Tu institución financiera contrata pentesters cada año. Te entregan un reporte con vulnerabilidades clasificadas por severidad. Lo archivas, remedias lo crítico, y el ciclo se repite. Pero hay una pregunta que ese pentest nunca responde: si un grupo de atacantes patrocinados por un Estado-nación decidiera ir tras tu infraestructura de pagos, ¿cuántos días pasarían antes de que alguien se diera cuenta? No hablamos de encontrar un SQL injection en una aplicación web. Hablamos de simular cómo operan APT38, FIN7 o Lazarus Group. Esa es la diferencia entre un ejercicio de Red Team tradicional y un TLPT. Y a partir de julio de 2025, esa diferencia se volvió una obligación regulatoria para ciertas instituciones financieras en Europa.
Qué Es Red Team y Por Qué No Es Suficiente Para Todos
Un ejercicio de Red Team es una simulación de ataque donde un equipo de especialistas intenta comprometer una organización utilizando las mismas tácticas, técnicas y procedimientos que usarían atacantes reales. A diferencia de un penetration test tradicional que busca identificar la mayor cantidad de vulnerabilidades en un alcance definido, el Red Team tiene un objetivo específico: acceder a los “crown jewels” de la organización, ya sea información financiera, propiedad intelectual o sistemas críticos.
El Blue Team, el equipo defensivo de la organización, generalmente no sabe que el ejercicio está ocurriendo. Esto permite medir no solo las vulnerabilidades técnicas, sino también la capacidad real de detección y respuesta ante un incidente. Un Red Team puede durar de cuatro a seis semanas, involucra reconocimiento extensivo, desarrollo de herramientas personalizadas, ingeniería social, y en algunos casos vectores de ataque físico.
El problema es que incluso un Red Team robusto tiene limitaciones. Los escenarios de ataque se diseñan internamente o por el proveedor, no necesariamente reflejan las amenazas específicas que enfrenta esa organización en particular. No hay supervisión regulatoria. Los resultados se quedan internamente. Y no existe un estándar uniforme que garantice la calidad y profundidad del ejercicio.
TLPT: Red Teaming Con Esteroides Regulatorios
Threat-Led Penetration Testing es la evolución del Red Team tradicional, diseñada específicamente para el sector financiero bajo el marco regulatorio europeo. El TLPT no es simplemente un pentest más completo; es un ejercicio supervisado por autoridades regulatorias que simula ataques de amenazas persistentes avanzadas contra sistemas de producción en vivo.
La diferencia fundamental está en el componente de inteligencia de amenazas. Antes de cualquier ataque simulado, un proveedor externo de Threat Intelligence desarrolla escenarios basados en las amenazas reales y actuales que enfrenta la institución específica. Si eres un banco con operaciones en comercio internacional, los escenarios reflejarán las TTPs de grupos como APT38 que históricamente han atacado sistemas SWIFT. Si procesas pagos masivos, los escenarios incluirán técnicas de grupos especializados en fraude financiero.
El ejercicio de Red Team que sigue no dura dos semanas. El estándar mínimo bajo DORA es de 12 semanas de operaciones activas contra sistemas de producción. Esto significa ataques reales contra la infraestructura que procesa transacciones reales, con todo el riesgo operacional que eso implica. Al finalizar, el Purple Teaming es obligatorio: Red Team y Blue Team trabajan juntos para analizar qué funcionó, qué falló, y desarrollar estrategias de remediación conjuntas.
Las Diferencias Que Importan
La distinción entre Penetration Testing, Red Team y TLPT no es solo semántica. Cada metodología tiene un propósito específico y un nivel de madurez organizacional requerido.
Un Penetration Test tradicional tiene un alcance definido y limitado. Puede ser una aplicación web, un segmento de red, o una infraestructura cloud específica. El objetivo es encontrar y documentar vulnerabilidades técnicas. El Blue Team sabe que el test está ocurriendo, los controles de seguridad pueden estar relajados para permitir el testing, y el resultado es una lista priorizada de hallazgos para remediar. Duración típica: una a tres semanas.
Un ejercicio de Red Team expande el alcance a toda la organización. El objetivo ya no es encontrar vulnerabilidades, sino lograr un objetivo específico como exfiltrar datos sensibles o comprometer un sistema crítico. El Blue Team no sabe que está siendo evaluado. Los atacantes usan cualquier vector disponible: técnico, social, físico. El resultado mide la efectividad de la detección y respuesta, no solo las debilidades técnicas. Duración típica: cuatro a ocho semanas.
Un TLPT lleva esto al siguiente nivel. El alcance cubre funciones críticas de la organización y toda la infraestructura ICT que las soporta, incluyendo proveedores terceros relevantes. Los escenarios de ataque se basan en inteligencia de amenazas específica para la institución. La ejecución es en sistemas de producción en vivo. Hay supervisión regulatoria durante todo el proceso. El Purple Teaming es obligatorio. Los resultados se reportan al regulador y pueden resultar en una atestación formal. Duración típica: tres a seis meses incluyendo todas las fases.
