Ir al contenido
Prepararse para el plazo del DORA de 2025

Este blog se publicó por primera vez en 2025 y ha sido actualizado.

Cuando la UE aprobó la Ley de Resiliencia Operativa Digital (DORA), se produjo un cambio fundamental en la forma en que las entidades financieras deben abordar la ciberseguridad, la gestión de riesgos y la continuidad operativa. Por primera vez, los reguladores no se limitaron a mencionar la seguridad de la identidad de pasada, sino que la integraron directamente en la estructura del cumplimiento.

Esta evolución reconoce una realidad que muchos profesionales de la seguridad conocen desde hace años: que la identidad es la base de la seguridad digital y el eje de la resiliencia operativa. Veamos qué ha cambiado, el impacto que tendrá el DORA en la seguridad de la identidad, los retos a los que se enfrentan las instituciones financieras y cómo deben prepararse los CISO para garantizar que sus organizaciones cumplen los requisitos del DORA antes de la fecha límite de 2025.

La seguridad de la identidad ya no es sólo tarea de los informáticos

En virtud de la DORA, todas las operaciones digitales de una entidad financiera -desde los pagos hasta la incorporación de clientes y los sistemas de negociación- deben ser seguras, resistentes y estar disponibles de forma continua. Y eso sitúa la seguridad de la identidad en primer plano. Porque si no se puede verificar quién accede a qué, cuándo y desde dónde, la estrategia de identidad se viene abajo.

En la nueva realidad normativa del DORA, la identidad ha dejado de ser una función de TI administrativa. Ahora es un imperativo estratégico que incumbe por igual a los responsables de riesgos, a los responsables de cumplimiento y a los ejecutivos de las empresas.

Repercusiones del DORA en la seguridad de la identidad

Varios artículos del DORA exigen directa o implícitamente sólidas capacidades de gestión de identidades y accesos (IAM). Por ejemplo:

  • Control de acceso y gobernanza: DORA exige que las instituciones gestionen los derechos de acceso de los usuarios en tiempo real y realicen revisiones periódicas de los accesos para evitar la acumulación de privilegios y los accesos no autorizados.
  • Requisitos de autenticación: Se espera que los métodos de autenticación fuerte, como la autenticación multifactor (MFA), protejan los sistemas de accesos no autorizados.
  • Continuidad operativa: Las instituciones deben garantizar que las funciones críticas sigan estando disponibles durante incidentes cibernéticos, cortes o interrupciones. Esto incluye el mantenimiento de los servicios de identidad bajo coacción.
  • Supervisión y detección de anomalías: Las organizaciones deben detectar, responder y recuperarse rápidamente de los incidentes cibernéticos. Las anomalías relacionadas con la identidad, como los patrones de acceso inusuales, son indicadores cruciales.

Estos requisitos subrayan la necesidad de un programa de seguridad de identidad moderno y consciente de los riesgos.

2025 marca el año en el que el cumplimiento pasa a las fases de ejecución, lo que significa que las organizaciones que no cumplan con la DORA se enfrentan a multas de 2% del volumen de negocios medio global o de 1% del volumen de negocios medio diario, con la adición de multas diarias impuestas a las organizaciones incumplidoras hasta que logren el cumplimiento. Es mucho lo que está en juego.

Los retos de identidad de las entidades financieras

A pesar del aumento de las inversiones en seguridad, muchas instituciones financieras siguen luchando contra las lagunas relacionadas con la identidad en sus funciones operativas y de seguridad, entre otras:

  • Sistemas IAM heredados que carecen de adaptabilidad y visibilidad
  • Herramientas de identidad aisladas en entornos locales y en la nube
  • Métodos de autenticación débiles que son vulnerables al phishing
  • Procesos manuales de gobernanza que hacen que los informes de cumplimiento sean lentos y propensos a errores

Estos retos dejan a las organizaciones expuestas, no sólo a los atacantes, sino también al escrutinio normativo y a las multas por incumplimiento.

