DORA Threat-Led-Penetration-Tests Q1 2026: Was die ersten Runs für Mittelstands-Banken und FinTechs offenlegen
FinTech & Financial Services 07.05.2026

Los tests de estrés que los bancos alemanes no superan

8 min de lectura

Las primeras pruebas reales de resistencia cibernética bajo supervisión europea están en marcha, y los resultados son más incómodos de lo previsto. Los directivos y responsables informáticos de los bancos de tamaño intermedio descubren en blanco y negro dónde su cadena de inteligencia sobre amenazas realmente falla.

06.05.2026

Los puntos clave en breve

  • Obligación de TLPT cada tres años: la BaFin y el Bundesbank designan a los establecimientos afectados. Los nombrados en la primera ola de 2026 disponen solo de seis meses antes de la presentación del alcance. Un plazo más corto que cualquier preparación clásica para una auditoría.
  • La inteligencia sobre amenazas es el cuello de botella: las pruebas se basan en una inteligencia externa que adapta perfiles de atacantes reales al contexto específico de cada establecimiento. En los primeros ensayos, aquí se producen los principales retrasos, y no durante el red teaming mismo.
  • Las pruebas TIBER-DE se tienen en cuenta: los establecimientos probados después del 17 de enero de 2025 según el marco TIBER-EU actualizado pueden integrar esta prueba en su ciclo trienal. Esto ofrece margen de maniobra a los bancos que ya tienen un historial TIBER, en detrimento de las FinTech que no lo tienen.

Enlace:RegTech 2026: DORA, AI Act, MiCA  /  PSD3 en el sector intermedio: APIs bancarias y finanzas integradas

Lo que realmente revelan los primeros lanzamientos en el T1

¿Qué es una prueba de intrusión dirigida por amenazas DORA (Threat-Led Penetration Test)? Un TLPT es una simulación de ataque impulsada por la inteligencia sobre los sistemas en producción de una entidad financiera, obligatoria según los artículos 26 y 27 del reglamento (UE) 2022/2554 (DORA). Información externa sobre amenazas sirve de base, un equipo rojo actúa de forma clandestina contra las funciones críticas o importantes de la organización, mientras que el equipo azul interno no está informado de la prueba. La selección y supervisión son garantizadas por la BaFin y la Bundesbank, y el ciclo se extiende durante un mínimo de tres años.

DORA exige en los artículos 26 y 27 una prueba de intrusión dirigida por amenazas al menos cada tres años. La mecánica operativa es conocida en el mercado alemán desde 2019 bajo el nombre de TIBER-DE. La diferencia en 2026 radica en que la supervisión interviene ahora de forma activa. La BaFin y la Bundesbank designan a los destinatarios, los contactan directamente y supervisan el desarrollo. Ya no se trata del ejercicio voluntario de resiliencia como en 2022.

En las entidades afectadas por la primera ola de designaciones, circulan observaciones similares. El componente técnico propiamente dicho del red teaming se lleva a cabo correctamente. Los proveedores conocen los DORA-RTS, la metodología está dominada, y los caminos de escalada ya están documentados en la mayoría de los bancos desde las experiencias TIBER. Lo que bloquea son tres etapas previas.

Primero, la definición del perímetro. DORA exige que se cubran las funciones críticas o importantes, es decir, los procesos cuya interrupción afectaría directamente la actividad comercial, las obligaciones regulatorias o los compromisos con los clientes. Eso parece claro, pero no lo es. En un banco típico del mercado intermedio, una función crítica depende de tres a siete aplicaciones, de las cuales dos están alojadas en un proveedor externo de servicios TIC. Para definir con precisión el perímetro, es necesario conocer no solo su propia base de aplicaciones, sino también el conjunto de servicios externalizados.

Segundo, la adquisición de inteligencia sobre amenazas (Threat Intelligence). DORA impone recurrir a un proveedor externo de TI capaz de identificar perfiles de atacantes concretos. No se trata de listas genéricas de CVE, sino de actores reales que realmente apuntan a bancos del mismo tamaño y modelo económico que la entidad probada. Esta fase de TI es, en los primeros lanzamientos en el T1, el factor de retraso más frecuente. Los proveedores cualificados son escasos en el mercado DACH, y los plazos de intervención alcanzan de tres a cuatro meses si no se solicitan con antelación.

