DORA y Pruebas de Resiliencia para Aseguradoras: TLPT y Evaluaciones de Vulnerabilidades Explicados
El Reglamento DORA (Digital Operational Resilience Act, Reglamento UE 2022/2554) es de aplicación desde el 17 de enero de 2025 para todas las entidades financieras de la UE, incluidas las aseguradoras bajo supervisión de la EIOPA. Uno de sus pilares más exigentes es el marco de pruebas de resiliencia operativa digital (artículos 24 a 27), que establece requisitos diferenciados según el perfil de riesgo de la entidad.
Base legal: Reglamento (UE) 2022/2554 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, sobre la resiliencia operativa digital del sector financiero (DORA). Artículos 24-27: Marco de pruebas de resiliencia operativa digital. Aplicable desde el 17 de enero de 2025.
El marco de pruebas DORA: estructura de dos niveles
DORA establece un marco de pruebas de resiliencia en dos niveles, con distintos requisitos según el tamaño y la criticidad de la entidad:
| Nivel | Tipo de prueba | Periodicidad | Aplicable a |
|---|---|---|---|
| Básico (art. 25) | Evaluaciones de vulnerabilidades, pruebas de red y de rendimiento, análisis de brechas | Anual | Todas las entidades financieras bajo DORA |
| Avanzado (art. 26) | TLPT (Threat-Led Penetration Testing) | Cada 3 años | Entidades significativas designadas por autoridades competentes |
Art. 25 DORA: Pruebas básicas de resiliencia (obligatorias para todas las aseguradoras)
El artículo 25 obliga a todas las entidades financieras —incluidas aseguradoras, reaseguradoras y distribuidores de seguros bajo la directiva Solvencia II que superen los umbrales de DORA— a implementar un programa de pruebas de resiliencia operativa digital que incluya, como mínimo:
- Evaluaciones y análisis de vulnerabilidades (VA): identificación y cuantificación de vulnerabilidades en sistemas TIC críticos, incluyendo infraestructura de red, aplicaciones core de negocio (sistemas de gestión de pólizas, plataformas de liquidación de siniestros) y servicios en la nube.
- Pruebas de penetración basadas en escenarios abiertos: simulaciones de ataques controlados para identificar puntos de entrada en sistemas críticos.
- Pruebas de seguridad de fuente abierta: análisis de componentes de código abierto utilizados en los sistemas TIC para identificar dependencias con vulnerabilidades conocidas (CVE).
- Pruebas de rendimiento de red: evaluación de la capacidad de los sistemas ante cargas de trabajo extremas o ataques de denegación de servicio (DDoS).
- Pruebas de continuidad de negocio: simulacros de escenarios de interrupción mayor para verificar la efectividad de los planes de recuperación ante desastres (DRP) y continuidad de negocio (BCP).
- Análisis de brechas: comparación entre el estado actual de madurez en resiliencia operativa y los requisitos DORA, identificando áreas de mejora.
Estas pruebas deben realizarse al menos anualmente y deben cubrir los sistemas TIC que soportan las funciones críticas o importantes de la aseguradora.
Art. 26 DORA: TLPT (Threat-Led Penetration Testing) para aseguradoras significativas
El TLPT es el nivel más exigente del marco de pruebas DORA. No es obligatorio para todas las aseguradoras, sino solo para aquellas que las autoridades competentes (en España, la Dirección General de Seguros y Fondos de Pensiones bajo supervisión del Banco de España en coordinación con la EIOPA) designen como «entidades significativas» en función de su perfil de riesgo, tamaño sistémico y relevancia para la estabilidad financiera de la UE.
¿Qué es el TLPT y en qué se diferencia de un pentest convencional?
El TLPT (Threat-Led Penetration Testing) es una prueba de penetración avanzada basada en inteligencia de amenazas reales. A diferencia de un pentest convencional —que identifica vulnerabilidades técnicas conocidas—, el TLPT simula ataques sofisticados de actores amenazantes reales (grupos APT, ciberdelincuentes organizados) contra las funciones más críticas de la entidad.
