La ciberseguridad debe ser una prioridad absoluta para las empresas del sector financiero, debido a su criticidad y el impacto potencial de los incidentes de seguridad, tanto para los clientes como para la industria en general.

Las organizaciones europeas que cumplen con ese criterio no pueden quedarse sin conocer el Threat Intelligence-based Ethical Red Teaming (TIBER-EU), un marco creado por el Banco Central Europeo (BCE) que define cómo deben realizarse las pruebas Red Team.

Veamos los aspectos principales de este marco.

¿Qué es TIBER-EU?

En pocas palabras, TIBER-EU proporciona guías sobre cómo imitar las técnicas y procedimientos de atacantes reales, basándose en inteligencia de amenazas, para probar y mejorar la ciberresiliencia de las organizaciones. Una prueba Red Teaming bien realizada debería revelar las fortalezas y debilidades de una entidad, llevando a medidas correctivas específicas y efectivas.

TIBER-EU puede ser adoptado a nivel nacional, o por instituciones y autoridades de la UE. La participación de las entidades en el proceso de pruebas TIBER-EU puede ser voluntaria u obligatoria, dependiendo de su tamaño, complejidad y alcance. Aunque fue desarrollado pensando en el sector financiero, este marco también puede aplicarse a otros sectores (por ejemplo: telecomunicaciones), lo que lo hace agnóstico en cuanto a entidades y sectores.

¿Quién está involucrado?

La implementación de TIBER-EU es un proceso con múltiples actores que involucra directamente a:

• Entidades que deben realizar pruebas TIBER-EU
  Bancos, agencias de calificación crediticia, bolsas de valores, compañías de seguros, o cualquier otro proveedor de servicios financieros críticos.
• Autoridades responsables de supervisar las pruebas
  Bancos centrales, autoridades supervisoras, agencias de inteligencia, ministerios relevantes, entre otros.
   
• Proveedores de servicios de Inteligencia de Amenazas y Red Team
  Proveedores independientes externos que realmente realizan las pruebas.

6 objetivos principales

Según el BCE, TIBER-EU intenta lograr los siguientes objetivos:

1. Mejorar la ciberresiliencia de las entidades y del sector financiero en su conjunto.
2. Estandarizar la forma en que las entidades realizan Red Teaming basado en inteligencia en toda la Unión Europea (UE).
3. Guiar a las autoridades sobre cómo pueden establecer, implementar y gestionar pruebas Red Team a nivel nacional o europeo.
4. Apoyar las pruebas Red Team transfronterizas basadas en inteligencia para entidades multinacionales.
5. Permitir discusiones de supervisión donde las autoridades buscan confiar en las evaluaciones de otros realizadas usando TIBER-EU.
6. Crear el protocolo para la colaboración transfronteriza, compartición y análisis de resultados.

El proceso de prueba TIBER-EU

El marco TIBER-EU incluye tres fases obligatorias:

1. Preparación
   Implica determinar los equipos y expertos responsables de gestionar la prueba, definir el alcance de la prueba y elegir los proveedores de Inteligencia de Amenazas y Red Team para realizar la prueba.
   
2. Pruebas
   Incluye el análisis de inteligencia de amenazas, el posterior informe de Inteligencia de Amenazas (informe TTI – Targeted Threat Intelligence report) y la prueba Red Team real.
   
3. Cierre
   Es cuando el proveedor Red Team entrega un informe que contiene todos los hallazgos y resultados, así como recomendaciones de mejora. Luego, es responsabilidad de la entidad trabajar en un plan de remediación.

Riesgos de la prueba TIBER-EU

Dada la criticidad de los sistemas y procesos objetivo, hay ciertos riesgos involucrados en realizar una prueba TIBER-EU, específicamente:

• Incidente de Denegación de Servicio (DoS – Denial of Service)
• Caída o daño del sistema
• Pérdida o fuga de datos

Es por eso que el marco TIBER-EU enfatiza la necesidad de una evaluación de riesgos antes de la prueba, acompañada de una sólida estrategia de gestión de riesgos durante todo el proceso.

¿A qué servicios se aplica?

El marco TIBER-EU guía dos de los servicios de ciberseguridad más importantes disponibles para instituciones críticas, especialmente aquellas en el sector financiero:

• Red TeamingUna evaluación de ciberseguridad en la que un equipo de hacking ético simula un ataque completo contra una empresa, explotando vulnerabilidades técnicas o humanas que pueden dar acceso a activos o información específica. Busca exponer fallos en la estrategia de seguridad de una organización y proporcionar recomendaciones para mejorarla.
• Pruebas de Penetración Basadas en Amenazas (TLPT)Un ejercicio Red Team a gran escala, diseñado específicamente para el sector financiero, que simula un ataque integral contra los activos, sistemas y procesos de una organización, para identificar y ayudar a corregir vulnerabilidades de seguridad. El objetivo es mejorar la ciberresiliencia de entidades financieras críticas, cuya interrupción podría causar un fallo sistémico global.

Conclusión

Guiado por el ambicioso objetivo de mejorar la ciberresiliencia de las instituciones financieras en toda Europa, el marco TIBER-EU se construye sobre tres pilares principales:

1. Inteligencia de amenazas.
2. Red Teaming ético.
3. Colaboración entre diferentes actores financieros.

Es un enfoque integral que sirve como base para servicios críticos como Red Teaming y Pruebas de Penetración Basadas en Amenazas. Las organizaciones que implementan la prueba TIBER-EU están mejor equipadas para enfrentar amenazas cibernéticas, para proteger sus operaciones comerciales y los datos de los clientes.