En una frase. DORA exige a las entidades financieras un programa de pruebas de resiliencia operativa digital con dos niveles: pruebas básicas anuales para todas y pruebas de penetración basadas en amenazas (TLPT) cada tres años para las entidades más significativas, ejecutadas conforme al marco TIBER-EU y coordinadas en España por el Banco de España.
Las pruebas de resiliencia DORA trasladan una idea sencilla al plano regulatorio: no basta con protegerse, hay que demostrar que se resiste un ataque real. El Capítulo IV del reglamento distingue un suelo común de pruebas para todo el sector y un techo exigente —el TLPT— reservado a las entidades cuya caída tendría impacto sistémico. Esta guía explica ambos niveles, quién está obligado a cada uno y cómo se desarrolla un ejercicio TLPT.
Puntos clave
- El Capítulo IV de DORA (arts. 24 a 27) regula las pruebas de resiliencia operativa digital.
- Todas las entidades deben ejecutar un programa de pruebas anual con evaluaciones y análisis de vulnerabilidades.
- Las entidades significativas realizan TLPT (Threat-Led Penetration Testing) al menos cada tres años.
- El TLPT sigue el marco TIBER-EU, implementado en España como TIBER-ES por el Banco de España.
- Las pruebas se realizan sobre sistemas de producción que soportan funciones críticas, con probadores externos cualificados.
1. Los dos niveles de pruebas en DORA
El Reglamento (UE) 2022/2554 construye la resiliencia sobre la evidencia, no sobre la declaración. El art. 24 obliga a todas las entidades a mantener un programa de pruebas proporcionado al riesgo. El art. 25 detalla el catálogo básico:
- Evaluaciones y escaneos de vulnerabilidades.
- Análisis de código abierto y de la seguridad de la red.
- Revisiones de la seguridad física.
- Pruebas de penetración convencionales.
- Pruebas de compatibilidad, rendimiento y continuidad.
Estas pruebas básicas guardan un parentesco directo con la metodología de auditoría RGPD y con los controles de una certificación ISO 27001: son el higiene mínima de seguridad, ahora exigible por ley.
2. El TLPT: pruebas basadas en amenazas
Por encima del suelo común, el art. 26 impone el TLPT a las entidades identificadas por la autoridad competente como significativas por su perfil de riesgo y su impacto sistémico. El TLPT es una prueba de intrusión avanzada que simula las tácticas, técnicas y procedimientos de atacantes reales sobre los sistemas en producción que soportan funciones críticas.
| Dimensión | Pruebas básicas (art. 25) | TLPT (art. 26) |
|---|---|---|
| Obligadas | Todas las entidades | Entidades significativas designadas |
| Frecuencia | Anual (programa) | Al menos cada 3 años |
| Alcance | Sistemas y controles generales | Funciones críticas en producción |
| Ejecutores | Internos o externos | Probadores externos cualificados |
| Marco | Proporcionado al riesgo | TIBER-EU / TIBER-ES |
Los proveedores TIC que soportan las funciones sometidas a prueba también pueden verse involucrados, lo que conecta con la gestión del riesgo de terceros TIC.
3. TIBER-EU y TIBER-ES
El TLPT se apoya en el marco TIBER-EU (Threat Intelligence-Based Ethical Red Teaming), desarrollado por el Eurosistema. Cada país lo implementa a nivel nacional; en España, la implementación es TIBER-ES, coordinada por el Banco de España. El marco define roles, requisitos de los proveedores de inteligencia de amenazas y de red team, y los criterios de calidad del ejercicio, de modo que un TLPT sea reconocido de forma coherente en toda la UE.
4. Fases de un ejercicio TLPT
Un TLPT es un proyecto de varios meses con una estructura reconocible:
- Preparación: definición del alcance, funciones críticas incluidas, contratación de proveedores y designación del equipo de control interno (Control Team).
- Inteligencia de amenazas: elaboración de un informe de amenazas específico que fija los escenarios de ataque realistas para la entidad.
