TIBER-EU (Threat Intelligence-Based Ethical Red-teaming) es el framework europeo de Red Team intelligence-led publicado por el BCE en 2018. Bajo DORA, los TLPT (Threat-Led Penetration Tests) heredan la metodología TIBER y la convierten en obligatoria cada 3 años para entidades financieras designadas. El ejercicio se ejecuta sobre sistemas de producción, dura típicamente 12-20 semanas, requiere proveedores externos acreditados independientes (TI provider + RT provider), un White Team que conoce el ejercicio y un Blue Team sometido al test sin previo aviso. Coste orientativo: 80.000-250.000 € según alcance y complejidad. Es la prueba de resiliencia más exigente y realista que existe en el sector financiero.
Qué es TIBER-EU
TIBER-EU son las siglas de Threat Intelligence-Based Ethical Red-teaming, un framework publicado por el Banco Central Europeo en 2018 para coordinar la realización de ejercicios de Red Team basados en inteligencia de amenazas sobre sistemas en producción de entidades financieras europeas.
El framework define:
- Metodología armonizada para todos los ejercicios europeos
- Roles y responsabilidades de cada participante
- Requisitos de acreditación para proveedores
- Estructura de fases y entregables
- Mecanismos de cooperación entre supervisores nacionales
TIBER-EU fue voluntario durante 2018-2024 y fue adoptado por bancos centrales nacionales mediante implementaciones locales (TIBER-NL, TIBER-FR, TIBER-DE, etc.). En España, TIBER-ES está bajo coordinación del Banco de España.
Con la entrada en vigor de DORA (17 enero 2025), parte de la práctica TIBER-EU se convirtió en obligatoria para entidades financieras designadas, bajo la denominación TLPT.
TIBER-EU vs TLPT (terminología DORA)
| Concepto | TIBER-EU | TLPT bajo DORA |
|---|---|---|
| Origen | Framework BCE (2018) | Reglamento UE 2022/2554 |
| Aplicación | Voluntaria | Obligatoria para entidades designadas |
| Frecuencia | Recomendada | Mínima cada 3 años |
| Sistemas testados | Producción | Producción (DORA artículo 26.2) |
| Acreditación de proveedores | Recomendada | Obligatoria según RTS publicados por las ESAs |
| Reconocimiento mutuo | Voluntario entre países | Obligatorio entre Estados miembros |
| Resultado | Reporte privado a la entidad y al supervisor | Reporte a autoridad competente y, en su caso, a las ESAs |
Conclusión: TIBER-EU es la metodología base; TLPT es TIBER-EU obligatorio bajo DORA con algunas adaptaciones específicas.
¿A quién aplica?
Entidades del sector financiero designadas
DORA delega en la autoridad competente nacional la designación de entidades financieras obligadas a TLPT, basándose en:
- Tamaño y huella de mercado
- Perfil de riesgo TIC y operacional
- Rol sistémico en el sector financiero
- Servicios críticos que presta a otras entidades financieras
En la práctica, los obligados típicos son:
- Bancos sistémicos (G-SIIs y O-SIIs)
- Aseguradoras grandes y reaseguradoras
- Gestoras de mercados de valores e infraestructuras de mercado (CCPs, CSDs)
- Determinadas entidades de pago y dinero electrónico de gran tamaño
- Entidades de contrapartida central
Las entidades no designadas siguen sometidas al programa de pruebas general del pilar 3 de DORA, que incluye pentesting y otras pruebas, pero no TLPT formal.
Proveedores TIC críticos (CTPP)
Los CTPP designados pueden ser incluidos en el alcance del TLPT de la entidad financiera contratante, con cooperación obligatoria. Esto representa un cambio significativo: hyperscalers cloud, SaaS críticos y proveedores de servicios gestionados pueden ser sometidos a pruebas Red Team coordinadas.
