AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

**DORA refuerza la autenticación y el control de acceso: obligaciones legales y riesgos para las entidades financieras de la UE**

admin

### 1. Introducción

La entrada en vigor del Reglamento de Resiliencia Operativa Digital (DORA, por sus siglas en inglés) marca un hito en la regulación de la ciberseguridad para el sector financiero de la Unión Europea. Entre las múltiples obligaciones que impone, el artículo 9 sitúa la autenticación y el control de acceso en el centro de la gestión de riesgos de las entidades financieras. Este artículo examina en profundidad los requerimientos legales, los riesgos asociados a su incumplimiento y las implicaciones técnicas y operativas para los equipos de ciberseguridad.

### 2. Contexto del Incidente o Vulnerabilidad

DORA surge en respuesta al incremento de ciberataques dirigidos a bancos, aseguradoras, fintechs y otras entidades del ecosistema financiero europeo. El objetivo es blindar la resiliencia operativa frente a incidentes digitales que puedan comprometer la integridad, confidencialidad y disponibilidad de los servicios críticos. En este contexto, la autenticación robusta y el control granular de accesos dejan de ser recomendaciones de buenas prácticas para convertirse en obligaciones legales, cuyo incumplimiento puede acarrear sanciones económicas y repercusiones regulatorias severas.

### 3. Detalles Técnicos (CVE, vectores de ataque, TTP MITRE ATT&CK, IoC…)

El artículo 9 de DORA exige a las entidades financieras implementar mecanismos de autenticación sólidos (por ejemplo, autenticación multifactor – MFA) y controles de acceso basados en el principio de privilegio mínimo y necesidad de conocer. Esto implica mantener actualizaciones constantes de los sistemas de gestión de identidades (IAM), aplicar la segmentación de redes y monitorizar continuamente el acceso a sistemas y datos sensibles.

**Vectores de ataque comunes**:
– **Phishing dirigido**: los atacantes emplean técnicas de spear phishing para capturar credenciales de acceso privilegiado.
– **Credential stuffing**: uso automatizado de combinaciones de usuario/contraseña obtenidas en brechas previas, explotando la reutilización de credenciales.
– **Explotación de CVEs en plataformas IAM**: vulnerabilidades recientes como CVE-2023-35078 (en Microsoft Exchange) o CVE-2024-21762 (en Fortinet FortiOS SSL VPN) han permitido eludir controles de acceso, facilitando movimientos laterales y escalada de privilegios.
– **TTP según MITRE ATT&CK**: T1078 (Valid Accounts), T1021 (Remote Services), T1556 (Modify Authentication Process) y T1071 (Application Layer Protocol).

**Indicadores de compromiso (IoC)**:
– Accesos fuera de horario habitual desde direcciones IP no reconocidas.
– Cambios no autorizados en políticas de control de acceso.
– Creación de cuentas privilegiadas sin justificación documental.
– Integración de frameworks ofensivos como Metasploit para la explotación de brechas de control de acceso.

### 4. Impacto y Riesgos

La ausencia de controles de acceso robustos puede derivar en accesos no autorizados a datos financieros sensibles, manipulación de transacciones, sabotaje de sistemas críticos y, en última instancia, afectación a la estabilidad económica. Según el informe ENISA Threat Landscape 2023, más del 42% de las brechas de seguridad en el sector financiero europeo tuvieron su origen en la explotación de credenciales o accesos indebidos.

Las multas derivadas del incumplimiento de DORA pueden alcanzar el 2% de la facturación anual total de la entidad infractora. Además, la exposición pública de una brecha por falta de control de acceso puede generar pérdidas reputacionales y litigios bajo el Reglamento General de Protección de Datos (GDPR).

### 5. Medidas de Mitigación y Recomendaciones

Para cumplir con DORA y minimizar el riesgo operativo, los expertos recomiendan:

– **Implementar MFA** para todos los accesos a sistemas críticos, tanto internos como remotos.
– **Gestión de identidades centralizada**: despliegue de soluciones IAM con revisión periódica de permisos y roles.
– **Revisión y auditoría de logs**: monitorización continua para identificar comportamientos anómalos y accesos indebidos.
– **Segmentación de redes** y aplicación estricta del principio de privilegio mínimo.
– **Simulacros de ataque**: ejecución de ejercicios de Red Team y pentesting para validar la eficacia de los controles de acceso.
– **Actualización y parcheo**: aplicación inmediata de parches ante CVEs relevantes en sistemas de autenticación y control de acceso.

### 6. Opinión de Expertos

Según María González, CISO de una entidad bancaria internacional, “DORA eleva el listón de la ciberseguridad en el sector financiero. Ya no basta con tener controles básicos; ahora la gestión de identidades y accesos exige un enfoque proactivo, automatizado y alineado con los estándares europeos más exigentes.”

Por su parte, Pablo Ruiz, analista de amenazas en un SOC paneuropeo, destaca: “Detectamos un incremento del 30% en intentos de bypass de MFA durante 2023, lo que refuerza la necesidad de combinar autenticación robusta con análisis continuo de comportamiento y respuesta automatizada.”

### 7. Implicaciones para Empresas y Usuarios

Para las organizaciones, la adaptación a DORA supone revisar en profundidad sus modelos de acceso, actualizar políticas y reforzar la formación del personal sobre riesgos de ingeniería social. Los usuarios finales verán incrementadas las verificaciones de identidad, especialmente en operaciones críticas, lo que puede suponer cierta fricción inicial, pero garantiza una protección superior ante fraudes y accesos indebidos.

### 8. Conclusiones

DORA no solo eleva la autenticación y el control de acceso a la categoría de obligación legal en la UE, sino que establece un marco claro para la protección de los activos digitales financieros. La ausencia de estos controles expone a las entidades a riesgos técnicos, regulatorios y reputacionales de gran calado. La clave está en combinar tecnología avanzada, formación continua y cumplimiento normativo para garantizar una resiliencia operativa real frente a las amenazas actuales y emergentes.

(Fuente: www.bleepingcomputer.com)