Qué significa esto para los CISO

Los CISO del sector financiero deben liderar la alineación de la estrategia de identidad con el DORA. Esto significa:

  • Adoptar acceso basado en el riesgo modelos que ajustan los controles en función del contexto y el comportamiento
  • Garantizar continuidad de las actividades con conmutación por error híbrida para autenticación y acceso
  • Fortalecimiento gobernanza con aprovisionamiento automatizado, revisiones y certificación de acceso
  • Abrazar autenticación sin contraseña eliminar los vectores de ataque habituales
Casos prácticos de implementación de DORA: ejemplos reales

El texto normativo de la DORA es claro, pero su aplicación varía en función del tamaño, la estructura y la situación inicial de cada organización. Los siguientes ejemplos ilustran cómo las entidades de servicios financieros con distintos perfiles están abordando en la práctica el cumplimiento de la DORA.

Escenario 1: Un gran banco europeo se prepara para la DORA

Reto Un importante banco minorista de la UE que opera en doce países se enfrenta a un problema habitual: su infraestructura de identidad ha ido creciendo a lo largo de décadas de adquisiciones, lo que le ha dejado con siete sistemas de gestión de identidades y accesos (IAM) independientes, políticas de autenticación multifactorial (MFA) inconsistentes entre las distintas unidades de negocio y ciclos de revisión de accesos que tardan hasta treinta días en completarse. Según los requisitos del artículo 9 de la DORA en materia de control de acceso y gobernanza continua, esta fragmentación supone tanto un incumplimiento normativo como un riesgo operativo.

Requisitos de la DORA que son de aplicación

  • Artículo 9: Marco de gestión de riesgos de las TIC, control de acceso y aplicación del principio del privilegio mínimo
  • Artículo 10: Detección de actividades anómalas e incidentes relacionados con las TIC
  • Artículo 17: Proceso de gestión de incidentes relacionados con las TIC

Pasos para la implementación

  1. Consolidar los sistemas de identidad en una plataforma unificada (RSA ID Plus) que da soporte a entornos en la nube, locales e híbridos en todas las filiales.
  2. Implementar la autenticación multifactorial (MFA) resistente al phishing (Serie RSA iShield Key 2) para todas las cuentas con privilegios y administrativas en un plazo de noventa días.
  3. Automatiza los flujos de trabajo de certificación de acceso y aprovisionamiento mediante Gobernanza y ciclo de vida de RSA, sustituyendo las revisiones manuales realizadas mediante hojas de cálculo.
  4. Activar RSA Risk AI para el análisis continuo del comportamiento y la detección de anomalías en tiempo real.
  5. Establecer un registro de auditoría centralizado de IAM que se integre directamente en los paneles de control de informes de cumplimiento de DORA.

Indicadores de éxito

  • El ciclo de revisión de accesos se ha reducido de treinta días a tres días
  • 100% de cuentas con privilegios inscritas en la autenticación multifactorial (MFA) resistente al phishing en un plazo de sesenta días desde la puesta en marcha de la plataforma
  • Informes de certificación de acceso preparados para auditorías, generados automáticamente cada trimestre
  • No se detectó ningún incidente relacionado con la autenticación durante la primera inspección reglamentaria de la DORA

Lección clave La consolidación no es solo un proyecto de cumplimiento normativo, sino un proyecto de resiliencia. Una plataforma unificada de gestión de identidades y accesos (IAM) elimina los puntos ciegos que existen en las uniones entre sistemas desconectados, que es precisamente donde los atacantes buscan vulnerabilidades.

Escenario 2: Empresa de servicios financieros de tamaño medio que gestiona una infraestructura híbrida

Reto Sistemas de negociación principales en las instalaciones, aplicaciones de atención al cliente en Azure y una combinación de herramientas SaaS en toda la empresa. Cuando se producen interrupciones en la nube o en la red local, los fallos de autenticación han impedido anteriormente al personal el acceso a sistemas críticos durante horas, lo que supone una infracción directa de los requisitos de continuidad operativa de la DORA establecidos en el artículo 11.

