defensiva
resiliencia cibernética
evaluación de resiliencia
métricas de resiliencia

Evaluación de resiliencia cibernética: cómo medirla

Qué es una evaluación de resiliencia cibernética, en qué se diferencia de un análisis de riesgos y de DORA, y las métricas para medir la resiliencia.

Secra6 de julio de 202610 min de lectura

Una evaluación de resiliencia cibernética (en inglés cyber resilience assessment) mide algo que el análisis de vulnerabilidades tradicional pasa por alto: no cuántos agujeros tienes, sino cuánto aguanta tu organización cuando un ataque los aprovecha. La pregunta que responde no es "¿estoy protegido?" sino "¿puedo seguir operando y recuperarme cuando la protección falle?". Asume que el incidente ocurrirá y se centra en anticipar, resistir, recuperarse y adaptarse. Este artículo explica qué es exactamente esa evaluación, en qué se diferencia de un análisis de riesgos puntual y del cumplimiento de DORA, y cuáles son las métricas de resiliencia cibernética concretas que permiten responder, con números, a la pregunta de cómo medir la resiliencia.

Lo esencial sobre la evaluación de resiliencia cibernética

  • Mide la capacidad de seguir operando y recuperarse ante un incidente, no solo la de evitarlo.
  • Se apoya en los cuatro objetivos del NIST SP 800-160 Vol. 2: anticipar, resistir, recuperar y adaptar.
  • Las métricas clave son MTTD, MTTR, RTO, RPO, cobertura de controles y contención del radio de impacto.
  • Un modelo de madurez de cinco niveles permite hacer benchmark y fijar un objetivo realista.
  • No es lo mismo que un análisis de riesgos (predictivo y puntual) ni que cumplir DORA (obligación regulatoria).

Qué es una evaluación de resiliencia cibernética

Una evaluación de resiliencia cibernética valora, con evidencias, hasta qué punto una organización puede mantener sus funciones críticas de negocio durante y después de un evento adverso. El marco de referencia más citado es el NIST SP 800-160 Vol. 2 (Cyber Resiliency Engineering Framework), que estructura la resiliencia en cuatro objetivos: anticipar la amenaza, resistir su impacto, recuperar el servicio y adaptarse para la próxima vez. A su lado conviven el NIST CSF 2.0, que incorporó la función Gobernar, la ISO 22301 de continuidad de negocio, la ISO/IEC 27031 de preparación TIC y el modelo C2M2 del Departamento de Energía de Estados Unidos.

La diferencia con un enfoque puramente preventivo es de mentalidad. La prevención busca reducir la probabilidad de que ocurra un incidente. La resiliencia asume que ocurrirá y mide qué pasa entonces: cuánto tardas en darte cuenta, cuánto se propaga, cuánto tiempo estás caído y cuánta información pierdes. Una organización puede tener un buen catálogo de controles y, aun así, una resiliencia baja si nunca ha probado si esos controles contienen y recuperan un incidente real.

Resiliencia, riesgo y DORA: tres cosas distintas

Estos tres conceptos se confunden a menudo en las conversaciones comerciales, y conviene separarlos porque responden a preguntas diferentes.

EjercicioPregunta que respondeNaturalezaAlcance
Análisis de riesgos¿Qué puede salir mal y con qué impacto?Predictivo y puntualToda amenaza priorizada por probabilidad e impacto
Evaluación de resiliencia¿Cuánto aguanto y me recupero cuando ocurre?Basada en resultados y continuaServicios críticos y su capacidad de operar bajo estrés
Cumplimiento de DORA¿Cumplo los artículos del reglamento?Obligación regulatoriaEntidades financieras designadas y sus proveedores TIC

Un análisis de riesgos (siguiendo ISO 27005 o NIST SP 800-30) estima la probabilidad y el impacto de las amenazas en un momento dado para priorizar controles. Es una foto: útil para decidir dónde invertir, pero muda sobre lo que ocurre cuando el riesgo se materializa. La evaluación de resiliencia empieza justo ahí, en el momento del impacto, y es continua por naturaleza porque los entornos cambian a diario.

