El Reglamento (UE) 2022/2554 sobre resiliencia operativa digital del sector financiero —conocido como DORA— exige, en su Artículo 5, que los órganos de dirección de las entidades financieras aprueben, supervisen y respondan de las disposiciones relativas a la gestión del riesgo de las TIC. Esa responsabilidad no es delegable en el equipo técnico: alcanza al consejo de administración y, por extensión, a cada comité de riesgos que firme la memoria anual. Lo que muchas entidades aún no tienen resuelto, a menos de doce meses de la plena aplicación del reglamento, es la traducción de esa obligación en métricas auditables. Un principio sin KPI no supera una inspección del supervisor.
I. Por qué DORA no se audita con palabras
La Autoridad Bancaria Europea publicó en enero de 2024 las normas técnicas de regulación que desarrollan DORA (RTS on ICT Risk Management Framework, EBA/RTS/2024/01). El texto establece que las entidades deben disponer de políticas de continuidad con indicadores cuantitativos de rendimiento, umbrales de tolerancia al riesgo y procedimientos de revisión periódica. El supervisor —en España, el Banco de España para entidades de crédito, la CNMV para empresas de inversión— pedirá evidencia documental, no declaraciones de intención.
"Las entidades financieras establecerán objetivos de tiempo de recuperación y de punto de recuperación para cada función crítica o importante, y llevarán a cabo pruebas periódicas para verificar que dichos objetivos son alcanzables." — DORA, Artículo 12, apartado 5.
Este artículo identifica ocho KPIs que cualquier auditor con mandato DORA revisará antes de cerrar su informe. No son los únicos métricamente relevantes, pero sí los que concentran la mayor parte de los hallazgos en las primeras revisiones realizadas por equipos de inspección en entidades de la zona euro durante 2024.
II. Los ocho KPIs que estructuran el cuadro de mando
1. Tiempo de detección de incidente (MTTD)
DORA exige en su Artículo 17 que los incidentes relacionados con las TIC sean identificados, gestionados y notificados de forma estructurada. El tiempo medio de detección —Mean Time to Detect— es el primer parámetro que el auditor contrasta con el umbral de tolerancia declarado por la entidad. Para incidentes que afecten a canales de comunicación con el cliente final —SMS transaccionales, notificaciones push, correo verificado— el ciclo de detección debe cerrarse en minutos, no en horas, si la entidad ha declarado dichos canales como críticos en su mapa de funciones.
2. Tiempo de recuperación (RTO declarado vs. RTO real)
El objetivo de tiempo de recuperación —Recovery Time Objective— es obligatorio para cada función crítica según el Artículo 12. La brecha entre el RTO declarado en el plan de continuidad y el RTO demostrado en las pruebas de resiliencia del último ejercicio es uno de los hallazgos más frecuentes. Un RTO de cuatro horas que no ha sido validado con una prueba documentada desde hace más de doce meses es, a efectos de auditoría, un RTO no acreditado.
3. Punto de recuperación (RPO y pérdida de datos aceptable)
Complementario al anterior, el Recovery Point Objective define cuánta información puede perderse sin incumplir los umbrales de tolerancia al riesgo aprobados por el órgano de dirección. Para canales de mensajería regulada —donde cada mensaje puede ser evidencia en un proceso de reclamación o instrucción de pago bajo PSD2— el RPO debe ser prácticamente cero. Cualquier degradación debe quedar registrada con marca temporal auditable.
4. Tasa de falsos positivos en controles automatizados
Los controles de detección de fraude y de contenido malicioso generan dos tipos de error con consecuencias regulatorias distintas. Los falsos negativos —amenazas no detectadas— exponen a la entidad a pérdidas directas y a responsabilidad bajo PSD2, Artículo 74, sobre autenticación reforzada. Los falsos positivos —comunicaciones legítimas bloqueadas— generan interrupción del servicio, reclamaciones de clientes y riesgo reputacional. Un cuadro de mando DORA debe incluir ambas tasas con frecuencia semanal y tendencia mensual.
5. Cobertura de canales monitorizados
¿Qué porcentaje de los canales de comunicación con el cliente —SMS, correo, app push, voz— está bajo monitorización activa? La respuesta honesta en muchas entidades medianas es inferior al cien por cien. DORA no exige monitorización universal, pero sí que la cobertura declarada en el plan de riesgos TIC sea coherente con el mapa de funciones críticas. Un canal de comunicación usado para instrucciones de pago o verificación de identidad que no está bajo monitorización es un riesgo residual no gestionado.
6. Recall de detección en tipologías de fraude conocidas
El término inglés no tiene equivalente preciso en el vocabulario supervisor, pero su contenido sí: ¿qué proporción de los intentos de fraude conocidos —smishing, suplantación de remitente, dominios homoglíficos— es detectada por los controles automatizados antes de llegar al cliente? Este indicador debe medirse sobre conjuntos de prueba actualizados con las tipologías más recientes. INCIBE publica trimestralmente alertas sobre campañas activas en España; un programa de pruebas que no incorpore esas tipologías en el trimestre siguiente a su publicación está midiendo resistencia a amenazas de ayer.