Requisitos de la DORA que son de aplicación

  • Artículo 11: Continuidad de las actividades de las TIC y recuperación ante desastres
  • Artículo 9: Controles de acceso a la red y al sistema
  • Artículo 30: Requisitos contractuales para los proveedores de servicios de TIC externos

Pasos para la implementación

  1. Implementar Conmutación por error híbrida RSA ID Plus para garantizar que los servicios de autenticación sigan estando disponibles en caso de que fallen los componentes en la nube o locales, con una conmutación automática entre entornos en menos de 60 segundos.
  2. Implementar Cerradura móvil RSA para garantizar que se realicen comprobaciones del estado de los dispositivos del personal que acceda a los sistemas de negociación desde dispositivos móviles o no gestionados.
  3. Identificar todas las dependencias de autenticación de terceros en el ámbito de las TIC y verificar el cumplimiento contractual de la normativa DORA, de conformidad con el artículo 30.
  4. Realizar simulacros trimestrales de recuperación ante desastres que incluyan escenarios de fallo del sistema de autenticación, documentando los objetivos de tiempo de recuperación (RTO) y los objetivos de punto de recuperación (RPO) para su revisión por parte de las autoridades reguladoras.

Indicadores de éxito

  • La disponibilidad de la autenticación durante las interrupciones de la infraestructura mejoró de 67% a 99,9%
  • El tiempo de recuperación (RTO) de los servicios de identidad se ha reducido de 4 horas a menos de 3 minutos
  • Se han actualizado todos los contratos con terceros en materia de TIC para incluir las disposiciones sobre resiliencia exigidas por la DORA dentro del plazo de preparación de 12 meses.
  • Los resultados de la simulación de recuperación están documentados y listos para su revisión por parte de la autoridad competente

Lección clave La continuidad operativa en el marco de la DORA no consiste únicamente en prevenir los ataques, sino también en mantener el funcionamiento durante los mismos. La conmutación por error híbrida para la autenticación es tan fundamental para el cumplimiento de la DORA como la propia autenticación fuerte.

Escenario 3: Empresa de gestión de inversiones que responde a un incidente cibernético en el marco de la DORA

Reto Una gestora de activos con sede en la UE y 40 000 millones de euros en activos bajo gestión sufre un ataque basado en credenciales dirigido a su plataforma de administración de fondos. Una campaña de phishing de tipo “adversario en el medio” compromete una cuenta de servicio, lo que permite el movimiento lateral dentro de la red. Según el marco de clasificación y notificación de incidentes de la DORA, la organización debe notificar a su autoridad competente en un plazo de 24 horas tras clasificar el incidente como «grave», y presentar un informe provisional en un plazo de 72 horas y un informe final en el plazo de un mes.

Requisitos de la DORA que son de aplicación

  • Artículo 17: Gestión, clasificación y notificación de incidentes relacionados con las TIC
  • Artículo 19: Obligaciones y plazos para la notificación de incidentes graves
  • Artículo 9: Autenticación y controles de acceso que deben seguir funcionando durante el incidente

Cronología del incidente y respuesta

  • Hora 0: RSA Risk AI detecta un comportamiento anómalo en la autenticación: una cuenta de servicio que inicia sesión desde una ubicación geográfica atípica y accede a sistemas fuera de su patrón de acceso habitual. Se activa una suspensión automática del acceso a la espera de que se lleve a cabo una investigación.
  • Segunda hora: El equipo de seguridad confirma la intrusión. La cuenta se desactiva a través de RSA ID Plus en menos de 60 segundos. Se ha contenido el movimiento lateral.
  • Hora 6: La clasificación interna confirma que este incidente cumple el umbral de “incidente grave” establecido por DORA, en función del impacto en la disponibilidad de los sistemas fundamentales.
  • Hora 18: Notificación inicial presentada ante la autoridad competente —dentro del plazo de 24 horas— en la que se indiquen el tipo de incidente, los motivos de su clasificación y las medidas de contención inmediatas adoptadas.
  • Hora 60: Se ha presentado un informe provisional —dentro del plazo exigido de 72 horas— que incluye la cronología completa del incidente, el análisis de la causa raíz (autenticación multifactorial vulnerable al phishing en la cuenta comprometida), los sistemas afectados y las medidas correctivas.
  • Semana 4: Se ha presentado el informe final del incidente, que incluye el análisis posterior al incidente, las mejoras de control aplicadas (se ha implantado la autenticación multifactorial resistente al phishing en todas las cuentas de servicio) y los cambios en los umbrales de supervisión.