A Quién Aplica el TLPT Bajo DORA
El Digital Operational Resilience Act entró en vigor el 17 de enero de 2025, y los estándares técnicos para TLPT se volvieron aplicables el 8 de julio de 2025. DORA aplica a más de 22,000 entidades financieras en la Unión Europea, pero no todas están obligadas a realizar TLPT.
El TLPT es obligatorio para instituciones consideradas “sistémicamente importantes”, específicamente aquellas cuya interrupción podría amenazar la estabilidad del sistema financiero. Esto incluye aproximadamente 120 bancos significativos bajo supervisión directa del BCE, instituciones de pago que procesan más de €120 mil millones anuales en transacciones, instituciones de dinero electrónico con más de €40 mil millones en circulación, infraestructuras de mercado como depositarios centrales de valores y contrapartes centrales, plataformas de trading que mantienen la mayor participación de mercado nacional o más del 5% del mercado europeo, y aseguradoras y reaseguradoras significativas que operan en múltiples jurisdicciones.
Para estas entidades, el TLPT debe realizarse al menos cada tres años. El primer deadline para instituciones significativas es enero de 2028. Sin embargo, los reguladores recomiendan comenzar la planificación con al menos 18 meses de anticipación dado la complejidad logística involucrada.
Las instituciones más pequeñas no están exentas de pruebas de seguridad. DORA requiere penetration testing anual para todas las entidades financieras reguladas, proporcional a su tamaño, perfil de riesgo y complejidad de operaciones.
Por Qué TLPT Es Crítico Para la Resiliencia Financiera
El sector financiero es el objetivo número uno de grupos de cibercrimen organizados y actores estatales. El FBI reportó que los ataques de Business Email Compromise causaron pérdidas de $2.77 mil millones solo en 2024. Los ataques de ransomware contra instituciones financieras se han vuelto cada vez más sofisticados, con grupos como LockBit y BlackCat específicamente diseñando variantes para evadir controles bancarios.
Un pentest tradicional puede identificar que tu firewall tiene una regla mal configurada. Un Red Team puede demostrar que esa mala configuración permite movimiento lateral hacia sistemas internos. Pero solo un TLPT puede responder la pregunta crítica: si un grupo como APT38 usara esa debilidad como parte de una campaña coordinada de meses contra tu institución, ¿tu equipo de seguridad lo detectaría antes de que se ejecutara una transferencia fraudulenta de $50 millones?
DORA reconoce que la resiliencia operacional no puede medirse con checklists de cumplimiento. La única forma de saber si una institución puede sobrevivir un ataque sofisticado es simular ese ataque bajo condiciones realistas. El TLPT convierte el testing de seguridad de un ejercicio de checkbox en una prueba real de supervivencia organizacional.
Cuándo Usar Cada Metodología
La elección entre Penetration Testing, Red Team y TLPT depende del nivel de madurez de seguridad de tu organización y tus obligaciones regulatorias.
Si tu organización está comenzando su programa de seguridad ofensiva o necesita cumplir requerimientos básicos de compliance como PCI-DSS, comienza con Penetration Testing regular. Esto te dará visibilidad sobre vulnerabilidades técnicas específicas y establecerá una línea base de seguridad.
Si ya realizas pentests regularmente y encuentras cada vez menos vulnerabilidades críticas, es momento de considerar ejercicios de Red Team. Esto evaluará no solo tus controles técnicos, sino también la efectividad de tu equipo de detección y respuesta.
Si eres una institución financiera significativa en la Unión Europea, el TLPT no es opcional. Comienza la planificación ahora. Identifica proveedores de Threat Intelligence y Red Team certificados bajo TIBER-EU. Establece tu Control Team interno. Y presupuesta adecuadamente: esto no es un proyecto de IT, es una iniciativa de resiliencia organizacional que requiere involucramiento a nivel de directorio.
¿Necesitas Evaluar Tu Preparación?
En ONESEC tenemos experiencia en ejercicios de Red Team contra instituciones financieras y corporativos de alto perfil. Si estás evaluando tu preparación para TLPT o necesitas ejercicios de Red Team que vayan más allá del pentest tradicional, contáctanos en onesec.mx para una consulta inicial.
Referencias
European Banking Authority – Joint Regulatory Technical Standards specifying elements related to threat led penetration tests. Recuperado el 27 de marzo de 2026 de https://www.eba.europa.eu/activities/single-rulebook/regulatory-activities/operational-resilience/joint-regulatory-technical-standards-specifying-elements-related-threat-led-penetration-tests
TIBER.info – The DORA Threat-led Penetration Testing RTS has been published. Recuperado el 27 de marzo de 2026 de https://tiber.info/blog/2025/06/18/the-dora-threat-led-penetration-testing-rts-has-been-published/
OffSec – Red Teaming vs Pentesting: Key Differences. Recuperado el 27 de marzo de 2026 de https://www.offsec.com/blog/red-teaming-vs-pentesting/
Blaze InfoSec – Threat-Led Penetration Testing For DORA – How Does It Work? Recuperado el 27 de marzo de 2026 de https://www.blazeinfosec.com/post/threat-led-penetration-testing-for-dora/
DeepStrike – DORA Penetration Testing & TLPT Requirements in 2025. Recuperado el 27 de marzo de 2026 de https://deepstrike.io/blog/dora-penetration-testing-tlpt-requirements