Qué es el TLPT (Threat-Led Penetration Testing) y por qué DORA lo exige

El TLPT (Threat-Led Penetration Testing) es un ejercicio de red team basado en inteligencia de amenazas reales que el Reglamento DORA exige a las entidades financieras más críticas de la UE. No es un pentesting más exhaustivo: es una simulación de adversario completa —red team, no un análisis de vulnerabilidades acotado— diseñada para medir si tu organización detecta y responde a un ataque dirigido, no solo si tiene vulnerabilidades parcheables.

Qué es exactamente el TLPT

El TLPT reproduce las tácticas, técnicas y procedimientos (TTPs) de amenazas reales y relevantes para tu sector, obtenidos de inteligencia de amenazas actualizada (threat intelligence), contra tus sistemas de producción críticos, en un ejercicio de red team encubierto: el equipo azul (SOC, respuesta a incidentes) no sabe que está ocurriendo. El objetivo no es encontrar el máximo número de vulnerabilidades, sino responder a una pregunta distinta: si un grupo de atacantes con las capacidades y la motivación de una amenaza real fuera a por ti, ¿hasta dónde llegaría antes de que lo detectaras y contuvieras?

A quién obliga DORA a hacer TLPT

El artículo 26 del Reglamento DORA obliga a realizar TLPT cada 3 años a las entidades financieras identificadas como críticas por su autoridad competente (entidades de crédito significativas, infraestructuras de mercado, aseguradoras de gran tamaño, entre otras) — no a la totalidad de entidades sujetas a DORA. El criterio de designación combina impacto sistémico, perfil de riesgo, tamaño y actividad transfronteriza. Si tu entidad ya está sujeta a pruebas de resiliencia operativa avanzada bajo DORA, el TLPT es previsiblemente parte de esa obligación; si tienes dudas sobre si te aplica, tu autoridad de supervisión (Banco de España, CNMV o la DGSFP, según el sector) es quien determina la designación.

Cómo se ejecuta un ejercicio TLPT en la práctica

DORA no inventa una metodología desde cero: se apoya en marcos ya consolidados como TIBER-EU (Threat Intelligence-Based Ethical Red Teaming) del BCE, que estructura el ejercicio en fases: (1) preparación y alcance, definiendo las funciones críticas a testear; (2) fase de inteligencia de amenazas, donde un proveedor especializado construye escenarios de ataque realistas basados en actores relevantes para el sector; (3) fase de red team, ejecutando esos escenarios contra producción con máximo sigilo; (4) cierre y remediación, con un informe conjunto entre el proveedor de threat intelligence, el equipo de red team y la entidad. El proceso completo suele extenderse varios meses y requiere coordinación con el supervisor.

TLPT vs pentesting tradicional: diferencias clave

Un pentesting estándar tiene alcance acotado (una aplicación, una red), es conocido de antemano por el equipo defensivo y busca maximizar la cobertura de vulnerabilidades encontradas en un plazo fijo. El TLPT es un ejercicio de red team encubierto, basado en inteligencia de amenazas real y específica del sector, con alcance a nivel de funciones de negocio críticas (no solo activos técnicos), y mide capacidad de detección y respuesta, no solo superficie de ataque. Un pentesting es un insumo útil para prepararte antes de un TLPT —limpia el ruido de vulnerabilidades conocidas— pero no sustituye la obligación regulatoria si tu entidad está designada.

FAQ

¿Mi empresa está obligada a hacer TLPT si ya cumplo DORA?

No necesariamente. DORA aplica de forma general a un amplio abanico de entidades financieras, pero el TLPT solo es obligatorio para las designadas como críticas por la autoridad competente, con una cadencia mínima de cada 3 años. La mayoría de entidades sujetas a DORA no están obligadas a TLPT, pero sí a otras pruebas de resiliencia operativa menos exigentes.

¿Puede QuantumSec ejecutar un TLPT completo?

Un TLPT conforme a TIBER-EU requiere proveedores acreditados específicamente para las fases de threat intelligence y red team, coordinación con el supervisor y un alcance regulatorio concreto. Podemos ayudarte a preparar tu organización antes de un TLPT (red team previo, hardening, gap analysis frente al marco) y a interpretar tus obligaciones bajo DORA; para el ejercicio TLPT formal, te orientamos sobre el proceso de acreditación y el proveedor adecuado según tu perfil.