Indicadores de éxito

  • El incidente se contuvo en las dos horas siguientes a su detección
  • Se han cumplido los tres plazos de notificación de DORA: 24 horas para la notificación inicial, 72 horas para la intermedia y un mes para la final.
  • No se produjo ninguna interrupción en los servicios de administración de fondos durante el incidente gracias al sistema de conmutación por error de la autenticación.
  • Medidas correctivas inmediatas: las cuentas de servicio 100% se migraron a un sistema de autenticación resistente al phishing en un plazo de 30 días desde el incidente.

Lección clave Los requisitos de notificación de incidentes de DORA premian a las organizaciones que ya han invertido en la detección y contención rápidas. RSA Risk AI El análisis del comportamiento redujo el tiempo transcurrido desde el inicio del ataque hasta su contención, pasando de una media potencial de 254 días (la norma del sector en casos de filtraciones de credenciales) a menos de 2 horas, lo que transformó el discurso sobre el cumplimiento normativo de “hemos sufrido una filtración” a “la hemos detectado, contenido y notificado dentro del marco de la DORA”.”

Enfoque de RSA de la seguridad de identidad conforme a DORA

En RSA, ayudamos a las instituciones financieras a hacer operativa la identidad como pilar de la resiliencia. Nuestra plataforma de identidad que da prioridad a la seguridad, RSA ID Plus, está diseñado para entornos regulados como el financiero.

Juntas, estas soluciones proporcionan los controles necesarios para ajustarse a la DORA y reforzar su organización más allá del cumplimiento.

DORA marca un punto de inflexión para la identidad en los servicios financieros. Eleva la IAM de una preocupación técnica a un mandato normativo y a un factor estratégico de resiliencia operativa.

Las instituciones financieras que adopten estrategias de seguridad que den prioridad a la identidad no sólo cumplirán los requisitos de la DORA, sino que también obtendrán una ventaja competitiva en seguridad, agilidad y confianza de los clientes. Ahora es el momento de replantearse su postura de identidad antes de que comience la aplicación de la DORA.

Preguntas frecuentes sobre el cumplimiento de la normativa DORA
¿Cuál es el plazo exacto para que las entidades financieras cumplan con la normativa DORA?

La Ley de Resiliencia Operativa Digital (DORA) entró en vigor el 16 de enero de 2023 y pasó a ser plenamente aplicable a partir del 17 de enero de 2025 — la fecha a partir de la cual todas las entidades financieras afectadas y los proveedores externos de TIC críticos debían cumplir con la normativa y se activaron las facultades de ejecución en los 27 Estados miembros de la UE. No hay periodo de gracia para las instituciones que aún no hayan cumplido los requisitos; las autoridades competentes podrán iniciar investigaciones e imponer sanciones a partir de esa fecha.

Para las instituciones que aún están trabajando para alcanzar el pleno cumplimiento, la prioridad es demostrar que cuentan con un programa de cumplimiento documentado y en constante evolución, especialmente en el caso de infraestructuras de identidad heredadas y complejas que no pueden modernizarse de la noche a la mañana.

¿Cuáles son las sanciones específicas por el incumplimiento de la DORA?

La DORA establece un régimen sancionador de dos niveles. Entidades financieras se enfrentan a multas de hasta 2% de la facturación anual total a nivel mundial o 1% del volumen de negocio medio diario a nivel mundial—lo que resulte aplicable según la evaluación de la autoridad competente— con la tarifa diaria aplicada como multa de carácter continuado hasta que se cumpla la normativa. Los altos directivos a los que se considere responsables de las infracciones podrán enfrentarse a multas personales de hasta €1,000,000.

Proveedores críticos de TIC de terceros (CTPP) Las entidades designadas por las autoridades supervisoras europeas se enfrentan a un mayor riesgo: hasta €5,000,000 por infracción, con multas a nivel individual de hasta €500,000, además de sanciones diarias de hasta 1% del volumen de negocio medio diario a nivel mundial por un máximo de seis meses. Además de las sanciones económicas, las autoridades competentes pueden hacer públicas las infracciones de la DORA, lo que genera un riesgo reputacional que, para las entidades financieras reguladas, puede superar el coste económico de la propia multa.

¿Qué entidades financieras están sujetas a los requisitos de la DORA?

