La perspectiva de Cyber Academy
TLPT es el ejercicio de red team supervisado por el regulador que exige DORA a las entidades financieras significativas. Se basa en el marco TIBER-EU (Threat Intelligence-Based Ethical Red Teaming). De varios meses de duración, orientado por inteligencia y supervisado por la autoridad nacional. La prueba más rigurosa a la que se enfrentará un CISO, y la que expone al SOC tal como es realmente.
Qué es realmente la prueba de penetración guiada por amenazas
La prueba de penetración guiada por amenazas es un ejercicio controlado de red team contra una organización en plena producción, impulsado por inteligencia de amenazas real y supervisado por una autoridad financiera.
El Digital Operational Resilience Act, DORA, la convierte en una obligación periódica para las entidades financieras que un regulador considera suficientemente significativas para justificarla, y el ejercicio se construye sobre TIBER-EU, el marco que el Banco Central Europeo publicó para el Threat Intelligence-Based Ethical Red Teaming. La palabra definitoria es guiada: la prueba no es una lista genérica de vulnerabilidades, sino una campaña moldeada por quién atacaría de forma realista a esta firma y cómo.
Un proveedor de inteligencia de amenazas perfila a la entidad, identifica adversarios plausibles y sus métodos, y entrega al red team un conjunto de escenarios. El red team intenta entonces comprometer funciones críticas en producción usando esos escenarios, igual que lo haría un atacante real.
Dos propiedades separan al TLPT de la prueba de penetración ordinaria. Primero, apunta al parque en producción real y a las personas y procesos que lo rodean, no a una copia ni a un segmento acotado, razón por la cual se ejecuta bajo reglas estrictas y con un pequeño equipo de control de confianza. Segundo, está supervisado. La autoridad nacional competente y, cuando corresponde, un equipo TIBER dedicado participan en el encargo, validando el alcance, acreditando a los testeadores y supervisando cómo se conduce el ejercicio. Esa supervisión es lo que hace que el resultado sea creíble para un regulador y no solo para la firma que lo encargó.
Cómo se desarrolla un encargo TLPT
Un TLPT es un programa de varios meses, no una evaluación de una semana, y se despliega en fases definidas que el marco TIBER-EU establece. En la fase de preparación, la entidad, el equipo de control y la autoridad acuerdan el alcance, confirman qué funciones críticas entran en juego y contratan proveedores acreditados de inteligencia de amenazas y de red team.
En la fase de prueba, el proveedor de inteligencia produce un informe de objetivos sobre la entidad, y el red team lo usa para ejecutar escenarios de ataque realistas contra las funciones en producción, a menudo durante muchas semanas, intentando alcanzar objetivos definidos sin ser detenido. En la fase de cierre, el red team, el blue team y el equipo de control se reúnen para reconstruir lo ocurrido, acordar los hallazgos y construir un plan de remediación.
El detalle crucial es que casi nadie dentro de la organización sabe que la prueba está ocurriendo. A los defensores, al centro de operaciones de seguridad y a los respondedores de incidentes no se les avisa, porque toda la finalidad es ver cómo se desempeñan frente a una intrusión real y no a un simulacro programado. Solo un equipo de control diminuto está al tanto. Esto es lo que convierte al TLPT en la medida más honesta de resiliencia operativa que un CISO encargará, y la que más fiablemente expone la brecha entre lo que se cree que hace el SOC y lo que realmente detecta bajo presión.