Tercero, la gobernanza interna. Un TLPT implica tres roles: el equipo de pilotaje interno, que conoce el ejercicio en su conjunto, el equipo azul operativo, que no debe saber nada, y el responsable del TLPT dentro de la Bundesbank. Quien, en función de COO, no establece pronto la matriz de comunicación pierde dos semanas en la quinta semana, porque el equipo azul habrá tenido acceso a través de canales Slack a indicios que no debería haber visto.

Dónde realmente se detiene la madurez DORA de las empresas intermedias

En las presentaciones al comité de dirección, la madurez DORA suele parecer una lista de verificación con casillas marcadas en verde. Gestión de riesgos TIC, sistema de notificación de incidentes, registro de proveedores terceros, pruebas de resiliencia. Las primeras pruebas TLPT muestran rápidamente dónde la imagen se empaña.

El primer punto se refiere al inventario de externalizaciones. El Register of Information, que DORA exige como vista general central de los proveedores terceros, ha sido presentado por la mayoría de las entidades desde el primer trimestre de 2026. Pero rara vez se mantiene actualizado rigurosamente. Durante el TLPT, cualquier incoherencia salta inmediatamente a la vista — por ejemplo, cuando un servicio crítico está alojado en una región diferente a la indicada en el registro. La prueba no busca la plausibilidad, exige la verdad.

El segundo punto se refiere a la lógica de detección. Numerosos bancos del sector intermedio han implementado un SIEM o suscrito un contrato MDR en los últimos dos años. Pero eso no sustituye casos de uso operacionales. El TLPT revela si el equipo azul detecta realmente una conexión inusual proveniente de un país backbone, o si pasa desapercibida bajo el umbral de alerta como una anomalía banal. En tres de los cuatro ensayos Q1 mencionados durante los intercambios sectoriales, precisamente allí se identificó la vulnerabilidad más importante.

Pasamos nueve meses debatiendo, de antemano, la mejora de nuestro propio equipo azul. En cinco días de TLPT, aprendimos lo que realmente veíamos — y lo que no veíamos. Los dos primeros días fueron decepcionantes, los tres siguientes constituyeron el control más honesto que jamás hayamos experimentado.
CISO de un banco del sector intermedio en DACH, citado de forma anónima durante un debate sectorial en abril de 2026.

El tercer punto se refiere a la dirección general. DORA hace personalmente responsable al comité de dirección de la resiliencia TIC. Los informes de cierre del TLPT no solo mencionan los puntos de acceso obtenidos por el equipo rojo. También indican qué decisiones de escalada fueron tomadas por el equipo de control, y en qué plazo se informó a la dirección. Quien, como COO, aborda un TLPT con la mentalidad de una prueba de intrusión de 2019, se sorprenderá por la rapidez del feedback.

Seis meses, seis fases: cómo es un TLPT en la práctica

La secuencia está definida en la DORA-RTS y en el marco TIBER-EU actualizado. Lo que genera fricciones en la práctica no son las transiciones entre fases, sino las semanas calendario entre ellas.

Hoja de ruta TLPT: 6 meses desde la notificación hasta el workshop de cierre
Mes 1: Notificación
La BaFin y la Bundesbank designan la entidad. Primera reunión de lanzamiento con el responsable del equipo TLPT Cyber. El equipo interno de control se constituye formalmente. La confidencialidad respecto al equipo azul comienza desde el primer día.
Mes 2: Alcance
Definición de funciones críticas o importantes, cartografía de aplicaciones, proveedores terceros y flujos de datos. Presentación a la autoridad de supervisión. En la mayoría de los primeros ciclos, aquí se sitúa el cuello de botella, y no a nivel técnico.
Mes 3: Briefing en inteligencia de amenazas
Un proveedor externo de inteligencia de amenazas estudia los perfiles de atacantes reales, construye escenarios y los valida con el equipo de control. El resultado es el informe de inteligencia de amenazas dirigidas, que servirá de base al red teaming.
Mes 4 a 5: Red Team
Fase de prueba activa, de al menos doce semanas. El proveedor actúa como un atacante real, el equipo azul no está informado. Las detecciones se documentan en tiempo real, las escaladas son gestionadas por el equipo de control.
Mes 6: Cierre
Taller de restitución que reúne al red team, al blue team y al equipo de control. Informe transmitido a la autoridad de supervisión. Plan de corrección con plazos exigentes. Presentación al consejo de administración acompañada de un catálogo de medidas.
después
El contador de tres años comienza. Entre las pruebas, los ejercicios de resiliencia, los programas de corrección y las auditorías de proveedores terceros siguen siendo obligatorios. El próximo ciclo TLPT no marca el fin de las auditorías.