La DORA se aplica prácticamente a todo el sector financiero de la UE. Entre las entidades afectadas se incluyen las entidades de crédito, las entidades de pago y de dinero electrónico, las empresas de inversión, los proveedores de servicios de criptoactivos (CASP), los depositarios centrales de valores, las contrapartes centrales, los centros de negociación, los gestores de fondos de inversión alternativos, las empresas de seguros y reaseguros, las agencias de calificación crediticia, las firmas de auditoría de entidades de interés público y los proveedores de servicios de financiación colectiva.

Es importante destacar que el ámbito de aplicación de la DORA se extiende más allá de las instituciones con sede en la UE. Las entidades financieras no pertenecientes a la UE que operan dentro de la UE, así como los proveedores de servicios de TIC externos —incluidos los proveedores de servicios en la nube— que prestan servicios a entidades financieras sujetas a la normativa de la UE, también están sujetos a los requisitos de la DORA en virtud de las disposiciones contractuales del artículo 30. Las empresas de servicios financieros con sede en EE. UU. que operen en la UE o tengan clientes con sede en la UE no deben dar por sentado que quedan fuera del ámbito de aplicación.

¿Qué controles de seguridad de la identidad exige específicamente la DORA?

La DORA no prescribe tecnologías concretas, pero sus requisitos en materia de gestión de riesgos y control de acceso, recogidos en los artículos 9 y 10, se traducen directamente en capacidades obligatorias de gestión de identidades y acceso (IAM). Las entidades financieras deben implementar lo siguiente:

  • Autenticación fuerte Para todos los sistemas: se exige expresamente la aplicación de políticas y protocolos de autenticación multifactorial (MFA), y se recomienda el uso de métodos resistentes al phishing para los accesos privilegiados y de alto riesgo.
  • Control de acceso basado en el principio del mínimo privilegio: Los usuarios y los sistemas solo deben disponer de los derechos de acceso necesarios para el desempeño de sus funciones, que deben revisarse de forma continua y ajustarse en tiempo real.
  • Gobernanza del acceso: Se requieren revisiones periódicas y documentadas de los accesos, así como ciclos de certificación, junto con procesos automatizados de concesión y retirada de derechos de acceso para evitar la acumulación progresiva de privilegios.
  • Detección de anomalías: La supervisión continua de los patrones de autenticación y acceso permite detectar y responder ante actividades inusuales que puedan indicar una violación de la seguridad.
  • Continuidad operativa de los servicios de identidad: La infraestructura de autenticación debe seguir estando disponible durante los incidentes cibernéticos y las interrupciones del servicio, y debe contar con objetivos de recuperación documentados.
  • Mantenimiento del registro de auditoría: Deben estar disponibles registros exhaustivos y a prueba de manipulaciones de todos los eventos relacionados con la identidad y el acceso, para su revisión por parte de las autoridades reguladoras y la investigación de incidentes.

RSA ID Plus para servicios financieros se corresponde directamente con cada uno de estos requisitos.

¿En qué se diferencia la DORA de otras normativas financieras de la UE, como la PSD2?

La Directiva sobre servicios de pago 2 (PSD2) se centró específicamente en garantizar la seguridad de los pagos digitales y exigió a los proveedores de servicios de pago que notificaran los incidentes graves a las autoridades reguladoras en un plazo de dos horas desde su detección. La DORA sustituye a las normas de notificación de incidentes de la PSD2 para todas las entidades sujetas a ambos marcos normativos: la Autoridad Bancaria Europea derogó oficialmente sus directrices sobre notificación de incidentes graves de la PSD2 a partir del 17 de enero de 2025, sustituyéndolas por el marco armonizado de la DORA.

La diferencia fundamental radica en el alcance: la PSD2 abarcaba la seguridad de los pagos; la DORA abarca el conjunto de riesgos relacionados con las TIC de todas las entidades financieras, para todos los incidentes operativos y de seguridad, y no solo los relacionados con los pagos. El plazo para la notificación de incidentes de la DORA también está más estructurado: 24 horas para la notificación inicial, 72 horas para un informe provisional, y un mes para un informe final. La DORA también establece una autoridad de supervisión directa sobre terceros críticos del sector de las TIC, un mecanismo de rendición de cuentas que no tiene equivalente en la PSD2.