El cumplimiento de DORA (Reglamento UE 2022/2554) es otra cosa: una obligación legal para las entidades financieras y sus proveedores críticos, que impone gestión del riesgo TIC, notificación de incidentes, pruebas de resiliencia operativa digital (incluido el TLPT dirigido por inteligencia) y control de terceros. Es binario: cumples los artículos o no. Puedes estar en regla sobre el papel y tener una resiliencia medida baja, y al revés. La evaluación de resiliencia es la disciplina técnica y de gestión que alimenta ese cumplimiento con evidencias reales. Si tu contexto es financiero, conviene cruzar esto con nuestra guía de cumplimiento de DORA y con las diferencias entre DORA y NIS2.

Métricas de resiliencia cibernética (cómo medir la resiliencia)

Sin métricas, la resiliencia es una opinión. Estas son las métricas de resiliencia cibernética que convierten esa opinión en un dato defendible ante el comité de dirección.

Detección y respuesta: MTTD y MTTR

El MTTD (mean time to detect, tiempo medio de detección) mide cuánto pasa desde que ocurre el compromiso hasta que alguien lo advierte. El MTTR puede referirse al tiempo medio de respuesta o de recuperación, así que conviene desglosarlo: MTTA (reconocer la alerta), tiempo de contención y tiempo de recuperación total. Cuanto más bajo el MTTD, menos margen tiene el atacante para moverse. Estos números salen del SIEM, del EDR y de la operativa del Blue Team, y solo son fiables si se miden sobre incidentes reales o simulados, no sobre estimaciones.

Recuperación: RTO y RPO

El RTO (recovery time objective) es el tiempo máximo tolerable que un servicio crítico puede estar caído antes de causar un daño inaceptable. El RPO (recovery point objective) es la cantidad máxima de datos, medida en tiempo, que puedes permitirte perder, y determina la frecuencia de tus copias. La trampa habitual es fijar objetivos sobre el papel y no medir nunca el valor real: el RTO alcanzado en un simulacro suele ser mucho peor que el objetivo. Esa brecha, y no el objetivo, es lo que mide la resiliencia real. Para esto es imprescindible probar restauraciones completas desde copias inmutables, algo que desarrollamos en nuestra guía sobre qué es un backup.

Cobertura de controles

La cobertura de controles expresa qué porcentaje de las técnicas relevantes de MITRE ATT&CK se previenen o se detectan de verdad en tu entorno. Es el puente entre la resiliencia y la validación adversaria: no basta con tener un EDR, hay que confirmar qué técnicas frena. Este dato se obtiene ejecutando un programa de validación de seguridad continua, que además detecta el desvío de configuración: una cobertura del 80 por ciento que baja al 60 en tres meses avisa de controles degradados antes de que lo haga un atacante.

Contención del radio de impacto (blast radius)

La contención del radio de impacto mide hasta dónde puede propagarse una intrusión antes de que la segmentación, el mínimo privilegio o el aislamiento la detengan. Se cuantifica con ejercicios de brecha asumida (assumed breach): número de saltos laterales posibles desde un endpoint comprometido, tiempo hasta alcanzar un sistema crítico y porcentaje de las joyas de la corona accesibles. Un radio de impacto pequeño convierte un incidente grave en uno molesto.

Modelo de madurez para hacer benchmark

Un modelo de madurez permite situarse y fijar un objetivo realista en lugar de aspirar a la perfección de golpe. Adaptamos aquí la lógica del C2M2 y de los niveles del NIST CSF en cinco escalones.

  • Nivel 1, Inicial. No hay objetivos de resiliencia definidos. La recuperación se improvisa y no se mide nada. Las copias existen pero nunca se han restaurado.
  • Nivel 2, Reactivo. Hay copias y algún manual de respuesta. Se han definido RTO y RPO para unos pocos sistemas, pero las métricas no se siguen en el tiempo.
  • Nivel 3, Gestionado. Los objetivos de resiliencia están documentados, con RTO y RPO para todos los servicios críticos. El plan de respuesta se prueba al menos una vez al año y se registran MTTD y MTTR.
  • Nivel 4, Medido. La validación es continua, se hacen ejercicios de radio de impacto, las métricas se representan como tendencias y se vigila el desvío de la cobertura de controles.
  • Nivel 5, Adaptativo. La resiliencia se diseña desde el origen: segmentación, copias inmutables, pruebas de fallo controladas. Las métricas gobiernan decisiones de dirección y cada incidente alimenta una mejora medible.