- Red teaming: el equipo externo ejecuta los ataques simulados contra los sistemas de producción, sin conocimiento del equipo defensor (Blue Team).
- Cierre: informe de resultados, replay técnico conjunto, plan de remediación y validación por la autoridad.
La exigencia de probar sobre producción distingue al TLPT de un pentest de laboratorio: mide la resiliencia real, no la teórica.
Conviene subrayar el papel del equipo de control interno (Control Team): un grupo reducido dentro de la entidad que conoce el ejercicio y lo supervisa para evitar daños, mientras el equipo defensor (Blue Team) permanece a ciegas. Esa asimetría es deliberada: solo si los defensores no saben que están siendo atacados se puede medir la capacidad real de detección y respuesta. Al cierre, el ejercicio incluye un replay técnico conjunto en el que atacantes y defensores reconstruyen paso a paso lo ocurrido, un momento de aprendizaje que suele ser más valioso que el propio informe de vulnerabilidades.
5. Cómo prepararse y documentarlo
Una entidad que llega al TLPT sin haber consolidado su gobierno de la resiliencia lo pasa mal. La recomendación práctica es escalonar: primero madurar el programa de pruebas básicas y la gestión de vulnerabilidades, integrar los hallazgos en un ciclo de remediación trazable y solo entonces afrontar el TLPT. Las plataformas de software de cumplimiento DORA ayudan a centralizar evidencias, planes de remediación y el vínculo entre pruebas, activos y funciones críticas. Coordinar estos ejercicios con el Esquema Nacional de Seguridad, cuando la entidad también le esté sujeta, evita duplicar esfuerzo.
Otro punto de eficiencia es aprovechar el alcance del TLPT para verificar los controles de los proveedores TIC que sostienen las funciones críticas probadas. DORA permite —y en ciertos casos exige— que el proveedor participe en el ejercicio cuando su servicio forma parte del perímetro. Planificar esa colaboración por anticipado, e incluirla en las cláusulas contractuales, evita bloqueos de última hora en los que el proveedor se niega a ser sometido a un red team sobre su infraestructura compartida.
6. TLPT, auditoría y madurez continua
El TLPT no sustituye a la auditoría ni a la certificación; las complementa. Una entidad madura combina tres capas: controles verificados por una certificación como ISO 27001, procesos revisados mediante auditoría interna periódica y capacidad de detección y respuesta medida por el TLPT. Cada capa responde una pregunta distinta —¿tengo los controles?, ¿funcionan en el papel?, ¿aguantan un ataque real?— y ninguna es sustituible por las otras. Integrar los hallazgos de las tres en un único plan de remediación, con responsables y plazos, es lo que convierte un ejercicio costoso en mejora sostenida de la resiliencia.
FAQ
¿Todas las entidades financieras tienen que hacer un TLPT?
No. El programa de pruebas anual del art. 25 es para todas, pero el TLPT del art. 26 solo lo realizan las entidades identificadas por la autoridad competente como significativas por su perfil de riesgo e impacto sistémico. La mayoría de entidades pequeñas y medianas quedan en el nivel de pruebas básicas.
¿Cada cuánto hay que repetir el TLPT?
Al menos una vez cada tres años, salvo que la autoridad competente ajuste la frecuencia en función del perfil de riesgo. Entre ejercicios, la entidad debe mantener su programa de pruebas periódicas y remediar los hallazgos.
¿El TLPT se hace sobre entornos de prueba o de producción?
Sobre sistemas de producción que soportan funciones críticas o importantes, con las salvaguardas necesarias para no interrumpir el servicio. Precisamente esa condición —atacar lo que está en vivo— es lo que le da valor como medida de resiliencia real.
¿Quién puede ejecutar un TLPT bajo DORA?
Probadores externos cualificados que cumplan los requisitos de las normas técnicas y del marco TIBER-EU. En determinadas condiciones se admiten probadores internos, pero la inteligencia de amenazas y la validación siguen exigiendo independencia y estándares específicos.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial