en el sector (p. ej. campañas de grupos APT dirigidas a bancos europeos).
- Reconocimiento avanzado y enumeración de la superficie de ataque: OSINT avanzado, escaneo de activos expuestos, enumeración de credenciales filtradas en dark web, análisis de tecnologías identificadas mediante inteligencia de fuentes abiertas.
- Ingeniería social avanzada basada en TTP reales: campañas de phishing y spear-phishing diseñadas específicamente a partir del informe de inteligencia de amenazas, sin notificación previa al Blue Team — evaluación real de la concienciación del personal y los controles técnicos de detección.
- Explotación de vulnerabilidades en infraestructura perimetral: explotación de CVE activos en tecnologías específicas identificadas durante el reconocimiento — CVE-2024-21762 (Fortinet SSL-VPN out-of-bound write), CVE-2023-46805 (Ivanti Connect Secure authentication bypass).
- Post-explotación y movimiento lateral: escalada de privilegios en Active Directory, abuso de relaciones de confianza entre dominios, acceso a sistemas de pago y liquidación, exfiltración simulada de datos críticos — simulación de la cadena de ataque completa (kill chain) de actores APT.
- Evaluación de capacidades de detección y respuesta: análisis forense de los logs generados durante el ejercicio Red Team — evaluación de la cobertura del SIEM, tiempos de detección, tiempos de respuesta, capacidad de contención del SOC.
- Ejercicio Purple Team post-TLPT: sesión estructurada de revisión conjunta Red Team / Blue Team — análisis de los ataques ejecutados versus los detectados, identificación de brechas en la cobertura de detección, plan de mejora de capacidades SOC.
- Informe TLPT y presentación regulatoria: elaboración del informe consolidado conforme a las directrices TIBER-EU GILT (Generic Intelligence-Led Testing Report) y presentación formal al Banco de España — validación supervisora del proceso y los resultados.
- Plan de remediación con seguimiento supervisorio: el Banco de España puede requerir evidencia de remediación de hallazgos críticos — Matproof Sentinel puede utilizarse para validar técnicamente la remediación entre ciclos TLPT.
Ejemplo de hallazgo
Compromiso total de infraestructura de pagos mediante cadena de explotación APT simulada
Durante el ejercicio TLPT basado en un escenario de APT financiero, el equipo Red Team logró comprometer la infraestructura de procesamiento de pagos SWIFT en cuatro fases: (1) Acceso inicial mediante phishing dirigido a un operador del sistema de pagos, utilizando un documento señuelo con CVE-2023-36884 (Microsoft Office Remote Code Execution — explotado activamente por Storm-0978 / DEV-0978 en campañas financieras documentadas). (2) Escalada de privilegios mediante abuso de Kerberoasting en una cuenta de servicio con SPN registrado y contraseña débil. (3) Movimiento lateral al segmento de red SWIFT mediante explotación de una regla de cortafuegos permisiva no documentada. (4) Acceso al sistema de mensajería SWIFT Alliance Access con permisos de operador — el equipo Red Team demostró la capacidad técnica de iniciar transferencias no autorizadas. El Blue Team no detectó ninguna de las cuatro fases durante los 18 días de duración del ejercicio.
Corrección: Implementar segmentación de red estricta entre el segmento de usuarios y el segmento SWIFT conforme a SWIFT CSP CSCF v2024 Control 1.1 (Restricción del entorno Internet). Revisar y endurecer todas las cuentas de servicio con SPN registrado: contraseñas largas y aleatorias (mínimo 25 caracteres), Managed Service Accounts donde sea posible. Implementar detección de Kerberoasting en el SIEM (Windows Event ID 4769 con RC4 encryption type). Realizar una revisión completa de las reglas de cortafuegos entre segmentos de red. Implementar protecciones antiphishing avanzadas (sandboxing de adjuntos, verificación de URLs). Documentar y presentar el plan de remediación al Banco de España conforme al proceso TIBER-ES.