Las 4 fases de un ejercicio TIBER
| Fase | Duración | Actividades clave |
|---|---|---|
| 1. Preparation | 4-6 semanas | Constitución del White Team · Definición de alcance · Selección de TI y RT providers · Generic Threat Landscape (GTL) |
| 2. Threat Intelligence | 3-5 semanas | Targeting research · Targeted Threat Intelligence Report (TTI) · Escenarios y TTPs realistas |
| 3. Red Teaming | 10-14 semanas | Execution sobre producción · Múltiples campañas y escenarios · Documentación de TTPs ejecutadas |
| 4. Closure & Replay | 3-5 semanas | Final Report · Replay con Blue Team · Lessons learned · Plan de remediación |
A continuación se detalla cada fase.
Fase 1 — Preparation
Constitución del White Team (mínimo 3-5 personas: CISO, jefe de continuidad, jefe de fraude, comunicación interna). El White Team es el único equipo interno que conoce el ejercicio.
Definición del alcance:
- Funciones críticas o importantes seleccionadas
- Sistemas, aplicaciones e infraestructura específicas
- Crown jewels definidas (los activos cuya compromiso confirma éxito del ejercicio)
- Reglas de engagement y out-of-scope
Selección de:
- TI provider acreditado (Threat Intelligence)
- RT provider acreditado (Red Team) — debe ser independiente del TI provider
Producción del Generic Threat Landscape (GTL): documento del supervisor nacional sobre amenazas generales al sector financiero del país.
Fase 2 — Threat Intelligence
El TI provider entrega el Targeted Threat Intelligence Report (TTI):
- Targeting research específica de la entidad
- Threat actors relevantes (APTs, grupos de cibercrimen, hacktivistas) con TTPs documentados según MITRE ATT&CK
- Footprinting externo de la entidad (OSINT, datos filtrados, reconocimiento)
- Scenarios realistas y proporcionados al perfil de amenaza
- Indicators y datos contextuales que el RT provider usará
El TTI debe ser realista, específico y accionable. Se valida con el supervisor nacional antes de pasar a la siguiente fase.
Fase 3 — Red Teaming
El RT provider ejecuta el ejercicio sobre producción durante 10-14 semanas, en algunos casos hasta 20 semanas. Las campañas pueden incluir:
- Reconocimiento avanzado y desarrollo de infraestructura
- Initial access: spear-phishing dirigido, exposiciones identificadas, credenciales en filtraciones, ataques contra superficie cloud y on-prem
- Persistence y privilege escalation
- Lateral movement sobre infraestructura on-prem y cloud
- Targeting de aplicaciones críticas y backend financiero
- Exfiltración simulada o impacto sobre crown jewels
- Acciones sobre infraestructura SWIFT, core bancario, sistemas de pagos, según escenario
Todo se ejecuta bajo:
- Reglas de engagement estrictas
- Comunicación constante con el White Team
- Stop conditions definidas (que detienen el ejercicio si hay riesgo de impacto operativo no autorizado)
Fase 4 — Closure & Replay
- Final Report: descripción detallada de TTPs ejecutadas, mapeo MITRE ATT&CK, evidencias, hallazgos, gravedad
- Replay con Blue Team: el Blue Team se entera del ejercicio en esta fase y revisa el reporte; se identifica qué detectó, qué no, y por qué
- Lessons learned consolidados
- Plan de remediación con priorización
- Reporte al supervisor (autoridad competente nacional bajo DORA)
Roles y actores
White Team
Equipo interno de la entidad que conoce el ejercicio. Responsable de aprobar el alcance y reglas de engagement, coordinar con TI/RT providers, activar stop conditions si hay riesgo y comunicar con supervisor.
Mínimo: CISO, responsable de continuidad de negocio, responsable de fraude, oficial de comunicación.
Blue Team
El resto de la organización: SOC, equipo de respuesta a incidentes, IT, equipos de aplicaciones. No saben que el ejercicio está ocurriendo. Su trabajo durante el ejercicio es exactamente el habitual: detectar y responder.
Control Team
Pequeño grupo de enlace entre Blue Team y White Team, designado a posteriori para coordinar el replay.