7. Latencia de respuesta en ventana crítica
Para mensajería transaccional —OTP, confirmación de transferencia, alerta de movimiento sospechoso— existe una ventana de utilidad. Un código de verificación que llega con cuarenta segundos de retraso ya ha perdido su función de seguridad en la mayoría de los flujos de autenticación. La latencia máxima en el percentil 99 de la distribución de envíos es el indicador relevante, no la latencia media. Los promedios ocultan la cola de distribución donde viven los incidentes reales.
8. Ratio de incidentes notificados vs. incidentes detectados
DORA, Artículo 19, establece obligaciones de notificación al supervisor para incidentes graves relacionados con las TIC. El ratio entre incidentes detectados internamente y los efectivamente notificados es un indicador de madurez del proceso de clasificación y escalado. Un ratio inferior a la unidad —más incidentes detectados que notificados— no es necesariamente un problema, pero exige que la entidad pueda demostrar, con registro auditable, que cada incidente no notificado fue clasificado conforme a los umbrales establecidos en la normativa técnica de la EBA.
III. El gap operativo que los KPIs exponen
La mayoría de las entidades financieras españolas dispone de un Centro de Operaciones de Seguridad —SOC— propio o contratado. Lo que ese SOC monitoriza habitualmente es la infraestructura interna: redes, endpoints, accesos privilegiados, registros de sistemas. Lo que con frecuencia queda fuera de su perímetro operativo es el canal de comunicación entre la entidad y su cliente final: el SMS que el cliente recibe en su teléfono, el dominio desde el que se sirve un formulario de verificación, el remitente que aparece en pantalla antes de que el usuario decida hacer clic.
Ese espacio —entre el perímetro del SOC y el dispositivo del cliente— es donde se ejecutan la mayor parte de las campañas de smishing y suplantación documentadas en España. El Banco de España, en su Memoria de Supervisión de Conducta de 2023, señalaba el fraude en medios de pago a distancia como una de las tres principales fuentes de reclamación del sector. Las campañas activas en ese periodo incluían dominios del tipo entidad-operaciones.net/verificar o banca-segura-acceso.com, construidos para superar la validación visual del cliente no experto.
Este gap operativo tiene consecuencias directas sobre los KPIs descritos: el MTTD sube porque la detección no ocurre en tiempo real sino post-incidente; el recall cae porque el canal no está bajo monitorización; la cobertura declarada no coincide con la cobertura real. Cuando el auditor cruza los datos, la discrepancia queda documentada en el informe.
Qué cubre VeriMsg en este ángulo
VeriMsg opera como capa de verificación y monitorización en el canal de comunicación entre la entidad y el cliente final. Su función no duplica el SOC: lo completa en el segmento que habitualmente queda fuera de su perímetro. Concretamente, aporta cobertura monitorizada sobre el canal de mensajería regulada, señales de detección sobre remitentes y dominios vinculados a campañas activas, y trazabilidad auditable por entrega —lo que permite cerrar los KPIs de cobertura, recall y latencia con datos verificables, no con estimaciones.
La integración está alineada con los requisitos de registro de incidentes establecidos en DORA Art. 17 y con las obligaciones de autenticación reforzada bajo PSD2 Art. 97. La arquitectura de datos respeta el marco del RGPD, con minimización de datos personales en el registro de eventos y separación entre capa de señal y capa de identidad.
Checklist ejecutivo: lo que su comité debe poder responder
- ¿Tiene cada función crítica un RTO y un RPO documentados, aprobados por el órgano de dirección y validados mediante prueba en los últimos doce meses? Si alguna de las tres condiciones no se cumple, el indicador no es auditable.
- ¿Está el canal de mensajería con el cliente final —SMS, push, correo— incluido explícitamente en el mapa de funciones críticas y en el perímetro de monitorización? Si no figura en el mapa, no puede figurar en los KPIs de cobertura.
- ¿Dispone su equipo de las tasas de falsos positivos y recall actualizadas con las tipologías de fraude publicadas por INCIBE en el último trimestre? Un programa de pruebas sin actualización trimestral mide resistencia histórica, no resiliencia actual.
- ¿Puede su entidad demostrar, con registro con marca temporal, que cada incidente TIC fue clasificado conforme a los umbrales de notificación de la EBA y tratado en consecuencia? La ausencia de registro es, a efectos de auditoría, equivalente a la ausencia de gestión.
- ¿Existe un proceso formal para incorporar el canal de comunicación cliente-entidad al cuadro de mando DORA, con KPIs propios y responsable designado? Si ese proceso no existe antes de enero de 2026, la primera revisión supervisora encontrará un hueco estructural, no un detalle técnico.
Para entidades que deseen revisar su posición actual frente a estos indicadores, VeriMsg pone a disposición de equipos de riesgos y cumplimiento el Pilot Readiness Pack: un análisis estructurado del gap entre cobertura declarada y cobertura real en el canal de mensajería, con mapa de señales y propuesta de cuadro de mando alineado con DORA. Sin compromiso comercial en la fase de diagnóstico.