Cumplimiento del DORA de la UE
La Ley de Resiliencia Operativa Digital de la UE (DORA) exige a las entidades financieras que evalúen la resiliencia de sus sistemas de TIC. Descubre cómo ImmuniWeb apoya las evaluaciones de vulnerabilidad y las pruebas de penetración de DORA.
Conformidad con el Reglamento Europeo sobre Resiliencia Operativa Digital (DORA)
¿Qué es la DORA de la UE?
La DORA establece un marco único a escala de la UE para la resiliencia operativa digital de las entidades financieras. Se basa en cinco pilares: gestión de riesgos de ICT, notificación de incidentes relacionados con ICT, pruebas de resiliencia operativa digital, gestión de riesgos de terceros en materia de ICT e intercambio de información.
El pilar de las pruebas es fundamental para la seguridad de las aplicaciones: las entidades deben llevar a cabo un programa de pruebas de resiliencia que incluya evaluaciones de vulnerabilidad y pruebas de penetración, y las entidades más importantes deben realizar pruebas avanzadas de penetración basadas en amenazas (TLPT).
Vea cómo ImmuniWeb apoya las pruebas de resiliencia de DORA: evaluaciones de vulnerabilidades y pruebas de penetración de sus aplicaciones financieras. Solicite una demostración · o ejecute una prueba gratuita de Community Edition.
¿Quién debe cumplir con la DORA?
La DORA se aplica en todo el sector financiero de la UE:
- Entidades financieras: bancos, aseguradoras, empresas de inversión, entidades de pago y de dinero electrónico, proveedores de servicios de criptoactivos, centros de negociación y más.
- Proveedores críticos de TIC terceros que prestan servicios al sector financiero y que están sujetos a un régimen de supervisión.
- Entidades de distintos tamaños - con aplicación del principio de proporcionalidad para las entidades más pequeñas.
Las aplicaciones web, móviles y de API que ejecutan estas entidades están claramente dentro del alcance de las pruebas de resiliencia de DORA.
Requisitos clave de DORA para la seguridad de aplicaciones
El pilar de pruebas de resiliencia operativa digital de DORA impulsa el trabajo de seguridad de aplicaciones:
- Programa de pruebas de resiliencia (Articles 24-25): pruebas periódicas de los sistemas de TIC, incluidas evaluaciones de vulnerabilidad, escaneos y penetration testing, con la remediación de los hallazgos.
- Pruebas de penetración basadas en amenazas (artículos 26-27): pruebas de penetración avanzadas y basadas en inteligencia (según el marco TIBER-EU) para entidades importantes, al menos cada tres años.
- Gestión de riesgos de las TIC y riesgos de terceros: identificar y proteger los activos de las TIC, incluidos los gestionados por proveedores.
Requisitos de DORA sobre pruebas de resiliencia en detalle
Pruebas de Resiliencia Operativa Digital (Artículos 24-25)
DORA exige un programa de pruebas basado en el riesgo que cubra los sistemas y aplicaciones de TIC, incluidas evaluaciones de vulnerabilidades, escaneos y pruebas de penetración. Para las aplicaciones financieras expuestas a Internet, esto implica pruebas de penetración y escaneos web y móviles regulares, junto con la remediación y las pruebas posteriores.
Pruebas de penetración basadas en amenazas (Artículos 26-27)
Las entidades financieras de importancia deben realizar pruebas de penetración avanzadas basadas en amenazas —ataques realistas basados en inteligencia contra sistemas de producción en vivo, según el marco TIBER-EU— al menos cada tres años. Las pruebas de penetración manuales, dirigidas por expertos, son fundamentales para cumplir este requisito.
Riesgos comunes en aplicaciones web y móviles a abordar
Las vulnerabilidades que el programa de pruebas de DORA busca detectar en las aplicaciones financieras se alinean estrechamente con el OWASP Top 10:
- Control de acceso roto —los usuarios acceden a datos o acciones que no deberían.
- Fallos criptográficos — cifrado débil o ausente que expone datos confidenciales.
- Inyección — Inyección SQL, de comandos u otro tipo a través de entradas no validadas.
- Insecure Design — falta de controles de seguridad por diseño, no solo por errores.
- Security Misconfiguration: configuración predeterminada, incompleta o insegura.
- Componentes vulnerables y obsoletos: bibliotecas y frameworks sin parches.
- Fallos de identificación y autenticación —gestión débil del inicio de sesión, de sesiones o de credenciales.
- Fallos de integridad del software y los datos: actualizaciones no fiables, procesos de CI/CD inseguros.
- Security Logging & Monitoring Failures — ataques que pasan desapercibidos.