TI provider acreditado
Empresa externa que produce el TTI. Debe estar acreditada según RTS publicados por las ESAs, ser independiente del RT provider, tener metodología documentada y experiencia comprobada.
RT provider acreditado
Empresa externa que ejecuta el Red Team. Debe estar acreditada, ser independiente del TI provider, tener equipo con perfiles avanzados (CRTO, OSEP, OSCE3, OSCP, eCPTX, GREM, GXPN…), demostrar experiencia previa en ejercicios sobre producción y cumplir requisitos de seguridad operativa.
Supervisor nacional / TIBER-XX cyber team
Equipo del banco central o autoridad competente nacional que coordina el ejercicio. En España, Banco de España (TIBER-ES).
Threat Intelligence en TIBER: qué se entrega
El TTI Report debe incluir, como mínimo:
- Resumen ejecutivo del perfil de amenaza
- Threat actors relevantes con motivación, capacidad e intent específicos
- TTPs mapeadas a MITRE ATT&CK
- Footprinting externo: dominio, IPs expuestas, infraestructura cloud visible, perfiles de empleados, datos en filtraciones, leaks en repositorios
- Información de la cadena de suministro relevante
- Escenarios detallados con narrative, objetivos, métricas de éxito
- Indicadores observables que el RT provider puede emplear
Calidad esperada: producto de threat intelligence específico, no una recopilación OSINT genérica.
Escenarios típicos de Red Team en banca
Algunos arquetipos de escenarios en ejercicios TIBER reales:
- Compromiso de operador SWIFT vía spear-phishing y persistencia → tentativa de transferencia fraudulenta sobre crown jewel
- Compromiso de proveedor MSP que gestiona infraestructura → movimiento lateral hacia core bancario
- Acceso inicial vía aplicación cloud expuesta → escalada hasta sistemas de pagos
- Compromiso de entorno DEV/QA con acceso colateral a PROD → ataque a aplicaciones críticas
- Insider threat simulado con cuentas comprometidas → exfiltración de datos de clientes
Cada escenario se construye sobre TTPs realistas del threat landscape de la entidad, no inventadas.
Diferencias con un Red Team estándar
| Dimensión | Red Team estándar | TIBER / TLPT |
|---|---|---|
| Inteligencia previa | Genérica o limitada | TTI específica obligatoria |
| Sistemas | Producción o staging | Producción obligatoria |
| Duración | 4-8 semanas | 10-20 semanas |
| Proveedores | Cualquiera | Acreditados (TI + RT independientes) |
| Supervisión | Cliente | Autoridad competente + cliente |
| Alcance | Definido por cliente | Definido por cliente con validación supervisor |
| Reglas de engagement | Variables | Estandarizadas TIBER |
| Reporte | Privado al cliente | Cliente + supervisor + posible reconocimiento mutuo UE |
| Coste | 25.000-100.000 € | 80.000-250.000 € |
| Frecuencia obligatoria | No | Cada 3 años para designadas |
Acreditación y selección de proveedores
Las ESAs (EBA, ESMA, EIOPA) publicaron RTS específicos sobre acreditación de proveedores TI y RT bajo DORA. Los criterios típicos:
- Independencia: separación clara entre TI y RT providers
- Experiencia: ejercicios previos demostrables, perfiles certificados
- Procedimientos: gestión de evidencias, confidencialidad, segregación de infraestructura
- Calidad: reportes muestreables, casos de éxito
- Conducta: ausencia de sanciones, conflictos de interés gestionados
Cómo seleccionar proveedor
- Verificar acreditación vigente en el registro oficial.
- Solicitar references de ejercicios previos en el sector financiero.
- Revisar perfiles del equipo asignado (no solo CV de la empresa).
- Evaluar metodología documentada (no solo "hacemos Red Team").
- Validar capacidad técnica mediante reuniones técnicas con el equipo asignado.