Referencia: CVE-2023-36884 (Microsoft Office RCE, explotado por Storm-0978) · MITRE ATT&CK T1566.001 (Phishing: Spearphishing Attachment) · MITRE ATT&CK T1558.003 (Kerberoasting) · SWIFT CSP CSCF v2024 Control 1.1 · DORA Art. 26 §5 (TLPT critical functions scope)
TLPT vs pentest estándar DORA Art. 24: diferencias clave
| — | Escaneo gratuito | Matproof Sentinel | Consultoría tradicional |
|---|---|---|---|
| Motor de escaneo automatizado | ✓ (vista previa 3 min) | ✓ Escaneo completo | ✗ Solo manual |
| Cobertura OWASP Top 10 | Parcial | ✓ Completa | ✓ Completa |
| Evidencia proof-of-exploit | ✗ | ✓ Por hallazgo | ✓ Por hallazgo |
| Mapeo normativo (DORA/NIS2/ISO 27001) | ✗ | ✓ Automatizado | ✓ Manual |
| Informe PDF listo para auditoría | ✗ | ✓ Inmediato | ✓ Entrega 2–4 semanas |
| Escaneos continuos / recurrentes | ✗ | ✓ Por despliegue | ✗ Encargo anual |
| Tiempo hasta el primer resultado | ~3 min | ~30 min escaneo completo | 2–4 semanas |
| Precio | €0 | Desde €149 | €8.000–€25.000 |
| Revisión de código fuente (SAST) | ✗ | ✓ Plan Growth | ✓ En alcance |
| Pruebas de API (REST/GraphQL) | ✗ | ✓ Automatizado | ✓ Manual |
Preparación para TLPT y pentest DORA Art. 24
- 1 escaneo pentest completo
- Hallazgos priorizados por IA con CVSS 3.1
- Proof-of-exploit por hallazgo
- Informe PDF listo para auditoría
- Mapeo normativo (DORA, NIS2, ISO 27001)
- Escaneos ilimitados (hasta 3 dominios)
- Monitorización continua
- Integración CI/CD (GitHub, GitLab)
- Todos los mapeos normativos
- Soporte prioritario
- Escaneos + dominios ilimitados
- Pruebas autenticadas / White-Box
- Pruebas de API e infraestructura cloud
- Account manager de seguridad dedicado
- SLA de respuesta en 24h
Preguntas frecuentes sobre el TLPT DORA Art. 26 en España
¿Qué es exactamente un TLPT y en qué se diferencia de un pentest estándar?
Un TLPT (Threat-Led Penetration Testing) es un ejercicio Red Team de alta complejidad en el que un equipo de atacantes expertos, utilizando inteligencia de amenazas real sobre los actores y TTP específicamente relevantes para la entidad, intenta comprometer sus funciones críticas en condiciones realistas y sin notificación previa al equipo de seguridad. Las diferencias fundamentales con un pentest estándar son: (1) El uso de inteligencia de amenazas real y personalizada (no una metodología genérica). (2) La confidencialidad operacional (el Blue Team no sabe que se está realizando la prueba). (3) El alcance centrado en funciones críticas. (4) El reconocimiento regulatorio específico conforme al Art. 26 DORA. (5) La participación de proveedores acreditados. Un pentest estándar Art. 24 DORA tiene menor complejidad y coste, pero también menor reconocimiento regulatorio para entidades sistémicas.
¿Cómo designa el Banco de España a las entidades obligadas a realizar TLPT?
El Banco de España designa las entidades obligadas a realizar TLPT conforme al Art. 26 §1 DORA, teniendo en cuenta criterios de importancia sistémica: el impacto potencial del fallo de la entidad en la estabilidad financiera, el nivel de interconexión con otras entidades, la participación en infraestructuras de mercado financiero, y el tamaño relativo en el sistema financiero español. El Banco de España comunica individualmente a las entidades designadas su obligación. La lista de entidades designadas no siempre es pública, pero en general incluye los bancos sistémicos nacionales (D-SII), los principales grupos aseguradores y las infraestructuras de mercados financieros.
¿Con qué frecuencia deben realizarse los TLPT DORA Art. 26?