Dónde las FinTechs están más duramente afectadas que los bancos de tamaño intermedio

Las FinTechs fueron durante mucho tiempo consideradas como actores « nativos digitales », y por tanto operativamente más rápidas. En el contexto TLPT, esta imagen se invierte en varios aspectos. Tres de ellos son visibles a partir de las primeras observaciones del T1.

El primer punto concierne la topología cloud. Una FinTech típica se apoya en uno o dos hyperscalers, con su propia plataforma de contenedores, varios subservicios SaaS y un nivel de integración de proveedores terceros que, comparado con los bancos de tamaño intermedio, supera en dos órdenes de magnitud el modelo clásico. El registro de subcontrataciones se convierte así en un trabajo a tiempo completo, y no en un tema trimestral.

El segundo punto es el historial TIBER. Una FinTech que no ha experimentado ejercicios anteriores bajo TIBER-DE inicia el primer ciclo sin experiencia. Los bancos de tamaño intermedio que han realizado tres o cuatro pruebas desde 2020 saben cómo funciona un equipo de control, mientras que las FinTechs lo aprenden en tiempo real. Esto consume dos o tres semanas no previstas en la planificación.

El tercer punto concierne la responsabilidad del consejo de administración. En las FinTechs, los fundadores suelen ocupar el consejo, habiendo delegado DORA como un tema de cumplimiento. Sin embargo, en el informe TLPT, el consejo aparece nombrado. Quien ha transferido operativamente el tema al equipo de seguridad recibe, durante el taller de cierre, un expediente para el que no está preparado.

3 ans
Ciclo TLPT
Intervalo máximo entre dos pruebas de intrusión dirigidas por amenazas, conforme al artículo 26 de DORA.
6 mois
Notificación hasta el perímetro
Periodo entre la notificación por la BaFin y la presentación formal del perímetro a la autoridad de supervisión.
12 semaines
Phase Red Team
Duración mínima de la fase de ataque activo, generalmente precedida de una preparación dedicada en inteligencia de amenazas.

Lo que debe contener un modelo de COO durante la primera semana

En los últimos meses, he trabajado con varias organizaciones sobre la cuestión de cómo debe ser un primer borrador TLPT para la alta dirección, sin entrar en los detalles metodológicos. Tres campos son suficientes para la primera versión; el resto debe aparecer en los anexos.

En primer lugar, un mapeo honesto de su propia detección. No el folleto de marketing del proveedor SIEM, sino una tabla que enumere diez escenarios de ataque realistas e indique si el equipo azul los detecta hoy o no. Esta tabla será, en la semana 1, más corta de lo que debería ser. Eso es precisamente lo que constituye el diagnóstico.

En segundo lugar, una lista de proveedores externos cuya falla interrumpiría directamente una función crítica. Con, para cada uno, el estado del contrato, la fecha de la última auditoría y la clasificación del riesgo TIC en el registro. Quien tarde más de dos días en elaborar esta lista ya ha encontrado el cuello de botella antes de que la prueba lo revele.

En tercer lugar, una matriz de comunicación. Quién compone el equipo de pilotaje, quién forma parte del equipo azul y quién informa al comité de dirección según cada nivel de escalada. Esta matriz suele determinar más el buen desarrollo del proceso, en la percepción del Q1, que cualquier cuestión técnica.

Una observación al pasar: en muchas organizaciones, la discusión sobre el TLPT sigue estando limitada al ámbito cibernético. Ya no es así. Ahora se trata de un ejercicio de claridad gerencial, de higiene de los proveedores externos y de responsabilidad del comité de dirección. Es una cuestión de COO, no solo de CISO. Quien diseña el programa de esta manera gana dos cosas: una preparación más rigurosa y un informe que, una vez cerrado, no termina olvidado en un cajón.

