← Volver al blog
ROI y métricas · 15 de mayo de 2026 · Edición institucional MMXXVI

Cómo se mide la resiliencia operativa

El 17 de enero de 2025, el Reglamento (UE) 2022/2554 —conocido como DORA— entró en plena aplicación para entidades financieras en toda la Unión Europea. Desde esa fecha, la Autorid…

El 17 de enero de 2025, el Reglamento (UE) 2022/2554 —conocido como DORA— entró en plena aplicación para entidades financieras en toda la Unión Europea. Desde esa fecha, la Autoridad Bancaria Europea y los supervisores nacionales han comenzado a requerir evidencia documentada de que los sistemas de detección y respuesta ante incidentes TIC funcionan según parámetros medibles. No basta con declarar que se dispone de controles: hay que demostrar, con métricas trazables, que esos controles rinden dentro de los umbrales exigidos.

Respuesta directa: Los KPIs de resiliencia operativa bajo DORA son indicadores cuantificables —entre ellos tasa de detección, tasa de falsos positivos, tiempo de respuesta, cobertura de canales y disponibilidad del sistema de alerta— que el supervisor utilizará para evaluar si la entidad cumple los requisitos de gestión del riesgo TIC establecidos en el Artículo 5 y los Artículos 17 a 23 del Reglamento. Su ausencia en el plan de riesgos equivale a un vacío de evidencia auditable.

¿Por qué DORA obliga a medir y no solo a declarar?

La diferencia entre DORA y la normativa anterior reside en su orientación hacia resultados verificables. El Artículo 6 exige que el marco de gestión del riesgo TIC incluya "estrategias, políticas, procedimientos, protocolos y herramientas necesarios para proteger" los activos de información, pero el Artículo 10 añade una exigencia más precisa: las entidades deben contar con mecanismos que "detecten con prontitud actividades anómalas". La conjunción de ambos artículos construye la obligación de medir: no es posible demostrar prontitud sin un indicador que la cuantifique.

"Las entidades financieras establecerán mecanismos para detectar con prontitud actividades anómalas, incluidos los problemas de rendimiento de la red de TIC y los incidentes relacionados con las TIC."
— Reglamento (UE) 2022/2554 (DORA), Artículo 10, apartado 1.

El supervisor —en España, el Banco de España actúa como autoridad competente para entidades de crédito bajo la coordinación de la EBA— revisará los registros de incidentes, los tiempos de escalado y la cobertura de los controles automatizados. Un comité de riesgos que no pueda presentar estas cifras en formato auditable acumulará observaciones de supervisión que, desde 2025, pueden derivar en requerimientos formales y, en casos graves, en sanciones administrativas.

¿Cuáles son los 8 KPIs que todo auditor DORA revisará?

Los KPIs que se enumeran a continuación no son una interpretación libre: se derivan de los requisitos de los Artículos 10, 17, 18 y 19 de DORA, de las Normas Técnicas de Regulación publicadas por la EBA en sus RTS finales de enero de 2024, y de las guías de gestión de incidentes TIC de ENISA. Su ausencia en el cuadro de mando de riesgos constituye un vacío que cualquier auditor externo señalará.

  1. Tasa de detección (recall): porcentaje de incidentes reales capturados por el sistema de detección sobre el total de incidentes que efectivamente ocurrieron en el período. DORA Art. 10 requiere detección "con prontitud"; un recall inferior al umbral fijado en política equivale a puntos ciegos documentados.
  2. Tasa de falsos positivos: proporción de alertas generadas que no corresponden a incidente real. Un nivel elevado degrada la capacidad operativa del equipo de respuesta y puede enmascarar incidentes genuinos. Debe reportarse mensualmente con tendencia.
  3. Tiempo medio de detección (MTTD): intervalo entre el inicio del incidente y su identificación por el sistema. Ligado directamente al umbral de "prontitud" del Art. 10 y a los criterios de clasificación de incidentes graves del Art. 18.
  4. Tiempo medio de notificación (MTTN): intervalo entre la detección y la notificación interna al órgano de dirección y, cuando proceda, al supervisor. DORA Art. 19 establece plazos específicos para incidentes graves: notificación inicial en 4 horas desde clasificación, informe intermedio en 72 horas.
  5. Cobertura de canales monitorizados: porcentaje de canales de comunicación con el cliente —SMS, correo electrónico, notificaciones push, voz— que disponen de control activo de detección de suplantación. Una cobertura parcial es un riesgo operativo que el plan de continuidad debe reflejar explícitamente.
  6. Disponibilidad del sistema de detección: porcentaje de tiempo en que el sistema está operativo y procesando señales. Alineado con los requisitos de continuidad del Art. 11 y con los criterios de los RTS sobre pruebas de resiliencia operativa digital.
  7. Tasa de incidentes resueltos dentro del RTO definido: proporción de incidentes gestionados dentro del tiempo de recuperación objetivo establecido en el plan de continuidad de la entidad. Indicador clave para las pruebas TLPT (Threat-Led Penetration Testing) bajo Art. 26.
  8. Ratio de cobertura en pruebas de resiliencia: porcentaje de sistemas críticos incluidos en los ejercicios de prueba avanzados exigidos por DORA Art. 25 y 26. Las entidades significativas deben ejecutar TLPT al menos cada tres años.

¿Cómo afectan estas métricas al canal de comunicación cliente?