El Art. 26 §1 DORA establece una frecuencia mínima de al menos una vez cada tres años para las entidades designadas. La autoridad competente puede requerir pruebas adicionales si se producen cambios significativos en la infraestructura crítica, incidentes de seguridad graves, o si los resultados del TLPT anterior revelaron vulnerabilidades sistémicas no completamente remediadas. En la práctica, muchas entidades sistémicas realizan ejercicios Red Team internos o Purple Team anuales entre los ciclos TLPT formales.
¿Puede una entidad no sistémica realizar voluntariamente un TLPT TIBER-ES?
Sí. El marco TIBER-ES está disponible voluntariamente para cualquier entidad financiera que desee realizar una prueba de penetración de alta complejidad conforme al estándar europeo, independientemente de si ha sido designada como sistémica. La realización voluntaria de un TLPT TIBER-ES, aunque no sea obligatoria para entidades no sistémicas, demuestra un nivel de madurez de ciberseguridad superior y puede ser valorada positivamente por el supervisor en el contexto de revisiones prudenciales.
¿Qué ocurre si el equipo Red Team consigue comprometer los sistemas críticos durante un TLPT?
El éxito del equipo Red Team en comprometer sistemas críticos es precisamente el objetivo del TLPT desde la perspectiva regulatoria — no es un fracaso, sino una evidencia de valor. El protocolo TIBER-ES establece salvaguardas estrictas: el White Team puede detener el ejercicio en cualquier momento si existe riesgo real para la continuidad operativa; los hallazgos se documentan y se transmiten al Banco de España junto con el plan de remediación. Un TLPT en el que el Red Team no consigue comprometer ningún sistema crítico puede indicar un alcance insuficiente o una metodología inadecuada, y el supervisor puede cuestionarlo.
¿Cómo se coordinan el TLPT y el SWIFT CSP para entidades que operan en la red SWIFT?
Las entidades que participan en la red SWIFT deben cumplir con el SWIFT Customer Security Programme (CSP) CSCF, que incluye controles de ciberseguridad específicos para el entorno SWIFT (controles mandatorios como 1.1 Restricción del entorno Internet, 5.1 Gestión de identidades y accesos lógicos). El TLPT TIBER-ES puede cubrir el entorno SWIFT como parte del scoping de funciones críticas — de hecho, el acceso a los sistemas SWIFT es uno de los escenarios de mayor impacto potencial en las pruebas de entidades de banca corresponsal. Los hallazgos relacionados con SWIFT deben ser remediados conforme al CSCF y reportados al programa de autoatestación SWIFT.
¿Cuánto tiempo dura un TLPT TIBER-ES completo?
Un TLPT TIBER-ES completo tiene una duración total típica de 4 a 6 meses, estructurada en tres fases: Preparación (6-8 semanas): scoping, selección y mandato de proveedores TIP y RTP, aprobación supervisora del perímetro. Prueba (10-14 semanas): elaboración del informe de inteligencia de amenazas por el TIP (4-6 semanas) y ejecución del ejercicio Red Team activo (6-8 semanas). Cierre (4-6 semanas): elaboración del informe consolidado, ejercicio Purple Team, presentación al supervisor, validación supervisora.
¿Qué documentación debe conservar una entidad tras un TLPT DORA Art. 26?
Conforme al Art. 26 §7 DORA, las entidades deben conservar: el informe final TLPT (Generic Intelligence-Led Testing Report, GILT) validado por el supervisor; el informe de inteligencia de amenazas (TTI) elaborado por el TIP; los acuerdos de confidencialidad con los proveedores; la evidencia del mandato y la acreditación de los proveedores RTP y TIP; el plan de remediación y el estado de implementación de las medidas correctoras. La autoridad competente puede solicitar acceso a esta documentación en cualquier momento durante el período de supervisión.
Profundiza — artículos relacionados del blog
Prepare su entidad para el TLPT DORA Art. 26
Antes de su TLPT TIBER-ES, optimice su postura de seguridad con Matproof Sentinel: identifique las vulnerabilidades técnicas básicas, valide su cobertura de detección y genere la documentación base para el proceso de scoping TIBER-ES. El equipo de Matproof le conecta con proveedores Red Team acreditados por el Banco de España para el TLPT formal.
Iniciar la preparación TLPT