Y, francamente, al principio era cauteloso ante la magnitud del trabajo. Seis meses de disponibilidad movilizados en el COO y el CISO no son un proyecto secundario. Pero después de los intercambios sectoriales de abril y la lectura de los primeros informes de cierre, mi opinión cambió. El esfuerzo es real, al igual que el efecto de aprendizaje. Las organizaciones que han tomado en serio su primera pasada salen con una visión mucho más clara de su dependencia de los proveedores externos, de su capacidad de detección y de su cultura de escalada que lo que tres años de auditorías internas podrían haber ofrecido.

Preguntas frecuentes

¿Qué instituciones estarán obligadas a realizar un TLPT en la primera ola de 2026?

La DORA-RTS prevé una selección cuantitativa y cualitativa. Los grandes bancos, los proveedores de servicios de pago importantes, algunos aseguradores y las fintechs sistémicamente relevantes serán identificados según umbrales y la valoración de la autoridad supervisora. La BaFin y el Bundesbank envían una notificación directamente a las entidades afectadas. Cualquier entidad que no reciba notificación no pertenece a la primera ola, pero sigue sujeta a los tests de resiliencia regulares previstos en el artículo 24.

¿Se tiene en cuenta una prueba TIBER-DE ya realizada en el ciclo DORA?

Las pruebas realizadas después del 17 de enero de 2025 en el marco del esquema TIBER-EU actualizado, alineado con la DORA-RTS, pueden integrarse en el ciclo trienal. Las pruebas TIBER anteriores de 2022 o 2023 no se consideran automáticamente. El Bundesbank publicó en la primavera de 2026 un documento de correspondencia (mapping) que debe examinarse caso por caso.

¿Qué proveedor externo de inteligencia de amenazas puede ser mandatado?

La DORA-RTS especifica que el proveedor de inteligencia de amenazas (TI) debe ser independiente del proveedor encargado del equipo rojo (Red Team) y contar con una experiencia probada con actores del sector financiero. En el mercado DACH, varios actores consolidados disponen de experiencia TIBER. El plazo de puesta en marcha (lead‑time) antes del mandato es actualmente de tres a cuatro meses. Cualquier institución que solo comience en la fase de notificación corre el riesgo de retraso en la fase de alcance (scope).

¿Cuál es el volumen de trabajo típico para una entidad de tamaño intermedio?

Los datos sectoriales fiables procedentes de las primeras pruebas Q1 oscilan entre 600 000 y 1,2 millones de euros para los servicios externos, a los que se añaden aproximadamente de 1,5 a 2 equivalentes a tiempo completo internos durante un periodo de seis meses. Este rango depende del alcance, del número de aplicaciones críticas y del número de proveedores externos incluidos. Cualquier planificación por debajo de estas cifras es insuficiente.

¿Qué ocurre después de un TLPT con resultados preocupantes?

La normativa DORA no contempla una sanción automática, y el informe no es público. Sin embargo, debe elaborarse y documentarse un plan de corrección (remediation) con plazos vinculantes ante la autoridad supervisora. La BaFin puede imponer medidas en caso de debilidades estructurales, y se aplican consecuencias prudenciales en caso de reincidencia. La dirección sigue siendo personalmente responsable.

Sobre la autora

Angelika Beierlein es COO de la empresa Evernine Media GmbH. Escribe sobre la gobernanza en detalle, sobre los puntos decisivos donde los programas triunfan o fracasan, y sobre la cultura en las entidades reguladas, donde el cumplimiento no es una simple formalidad, sino parte del día a día.

Fuentes y referencias complementarias:

  • BaFin, artículo técnico Simulating attacks to enhance security, BaFin-Journal 11/2024, actualizado en la primavera de 2026.
  • Bundesbank alemana, marco TIBER-DE y correspondencia TIBER-EU-DORA, estado de marzo de 2026.
  • BCE, TIBER-EU Framework updated to align with DORA, comunicado de prensa del 11.02.2025.
  • Reglamento UE 2022/2554 (DORA), comunicado de prensa del BCE sobre la adaptación TIBER‑EU‑DORA, artículos 26 y 27 así como los RTS asociados relativos al Threat‑Led Penetration Testing.
  • Mesas redondas sectoriales e informes de cierre de entidades de tamaño intermedio del mercado DACH, de marzo a abril de 2026 (citados de forma sintética, sin mención nominativa).

Fuente de la imagen principal: Pexels / Tima Miroshnichenko (px:5380603)

También disponible en

Una revista de evernine media GmbH