¿Qué ocurre si una entidad financiera sufre un incidente cibernético en el marco de la DORA?

De conformidad con los artículos 17 y 19 de la DORA, las instituciones deben seguir un proceso definido de respuesta y notificación de incidentes. En primer lugar, el incidente debe detectarse, registrarse y clasificarse; la DORA establece criterios para determinar qué constituye un incidente “grave” en función del impacto en la disponibilidad del servicio, el número de clientes afectados, la extensión geográfica y el impacto económico. Una vez clasificado como grave, comienza el plazo para notificarlo:

  1. Notificación inicial a la autoridad competente en un plazo de 24 horas de su clasificación como incidente grave
  2. Informe provisional en 72 horas con una descripción detallada del incidente, las medidas de contención adoptadas y una evaluación inicial de la causa raíz
  3. Informe final en un mes del informe provisional, incluyendo el análisis completo posterior al incidente, las medidas correctoras permanentes y las lecciones aprendidas

Durante todo el incidente, los servicios de identificación y autenticación deben seguir funcionando. La normativa DORA exige expresamente que los planes de continuidad del negocio abarquen la infraestructura de las TIC, incluidos los sistemas de acceso y autenticación; las instituciones no pueden alegar un incidente en curso como justificación para que los sistemas de autenticación no estén disponibles.

¿Pueden las soluciones de identidad basadas en la nube cumplir los requisitos de la DORA?

Sí, siempre que la solución basada en la nube y sus condiciones contractuales cumplan los requisitos de DORA para los proveedores externos de TIC, según lo establecido en el artículo 30. Los proveedores de identidad en la nube deben ofrecer garantías contractuales en materia de disponibilidad del servicio, plazos de notificación de incidencias, derechos de auditoría y portabilidad de los datos. Las instituciones que dependan exclusivamente de un servicio de autenticación en la nube sin una capacidad híbrida de conmutación por error podrían tener dificultades para demostrar la continuidad operativa que exige el DORA.

RSA ID Plus está diseñado específicamente para este reto: admite la autenticación en la nube, híbrida y local desde una única plataforma, con conmutación por error híbrida garantizar que los servicios de autenticación sigan estando disponibles en caso de que se interrumpa la conectividad a la nube. Esto permite disfrutar de las ventajas que ofrece la gestión en la nube en materia de cumplimiento normativo —administración centralizada, actualizaciones automáticas, escalabilidad— sin el riesgo de un «punto único de fallo» que los organismos reguladores están analizando minuciosamente.

¿Qué documentación se necesita para demostrar el cumplimiento de la normativa DORA?

La DORA exige a las entidades financieras que conserven y puedan presentar, cuando se les solicite:

  • Documentación sobre el marco de gestión de riesgos de las TIC—políticas, procedimientos y controles que se ajustan a los requisitos de DORA, revisados y aprobados por el órgano de dirección al menos una vez al año
  • Acceder a los registros de revisión—ciclos de certificación de acceso documentados y con marca de tiempo que demuestren la aplicación del principio del mínimo privilegio y la retirada oportuna de los derechos de acceso del personal que haya dejado la empresa y de aquellos cuyos roles hayan cambiado
  • Registros de incidentes—un registro completo de todos los incidentes relacionados con las TIC, su clasificación, cronología, medidas de contención y resultados
  • Informes sobre incidentes graves—todas las notificaciones presentadas (iniciales, intermedias y finales) relativas a cualquier incidente que cumpla los criterios de clasificación de incidentes graves de la DORA
  • Contratos de TIC con terceros—Acuerdos que cumplan con lo dispuesto en el artículo 30 con todos los proveedores de servicios de TIC, incluidos los proveedores de autenticación en la nube y de gestión de identidades
  • Planes de continuidad del negocio y de recuperación ante desastres—Planes documentados y probados que abarcan la disponibilidad del sistema de autenticación, con resultados de RTO/RPO registrados a partir de simulaciones

Gobernanza y ciclo de vida de RSA automatiza la generación y el mantenimiento de los registros de revisión de accesos y los informes de cumplimiento, lo que reduce el tiempo necesario para elaborar documentación lista para la auditoría de semanas a horas.

También le puede interesar...

Solicitar una demostración

Demostración