- Server-Side Request Forgery (SSRF): el servidor es engañado para realizar solicitudes maliciosas.
For mobile apps, the OWASP Mobile Top 10 is the equivalent reference (insecure data storage, insecure communication, weak cryptography, and so on). Reliably finding these issues requires testing the running application, not just a documentation review.
Cómo abordar las pruebas de resiliencia de DORA con ImmuniWeb
- 1. Mapee los activos TIC. Haga un inventario de las aplicaciones financieras y las API orientadas a Internet con ImmuniWeb Discovery.
- 2. Realiza evaluaciones de vulnerabilidad (art. 24-25) con el escaneo de Neuron.
- 3. Realice pruebas de penetración en aplicaciones web y móviles con On-Demand y MobileSuite.
- 4. Apoyar el TLPT (art. 26-27) con pruebas manuales dirigidas por expertos y basadas en inteligencia.
- 5. Remediar y volver a probar con informes accionables y cero falsos positivos.
- 6. Realice pruebas de forma continua con Continuous en CI/CD para mantener la resiliencia actualizada.
Cómo ImmuniWeb te Ayuda a Lograr el Cumplimiento de DORA
ImmuniWeb respalda el pilar de pruebas de resiliencia de DORA con las evaluaciones de vulnerabilidad y las pruebas de penetración que exige la normativa.
| Requisito | Lo que requiere | Productos ImmuniWeb |
|---|---|---|
| Pruebas de resiliencia (Art. 24-25) | Evaluaciones de vulnerabilidades, escaneos y pruebas de penetración. | On-Demand, Neuron, Continuous |
| TLPT (artículos 26-27) | Pruebas de penetración avanzadas guiadas por amenazas. | On-Demand, MobileSuite |
| Activos de TIC y riesgo de terceros | Mapa y supervisa la superficie de ataque externa. | Discovery (ASM / Dark Web) |
ImmuniWeb On-Demand y MobileSuite ofrecen pruebas de penetración manuales para aplicaciones web y móviles (incluido el soporte para intervenciones al estilo TLPT); Neuron y Neuron Mobile proporcionan escaneos automatizados; Continuous integra las pruebas en CI/CD; y Discovery mapea su superficie de ataque para riesgos de TIC y de terceros.
DORA frente a los marcos internacionales
Si ya trabaja con estándares internacionales, las mismas pruebas de ImmuniWeb apoyan todos ellos:
| Framework | Perspectiva de la seguridad de aplicaciones | Cómo mapea ImmuniWeb |
|---|---|---|
| EU DORA | Pruebas de resiliencia: evaluaciones de vulnerabilidades, pruebas de penetración, TLPT | Pruebas de penetración web/móvil, escaneo, ASM y soporte TLPT |
| UE NIS 2 | Article 21 risk-management measures | Las mismas pruebas cubren ambos |
| ISO/IEC 27001 | Controles técnicos del Anexo A | Pruebas como evidencia de controles |
| PCI DSS 4.0.1 | Requisitos 6 y 11 | Pentest + escaneo de aplicaciones web |
Pruebas de penetración frente a escaneo de seguridad
Both are needed. El escaneo automatizado (DAST) proporciona una cobertura amplia y frecuente, siendo ideal para las pruebas continuas en CI/CD; las pruebas de penetración manuales detectan vulnerabilidades de lógica de negocio y complejas que los escáneres pasan por alto, y ofrecen la profundidad que esperan los auditores y reguladores. Combina el escaneo continuo con pruebas de penetración manuales periódicas, y vuelve a probar tras cambios significativos.
Lista de verificación de cumplimiento (Application Security)
- Inventario de aplicaciones financieras y APIs expuestas a Internet
- Evaluaciones y escaneos de vulnerabilidades realizados regularmente (Art. 24-25)
- Pruebas de penetración de aplicaciones web y móviles
- Pruebas de penetración guiadas por amenazas para entidades significativas (artículos 26-27)
- Los hallazgos se remedian y se revalidan; se conserva la evidencia.
- Pruebas integradas en CI/CD para una resiliencia continua
- Monitoreo de riesgos de terceros en TIC y superficie de ataque
Por qué es importante el cumplimiento de DORA
La DORA está directamente supervisada por los reguladores financieros, y las autoridades competentes pueden imponer medidas administrativas y sanciones por incumplimiento. Las pruebas de resiliencia son una obligación explícita y recurrente, no un mero ejercicio de diligencia.
Dado que las aplicaciones web, móviles y de API constituyen una superficie de ataque primaria para las instituciones financieras, las pruebas demostrables son una de las formas más directas de cumplir con el pilar de pruebas de la DORA y reducir el riesgo operativo.