La mayoría de las organizaciones medianas se sitúan entre el nivel 2 y el 3. El valor de una evaluación formal es precisamente ubicarte con evidencias y trazar el camino al siguiente escalón.

Checklist de autoevaluación paso a paso

Este checklist funciona como rampa de entrada a una evaluación de resiliencia completa. Responde con sinceridad: cada "no" es una brecha que un ejercicio formal cuantificaría.

  1. ¿Has identificado y priorizado tus servicios críticos de negocio y sus dependencias mediante un análisis de impacto (BIA)?
  2. ¿Existen RTO y RPO documentados por servicio crítico y los has probado en los últimos doce meses?
  3. ¿Mides MTTD y MTTR sobre incidentes reales o simulados, no sobre estimaciones?
  4. ¿Tienes copias inmutables o fuera de línea y has ejecutado una restauración completa de extremo a extremo?
  5. ¿Está tu red segmentada para limitar el radio de impacto y has hecho un ejercicio de brecha asumida?
  6. ¿Tu plan de respuesta a incidentes se prueba con ejercicios de mesa y con pruebas técnicas?
  7. ¿Sigues la cobertura de controles frente a MITRE ATT&CK y vigilas su desvío?
  8. ¿Existe un plan de crisis y comunicación con roles definidos para dentro y fuera de la organización?
  9. ¿Cada incidente genera lecciones aprendidas que se incorporan de vuelta a los controles y procesos?

Si has respondido "no" a tres o más puntos, tu resiliencia depende más de la suerte que del diseño. Una evaluación formal traduce esas brechas en un plan priorizado con objetivos y coste.

Preguntas frecuentes

¿En qué se diferencia una evaluación de resiliencia de un análisis de riesgos?

El análisis de riesgos es predictivo y puntual: estima qué amenazas son más probables y con qué impacto para priorizar controles. La evaluación de resiliencia es continua y basada en resultados: mide qué ocurre cuando el riesgo se materializa, es decir, cuánto tardas en detectar, cuánto se propaga, cuánto tiempo estás caído y cuántos datos pierdes. Uno decide dónde invertir; la otra comprueba si esa inversión aguanta el golpe.

¿Cumplir DORA significa que soy resiliente?

No necesariamente. DORA es una obligación regulatoria para el sector financiero que impone procesos, notificaciones y pruebas. Puedes cumplir los artículos sobre el papel y tener una resiliencia medida baja si nunca has probado tus RTO reales o tu contención del radio de impacto. El cumplimiento marca un suelo; la evaluación de resiliencia mide la capacidad real y genera la evidencia que el propio DORA exige.

¿Cuáles son las métricas mínimas para empezar a medir la resiliencia?

Cuatro números son un punto de partida sólido: MTTD y MTTR para detección y respuesta, y RTO y RPO reales (los alcanzados en un simulacro, no los objetivos sobre el papel) para la recuperación. Con esos cuatro ya puedes trazar una tendencia y compararte con el objetivo de tu sector. La cobertura de controles y la contención del radio de impacto son el siguiente paso natural.

¿Cada cuánto debería hacerse una evaluación de resiliencia?

La foto formal completa suele ser anual, pero las métricas que la sostienen deben medirse de forma continua. Las restauraciones de copias y los ejercicios de brecha asumida se recomiendan al menos cada trimestre, y la cobertura de controles se vigila de forma permanente para detectar el desvío. Una evaluación anual sin medición continua entre medias envejece muy rápido.

Siguiente paso

Una evaluación de resiliencia cibernética solo aporta valor si alguien la traduce en métricas defendibles y en un plan de mejora con objetivos claros. En Secra medimos tu MTTD, MTTR, RTO y RPO reales, ejecutamos ejercicios de contención del radio de impacto y te situamos en el modelo de madurez con evidencias, no con impresiones. Si quieres saber cuánto aguanta hoy tu organización, cuéntanos el contexto y te decimos por dónde empezar.

Sobre el autor

Equipo de Secra Solutions

Ethical hackers certificados OSCP, OSEP, OSWE, CRTO, CRTL y CARTE, con más de 7 años de experiencia en ciberseguridad ofensiva. Autores de los CVE-2025-40652 y CVE-2023-3512.

Compartir artículo