- Comprobar segregación TI ↔ RT en proveedores que ofrezcan ambos servicios (deberán renunciar a uno por ejercicio).
Plazos y coste orientativo
Plazos
| Fase | Duración típica |
|---|---|
| Preparation | 4-6 semanas |
| Threat Intelligence | 3-5 semanas |
| Red Teaming | 10-14 (hasta 20) semanas |
| Closure & Replay | 3-5 semanas |
| Total | 20-30 semanas |
Coste
Orden de magnitud para una entidad financiera mediana-grande:
| Concepto | Rango |
|---|---|
| TI provider (TTI report completo) | 25.000-60.000 € |
| RT provider (10-14 semanas en producción) | 60.000-180.000 € |
| Coordinación y White Team interno | dedicación equivalente a 1 FTE durante 6 meses |
| Total externo | 80.000-250.000 € |
Ejercicios sobre entidades sistémicas con alcance amplio pueden superar los 350.000 €.
Preguntas frecuentes
¿Es obligatorio TIBER bajo DORA?
DORA obliga a TLPT (basado en TIBER-EU) para entidades financieras designadas por la autoridad competente. Las no designadas siguen sometidas al programa de pruebas general del pilar 3, sin TLPT formal obligatorio.
¿Cada cuánto se hace TLPT?
Mínimo cada 3 años para entidades designadas. Eventos significativos (cambios mayores en arquitectura, incidente grave, cambio de proveedor crítico) pueden justificar ejercicios extraordinarios.
¿Quién designa al TI provider y al RT provider?
La entidad financiera los selecciona, pero deben ser acreditados según RTS publicados por las ESAs. Las autoridades competentes nacionales validan la idoneidad. La selección queda registrada formalmente.
¿Se pueden compartir resultados con el regulador?
Sí, y es obligatorio bajo DORA: la entidad debe reportar el ejercicio y sus resultados a la autoridad competente. Para CTPP, las ESAs pueden recibir el reporte directamente. Hay reconocimiento mutuo entre Estados miembros para evitar duplicar ejercicios en grupos transfronterizos.
¿Qué pasa si el Blue Team detecta al Red Team?
Es un resultado positivo del ejercicio, no un fallo. Se documenta cómo, cuándo y con qué señales. El RT provider puede continuar el ejercicio modificando TTPs (test de adaptabilidad) o reiniciar campañas. Una detección temprana confirma que el Blue Team funciona.
¿Puede una entidad realizar Red Team interno y satisfacer DORA?
No para TLPT. DORA exige proveedores externos acreditados independientes. Sí puede complementar TLPT con ejercicios internos (purple team, ejercicios continuos), pero no sustituirlo.
¿Qué requisitos debe cumplir el equipo Red Team?
Perfiles certificados (CRTO, OSEP, OSCE3, OSCP, eCPTX, GREM, GXPN equivalentes), experiencia previa en ejercicios sobre producción, conocimiento avanzado de Active Directory, cloud, infraestructura financiera, evasión de detecciones modernas (EDR, XDR, MDR) y gestión segura de operaciones.
¿Y si la entidad financiera no está designada?
Aplica el programa de pruebas general del pilar 3: análisis de vulnerabilidades, evaluaciones de código, tests de red, pruebas de penetración. La frecuencia y profundidad la marca la autoridad nacional según proporcionalidad.
Ejecuta tu TLPT/TIBER o Red Team avanzado con Secra
En Secra ejecutamos ejercicios de Red Team intelligence-led alineados con TIBER-EU para entidades financieras designadas y no designadas, con perfiles certificados y metodología documentada.
→ Conoce nuestro servicio Red Team
→ Solicita una conversación inicial sin compromiso
Lecturas relacionadas
Sobre el autor
Equipo de Secra Solutions
Ethical hackers certificados OSCP, OSEP, OSWE, CRTO, CRTL y CARTE, con más de 7 años de experiencia en ciberseguridad ofensiva. Autores de los CVE-2025-40652 y CVE-2023-3512.
Conoce al equipo →