El TLPT sigue el marco TIBER-EU (Threat Intelligence-Based Ethical Red-Teaming) desarrollado por el BCE, que establece una metodología estandarizada para la UE.
Fases del TLPT según DORA y TIBER-EU
- Fase de preparación (3-4 meses): la entidad define el alcance (funciones y sistemas TIC en scope), contrata al proveedor de servicios de red team externo (certified red team provider) y al proveedor de inteligencia de amenazas (threat intelligence provider). La autoridad competente aprueba el plan de prueba.
- Fase de inteligencia de amenazas (2-3 meses): el proveedor de inteligencia recopila y analiza información sobre las amenazas específicas relevantes para la entidad (sector asegurador, geografía, modelo de negocio) y elabora el Targeted Threat Intelligence Report (TTI), que sirve de base para el escenario de ataque.
- Fase de red team (3-4 meses): el equipo de red team ejecuta el ataque simulado sin conocimiento previo del equipo de blue team (defensivo) de la entidad. El objetivo es comprometer las funciones críticas definidas en el scope, usando las tácticas, técnicas y procedimientos (TTPs) identificados en el TTI.
- Fase de cierre y remediación: sesión conjunta red team / blue team (purple team exercise) para compartir hallazgos, seguida del plan de remediación de las vulnerabilidades identificadas y el informe final al supervisor.
Art. 27 DORA: Requisitos para terceros proveedores en las pruebas
El artículo 27 DORA establece que, en el caso de los TLPT, los proveedores externos de servicios TIC críticos (cloud providers, plataformas de gestión de datos, procesadores de pagos de primas) pueden ser incluidos en el scope del TLPT. Esto tiene implicaciones importantes para las aseguradoras:
- La aseguradora debe obtener el consentimiento del proveedor TIC para incluirlo en el TLPT.
- El proveedor TIC puede participar en el TLPT conjunto o presentar sus propios certificados TLPT recientes (no más de 3 años) para acreditar su resiliencia.
- La aseguradora mantiene la responsabilidad última de garantizar que los sistemas de terceros que soportan sus funciones críticas cumplen los estándares DORA.
Pruebas de continuidad de negocio: el vínculo con DORA art. 11
Las pruebas de resiliencia del artículo 25 se entrelazan con los requisitos de continuidad de negocio del artículo 11 DORA. Las aseguradoras deben:
- Definir Objetivos de Tiempo de Recuperación (RTO) y Objetivos de Punto de Recuperación (RPO) para cada función crítica.
- Probar anualmente que los planes de recuperación ante desastres (DRP) alcanzan los RTO/RPO definidos.
- Documentar los resultados de las pruebas y las acciones de mejora en el registro de incidentes TIC.
- Comunicar al supervisor los resultados de las pruebas y cualquier brecha material identificada.
¿Cómo gestionar la documentación de pruebas DORA con IgeraRegTech?
El cumplimiento del marco de pruebas DORA genera una cantidad significativa de documentación: planes de prueba, informes de vulnerabilidades, TTI reports, actas de purple team, planes de remediación, evidencias de cierre. Mantener esta documentación organizada, actualizada y accesible para el supervisor es uno de los mayores retos operativos para los equipos de compliance y ciberseguridad de las aseguradoras.
IgeraRegTech permite indexar toda la documentación de cumplimiento DORA —normas técnicas regulatorias (RTS), directrices EIOPA, procedimientos internos, informes de pruebas— y responder en segundos a preguntas como:
- «¿Con qué frecuencia debemos realizar el TLPT según el art. 26?» (Cada 3 años, o cuando el supervisor lo requiera).
- «¿Qué funciones están en scope obligatorio del TLPT?» (Las funciones TIC críticas e importantes definidas en el registro de activos).
- «¿Podemos usar los resultados del TLPT de nuestro proveedor cloud en lugar de incluirlo en nuestro scope?» (Sí, si tiene menos de 3 años y cubre las funciones relevantes).
- «¿Qué información debe incluir el informe de resultados del TLPT?» (Ver RTS DORA art. 26.3 y normas técnicas de la EIOPA).
Cada respuesta cita el artículo exacto de DORA, la RTS aplicable o la directriz EIOPA relevante.