TLPT, TIBER-EU y la prueba de penetración ordinaria
| Dimensión | Prueba de penetración estándar | Prueba de penetración guiada por amenazas (TLPT) |
|---|---|---|
| Impulsor | Alcance predefinido y una lista de verificación del testeador | Inteligencia de amenazas a medida sobre la entidad concreta |
| Objetivo | A menudo una copia de preproducción o una aplicación acotada | Funciones críticas en producción real y las personas que las rodean |
| Conocimiento de los defensores | Por lo general informados, a veces colaborando | No informados, solo lo sabe un pequeño equipo de control |
| Duración | De días a unas pocas semanas | Varios meses a lo largo de fases definidas |
| Supervisión | Interna, encargada por la firma | Supervisada por la autoridad nacional bajo TIBER-EU |
| Detonante | Discrecional o contractual | Una obligación de DORA para las entidades significativas designadas |
Conviene mantener clara la relación entre los términos. TIBER-EU es el marco, la metodología y las fases. El TLPT es la obligación regulatoria bajo DORA que adopta y referencia ese marco para las entidades financieras dentro de su ámbito. Una prueba de penetración estándar sigue siendo una actividad valiosa y mucho más frecuente, pero responde a una pregunta más estrecha: ¿hay debilidades explotables en este sistema?
Un TLPT responde a una más difícil: si un adversario realista fuese hoy a por nuestras funciones más importantes, ¿lo notaríamos siquiera, y podríamos responder? Ambas son complementarias, y una organización que espera un TLPT no deja de realizar pruebas ordinarias: las usa para cerrar las brechas evidentes de modo que el ejercicio guiado por amenazas pueda sondear las sutiles.
Lo que los profesionales hacen realmente para prepararse rara vez consiste en comprar una herramienta más. Construyen un inventario exacto de las funciones críticas y de los sistemas que las sostienen, para que el alcance pueda acordarse con honestidad. Se aseguran de que los casos de uso de detección estén afinados y de que el SOC haya ensayado el escalado frente a escenarios realistas en lugar de ejercicios de mesa. Confirman la estructura del equipo de control y las aprobaciones legales y de riesgo necesarias para ejecutar con seguridad una intrusión contra producción. Y tratan los hallazgos como insumo para la resiliencia operativa y la planificación de continuidad, porque bajo DORA la remediación no es un informe privado: es evidencia sobre la que el regulador espera que se actúe.
Frequently asked questions
01¿Cuál es la diferencia entre un TLPT y una prueba de penetración normal?
Una prueba de penetración estándar opera con un alcance predefinido, a menudo contra un sistema de preproducción, con los defensores normalmente avisados. Un TLPT está impulsado por inteligencia de amenazas a medida, se ejecuta contra funciones críticas en producción real durante meses, mantiene a los defensores a oscuras y está supervisado por una autoridad financiera. Pone a prueba la detección y la respuesta, no solo las vulnerabilidades.
02¿Quién tiene que realizar un TLPT bajo DORA?
DORA lo exige a las entidades financieras que una autoridad nacional designa como suficientemente significativas para justificar pruebas avanzadas, en función de su perfil de riesgo y su importancia sistémica. Las entidades más pequeñas siguen sujetas a pruebas proporcionadas de resiliencia operativa digital, pero el ejercicio completo guiado por amenazas se reserva a aquellas que el regulador identifica.
03¿Cuál es la relación entre el TLPT y TIBER-EU?
TIBER-EU es el marco del Banco Central Europeo que define la metodología, las fases y los roles del red teaming basado en inteligencia. El TLPT es la obligación de DORA que adopta ese marco. En la práctica, un TLPT de DORA se ejecuta según los principios de TIBER-EU y es supervisado por la autoridad pertinente.
04¿Por qué no se les dice a los defensores que se está realizando un TLPT?
El objetivo es medir la detección y la respuesta reales, no un simulacro programado. Si el SOC lo supiera, estaría pendiente de la prueba y el resultado carecería de sentido. Solo un pequeño equipo de control de confianza está al tanto, de modo que el ejercicio refleja cómo se desempeña realmente la organización ante una intrusión en condiciones reales.
05¿Cuánto dura un TLPT?
Es un programa de varios meses más que una evaluación corta, que abarca las fases de preparación, prueba y cierre de TIBER-EU. El trabajo de inteligencia de amenazas, la campaña de red team contra las funciones en producción y la reconstrucción conjunta con el blue team requieren cada uno tiempo real, sumando a menudo varios meses de principio a fin.