Pruebas basadas en amenazas: hacia una mayor resiliencia dirigida
Hace ya muchas lunas, cuando la ciberseguridad se llamaba seguridad informĆ”tica y los responsables de dicha seguridad andaban muy lejos de la dirección de su compaƱĆa, y mĆ”s aĆŗn de su consejo de administración, algunos pioneros, con quien tuve la suerte de trabajar, proponĆan que el presupuesto de seguridad fuera a prevenir aquellos ataques que se veĆan en la industria, en vez de intentar proteger a la organización de todo ataque posible.
Protegernos de todo y en todo momento, si bien es una bonita quimera, no es en absoluto viable, tanto desde el punto de vista económico, como desde el punto de vista estratégico.
En el sector financiero, hace menos de una dĆ©cada de la llegada al campo de la seguridad tecnológica de teorĆas militares de defensa basadas en el anĆ”lisis de las amenazas que despliega el enemigo.

Dr. Alberto Partida
linkedin.com/in/albertopartida
AsĆ, en 2014, el Banco de Inglaterra propuso CBEST, un programa de evaluación de seguridad basado en amenazas (concepto conocido con las siglas en inglĆ©s TLPT: āthreat-led penetration testingā). En 2016, se publicaban las guĆas prĆ”cticas de CBEST. En 2017, la autoridad monetaria de Hong Kong publicaba iCAST (āintelligence-led Cyber Attack Simulation Testing) y el Banco Central de Holanda hacĆa lo mismo con TIBER-NL (āThreat Intelligence Based Ethical Red teamingā). Finalmente, en 2018, la Asociación Bancaria de Singapur (ABS) publicó AASE (āAdversarial Attack Simulation Exercisesā). En mayo de 2018 el Banco Central Europeo publica TIBER-EU, un marco de pruebas de seguridad, en el entorno de producción, basado en dos elementos esenciales: un informe de inteligencia sobre amenazas y unas pruebas de intrusión guiadas por dicho informe de amenazas. TIBER prevĆ© que ambos elementos sean realizados a travĆ©s de proveedores externos a la entidad financiera. Todas estĆ”n propuestas van dirigidas a aumentar la resiliencia tecnológica del sector financiero.
En enero de 2022, el Banco de EspaƱa publicó la guĆa de implementación de TIBER-ES, en lĆnea con las directrices de TIBER-EU. La propia guĆa recuerda que estas pruebas estĆ”n dirigidas a entidades significativas o sistĆ©micas, ya sean bancos, aseguradoras, gestoras de activos o infraestructuras crĆticas de mercado, todas ellas con un grado de madurez suficiente como para poder embarcarse en este tipo de evaluación. En Europa, la implementación de cada uno de los TIBER nacionales va a suponer un ahorro de esfuerzos, ya que el objetivo es garantizar el reconocimiento de estas pruebas en todas los Estados que adopten el marco TIBER-EU.
El elemento adicional que puede suponer el despegue de estas pruebas es la próxima aprobación del reglamento europeo sobre la resiliencia operativa digital del sector financiero (conocido por las siglas DORA), donde probablemente se exigirÔn este tipo de pruebas de seguridad a las entidades financieras significativas.
Los proveedores nacionales de informes de inteligencia y de pruebas de intrusión tienen aquà una oportunidad de oro para satisfacer con profesionalidad y calidad un mercado que sólo va a poder crecer en los próximos años. Desde esta columna les invito a internacionalizarse y a dedicar partidas importantes de su presupuesto a innovar en este campo, que ahora empieza a dar sus primeros pasos.
Concluyo enumerando las principales recomendaciones que proponĆan en 2021 los proveedores de ciberinteligencia en una encuesta realizada en el entorno CBEST. Toda una lista de ideas a desarrollar en un continuo proceso de innovación: creación de un marco global de pruebas TLPT a nivel mundial que permita a las marcas financieras globales una reducción de costes regulatorios; adaptación de los informes de inteligencia a las necesidades reales de cada entidad evaluada; posibilidad de āpivotarā en las pruebas de intrusión, tal y como harĆa un atacante real, asĆ como inclusión de tĆ©cnicas activas de reconocimiento de vulnerabilidades en la creación del informe de inteligencia; creación de una versión con pruebas mĆ”s ligeras para entidades mĆ”s pequeƱas; un papel mĆ”s relevante del denominado equipo morado (āthe purple teamā, formado por atacantes y defensores) para que la prueba realizada sea una verdadera oportunidad de aprendizaje para el equipo defensor (āthe blue teamā) y, finalmente, una mayor cooperación con los servicios de inteligencia nacionales.