Resumen ejecutivo del Informe Global sobre Amenazas 2026 de CrowdStrike: el informe definitivo sobre inteligencia de amenazas para la era de la IA Descargar

¿Qué es DORA?

El Reglamento sobre resiliencia operativa digital (DORA) de la Unión Europea entró en vigor el 16 de enero de 2023, pero las organizaciones tuvieron hasta el 17 de enero de 2025 para cumplirlo. Las instituciones financieras, como los bancos, las aseguradoras y las gestoras de inversión, deben cumplir las estrictas disposiciones de la legislación sobre ciberseguridad, detección, contención, recuperación y reparación. En caso contrario, se enfrentarían a sanciones.

¿Qué tiene que ver DORA con la seguridad de SaaS?

La UE promulgóDORA para incrementar la resiliencia operativa de sus entidades financieras, pues reconoció que la transformación digital que se está produciendo en la industria de los servicios financieros suponía una dependencia sin precedentes de la tecnología. Dichos servicios financieros se verían afectados si esa tecnología se viera comprometida por un ciberataque. DORA abarca las tecnologías de la información y la comunicación (TIC), las cuales incluyen las aplicaciones de software como servicio (SaaS) basadas en la nube.

Informe Global sobre Amenazas 2025 de CrowdStrike

Informe Global sobre Amenazas 2025 de CrowdStrike

Consigue el informe sobre ciberseguridad imprescindible de este año.

Descargar

¿Qué requisitos impone DORA a las empresas de servicios financieros?

DORA aborda cinco áreas principales que son cruciales para que las operaciones digitales funcionen correctamente en el marco de los servicios financieros:

  • Gestión de riesgos TIC: estrategias y protocolos para identificar, evaluar y mitigar riesgos asociados con los sistemas de TIC.
  • Elaboración de informes: procedimientos y estándares de generación de informes exhaustivos sobre la resiliencia operativa y las actividades de gestión de riesgos.
  • Realización de pruebas de resiliencia de las operaciones digitales: metodologías y marcos de prueba para evaluar la resiliencia y fiabilidad de las operaciones digitales en diversas situaciones de presión.
  • Gestión del riesgo de terceros: prácticas y protocolos para gestionar los riesgos que presentan los proveedores de servicios, los distribuidores y los partners en el ecosistema digital.
  • Intercambio de información e inteligencia: mecanismos para que las partes interesadas compartan información e inteligencia esenciales y relacionadas con ciberamenazas, vulnerabilidades e incidentes.

Los proveedores de servicios financieros deben demostrar que tienen capacidades para abordar las siguientes áreas clave y, por tanto, cumplir DORA y mantener la resiliencia operativa:

  • Identificación: capacidad de llevar un registro de todos los usuarios, sus roles y sus responsabilidades dentro de la aplicación.
  • Protección y prevención: desarrollo de directivas e implementación de herramientas que monitoricen las configuraciones para garantizar la resiliencia y disponibilidad continua de la aplicación.
  • Detección: monitorización inmediata del comportamiento de los usuarios para detectar indicadores de compromiso (IOC) que afecten a la aplicación.
  • Aprendizaje y evolución: elaboración de una pista de auditoría con el fin de realizar análisis con posterioridad a las posibles brechas de ciberseguridad.
  • Gestión del riesgo de terceros: comprobación de que todas las aplicaciones integradas mantengan los mismos estándares de seguridad que se aplican a las aplicaciones de SaaS del hub.

¿Cómo repercute DORA en la seguridad de SaaS?

La seguridad de SaaS es la parte de la gestión de riesgos de TIC que se centra en proteger las aplicaciones y plataformas de SaaS que se usan en las operaciones de servicios financieros. Las organizaciones que toman medidas para cumplir DORA deben proteger estas aplicaciones de todos los vectores de ataque conocidos.

Errores de configuración

Las organizaciones deben poner en marcha iniciativas para identificar configuraciones deficientes que puedan provocar brechas de datos y cortes de servicio.

Seguridad de la identidad

Los equipos de seguridad deben monitorizar y gestionar todos los usuarios para comprobar que se les aplica el principio del mínimo de privilegios. Además, las organizaciones deben ser capaces de identificar a los usuarios que sigan teniendo acceso a los sistemas una vez finalizada la colaboración, así como las cuentas de usuario inactivas y cuentas de usuarios externos.