El canal de comunicación entre la entidad y su cliente —SMS transaccional, correo de verificación, notificación de operación— es uno de los vectores de fraude más documentados en España. Según datos del Banco de España recogidos en su Memoria de Supervisión, el smishing y el phishing dirigido a clientes de entidades financieras representaron una parte sustancial de las reclamaciones por operaciones no autorizadas tramitadas en 2023. La tipología más común en banca regional durante ese período consistió en mensajes que imitaban el remitente legítimo de la entidad —por ejemplo, un identificador alfanumérico tipo "MiBanco"— acompañados de un enlace a un dominio registrado horas antes, del estilo banco-operaciones.net/verificar.

Este vector es precisamente el que DORA, en combinación con PSD2 y sus RTS sobre autenticación reforzada (SCA), obliga a cubrir de forma medible. La pregunta que el auditor formulará no es "¿tiene usted un sistema anti-smishing?" sino "¿cuál es el recall de ese sistema en el último trimestre, cuántos falsos positivos generó y cuánto tardó en clasificar el último incidente de suplantación de remitente?"

Sin métricas sobre el canal de mensajería, el plan de riesgos queda incompleto en un punto que los supervisores españoles han comenzado a revisar específicamente, siguiendo las directrices de la EBA sobre gestión del riesgo operacional y de TIC publicadas en junio de 2023 (EBA/GL/2023/06).

¿Qué cubre VeriMsg en este marco de KPIs?

VeriMsg opera como capa de análisis y verificación del canal de mensajería entre la entidad financiera —o aseguradora, u operador de telecomunicaciones con obligaciones regulatorias— y el cliente final. Su posición en la arquitectura es deliberada: no sustituye al SOC de la entidad ni a su SIEM, sino que cubre el segmento que habitualmente queda fuera del perímetro de monitorización interna: el mensaje que sale del gateway del partner hacia el dispositivo del cliente.

En términos de los KPIs enumerados, VeriMsg aporta señales medibles sobre los indicadores 1, 2, 3 y 5: la capa analiza la legitimidad del remitente, la coherencia del contenido con el perfil de comunicación de la entidad y la reputación del dominio o número de origen antes de que el mensaje llegue al cliente o en tiempo inmediato a su entrega. El resultado es un veredicto con puntuación y señales trazables por fase, exportable a los sistemas de registro de incidentes de la entidad para su incorporación al cuadro de mando DORA.

Esta trazabilidad es relevante porque cubre el gap que los auditores encuentran con mayor frecuencia en banca mediana y aseguradoras con volumen alto de mensajería transaccional: existe un SOC que monitoriza la infraestructura interna, pero no hay evidencia auditable de lo que ocurre en el canal saliente hacia el cliente. VeriMsg genera esa evidencia en formato compatible con los requisitos de registro del Art. 17 DORA.

Preguntas frecuentes

¿DORA obliga a medir KPIs específicos de mensajería?

DORA no enumera KPIs por canal, pero los Artículos 10 y 17 exigen detección "con prontitud" y registro auditable de incidentes TIC. El canal de mensajería cliente, como vector documentado de fraude, forma parte del perímetro de riesgo TIC que el supervisor revisará. La ausencia de métricas en ese canal es un vacío de evidencia.

¿Cuál es el plazo de notificación de incidentes graves bajo DORA?

El Artículo 19 de DORA establece tres hitos: notificación inicial al supervisor en un plazo máximo de 4 horas desde la clasificación del incidente como grave, informe intermedio en 72 horas y informe final en un mes. Estos plazos se miden desde la clasificación, no desde la detección, lo que hace crítico reducir el MTTD.

¿Qué diferencia hay entre un KPI de resiliencia y un KPI de continuidad?

Los KPIs de continuidad miden la capacidad de recuperar operaciones tras una interrupción (RTO, RPO). Los de resiliencia operativa bajo DORA incluyen además la capacidad de detectar, clasificar y notificar amenazas antes de que provoquen interrupción. DORA exige ambos tipos en el plan de riesgo TIC.

¿Las entidades pequeñas están exentas de estas métricas?

DORA establece el principio de proporcionalidad en el Artículo 4: las microempresas aplican un marco simplificado. Sin embargo, las entidades de crédito, aseguradoras, gestoras y proveedores de servicios de pago están sujetas al régimen completo independientemente de su tamaño, salvo excepciones expresamente listadas en el Artículo 2.

Tres recomendaciones accionables para su comité de riesgos

  1. Incorpore los 8 KPIs al cuadro de mando de riesgos TIC antes del próximo ciclo de supervisión. Defina umbral, frecuencia de medición y responsable para cada indicador. Un KPI sin propietario no es auditable. Priorice MTTD y tasa de detección, que son los primeros que un auditor EBA solicitará con evidencia documental.
  2. Extienda el perímetro de monitorización al canal de mensajería saliente. Si su SOC no genera métricas sobre la legitimidad de los mensajes que salen hacia el cliente, existe un vacío de cobertura en el vector de mayor frecuencia de fraude documentado en España. Solicite a su proveedor de mensajería o a su capa de verificación un informe mensual con recall, falsos positivos y tiempo medio de clasificación.
  3. Prepare la evidencia antes de que la pida el supervisor. Los registros de incidentes TIC exigidos por el Art. 17 deben ser exportables y trazables por fase. Revise ahora si su sistema de gestión de incidentes puede generar un registro con marca temporal desde la detección hasta la notificación. Si no puede, ese es el primer gap que debe cerrar.

Si desea evaluar la cobertura actual de su canal de mensajería frente a los requisitos de DORA, VeriMsg ofrece un Pilot Readiness Pack que incluye análisis de gap, configuración de métricas base y primer informe auditable. Puede solicitarlo a través del formulario de contacto institucional.

¿Evaluamos un piloto TrustLayer en su entidad?

Un analista prepara el alcance del piloto en 10 días hábiles. Sin coste, sin compromiso.

Pilot Readiness Pack