Dispositivos

Cada uno de los dispositivos de usuario entraña un factor de peligro para la aplicación de SaaS. Los equipos de seguridad deben neutralizarlo, y para ello deben identificar los dispositivos de alto riesgo y asociarlos a usuarios específicos.

Seguridad de aplicaciones de terceros

Muchas aplicaciones solicitan niveles de acceso que exceden lo estrictamente necesario para funcionar, lo cual expone la empresa a aplicaciones que son maliciosas o que, siendo legítimas, han sucumbido al control de un atacante.

Gestión de datos

Las organizaciones deben proteger los documentos y otros recursos digitales mediante controles de acceso y permisos de uso compartido. Por ejemplo, los documentos que se comparten con cualquier persona que tenga el enlace no pueden protegerse sin no se cambia dicha opción para compartirlo.

Además, DORA exige que las entidades financieras dispongan de mecanismos para detectar actividades anómalas e identificar puntos únicos de fallo relevantes. Estos mecanismos deben admitir varias capas de control y dar lugar a acciones de respuesta a incidentes.

The Ultimate SaaS Security Checklist: Future-Proof Your SaaS Security

Descarga esta guía y aplica la lista de verificación definitiva de seguridad de SaaS de 2025, que destaca características críticas a evaluar.

 Descargar lista de verificación de seguridad de SaaS

¿Qué herramientas protegen la pila de SaaS y cumplen DORA?

Las organizaciones que tratan de cumplir DORA deben implementar una plataforma de gestión de la posición de seguridad de SaaS (SSPM) y de gestión de la posición de seguridad de aplicaciones (ASPM). Los sistemas de SSPM revisan automáticamente la configuración de la aplicación y avisan a las partes interesadas cuando las configuraciones divergen. Esta visibilidad centralizada permite a los administradores y equipos de seguridad proteger la aplicación.

Los sistemas de SSPM también revisan los registros de los usuarios. Pueden identificar a usuarios con permisos excesivos, detectar cuentas inactivas, monitorizar a usuarios externos y asegurarse de que a los exempleados se les quite el acceso a todas las aplicaciones corporativas. También pueden asociar dispositivos a usuarios para facilitar la localización de aquellos dispositivos de alto riesgo que utilizan las cuentas con un alto grado de privilegios. 

La detección y la monitorización de terceros es otra función clave de los sistemas de SSPM. Estos revisan las aplicaciones conectadas, identifican aquellas que actúan de forma anómala o tienen privilegios excesivos, y permiten a los usuarios desacoplar la aplicación. 

¿Puede un sistema de SSPM detectar amenazas?

Los sistemas de SSPM con capacidades de detección y respuesta a amenazas contra la identidad (ITDR) utilizan datos de toda la pila de SaaS para localizar amenazas y alertar a los equipos de seguridad. ITDR identifica los comportamientos anómalos de los usuarios y analiza los registros de auditoría para detectar IOC y amenazas.

Las amenazas pueden basarse en cualquier número de factores, desde los datos de IP hasta el comportamiento del usuario. Para que el conjunto de datos sea mucho más completo y se obtenga más contexto sobre la amenaza, la información procede de toda la pila de SaaS. Este tipo de detección de amenazas suele cumplir los requisitos de DORA.

Prácticas recomendadas para proveedores de SaaS

Estas son algunas de las prácticas recomendadas para los proveedores de SaaS:

  • Aprovechar las plataformas de seguridad: usa plataformas de seguridad y cumplimiento integrales y adaptadas a las necesidades específicas de las aplicaciones de SaaS del sector financiero. Estas plataformas pueden facilitar la gestión de identidades, de errores de configuración y de datos, así como la detección de amenazas, y ayudar a cumplir los requisitos de DORA.
  • Realizar pruebas periódicas de resiliencia: pon a prueba con frecuencia la resiliencia operativa digital, e incluye situaciones en las que un proveedor de servicios en la nube falle. Así, mejorará la preparación y la capacidad de ejecutar transiciones de forma fluida para minimizar el impacto en el cliente.
  • Implementa procesos sólidos de copia de seguridad y recuperación: asegúrate de disponer de directivas y procedimientos de copia de seguridad que protejan los datos frente a riesgos derivados de la gestión de datos, incluidos los errores humanos. Pon a prueba dichos procedimientos periódicamente para tener la certeza de que la recuperación será rápida tras las interrupciones relacionadas con las TIC.