La vida después de la fecha límite: Convertir el cumplimiento de DORA en estabilidad operativa

Por René Millman • 13 de enero de 2026

El pánico de enero de 2025 ya pasó. Pero para los líderes más exitosos del sector financiero, el verdadero trabajo, y la verdadera recompensa, apenas comienza. Analizamos cómo la Ley de Resiliencia Operativa Digital ha transformado el tema de conversación de "evitar multas" a "proteger los ingresos".

Si bien muchos consideraban la Ley de Resiliencia Operativa Digital (DORA) una carga para el cumplimiento normativo, los últimos doce meses han revelado su verdadera función: es un modelo para el tiempo de actividad. Ahora vemos pruebas tangibles de que los mecanismos específicos que DORA aplica, concretamente las rigurosas pruebas digitales y el mapeo profundo de la cadena de suministro, están haciendo más que satisfacer a los reguladores. Están previniendo interrupciones que reducen los ingresos.

Para entender por qué, tenemos que observar el cambio cultural que se produjo en la sala de juntas.

Los cortes que no ocurrieron

Cuesta creer que haya pasado un año desde la fecha límite del 17 de enero. Recordemos finales de 2024: los frenéticos análisis de brechas, las noches examinando minuciosamente los contratos de terceros en el sector de las TIC y la lucha por mapear las funciones críticas.

Para muchos, esa fue la meta. Pero para los "ganadores" de 2025, fue el pistoletazo de salida a una nueva era de defensa activa.

“Muchas organizaciones ven a DORA simplemente como un obstáculo regulatorio”, afirma Chris Newton-Smith, director ejecutivo de ISMS.online. “Pero el cambio más crucial que las empresas deberían implementar es plantearse las preguntas correctas sobre su cumplimiento. Demasiadas se centran en '¿Cumplimos?' cuando la pregunta más importante es '¿Nuestro cumplimiento realmente nos ayuda a seguir operando cuando algo sale mal?'”.

Como señala Newton-Smith, cuando se cambia la mentalidad, “el cumplimiento rápidamente deja de ser un ejercicio de marcar casillas y comienza a proteger activamente a la organización”.

Quizás el impacto más significativo de DORA han sido las “victorias invisibles”, las interrupciones que nunca ocurrieron.

Para comprender la magnitud de este cambio, debemos observar la mentalidad de la industria justo cuando entraron en vigor las normas. Etienne Bouet, gerente sénior de la consultora Wavestone, prevenido En enero de 2025, la industria corría el riesgo de perder el objetivo si se centraba únicamente en el papeleo.

“DORA no debe verse simplemente como un ejercicio de cumplimiento”, señaló Bouet en aquel momento. “Sí, existen requisitos regulatorios que cumplir, pero el verdadero desafío radica en desarrollar resiliencia… el cumplimiento por sí solo no es suficiente si no conlleva mejoras reales en la resiliencia”.

Quienes siguieron ese consejo ahora están cosechando los frutos. En los últimos doce meses, hemos visto a las organizaciones pasar de tener un "escudo de papel", políticas que afirman su seguridad, a una "cúpula de hierro" de defensa activa. Esto no era opcional. El requisito de DORA de demostrar cómo se recuperarían de una disrupción grave de las TIC obligó a los equipos a poner a prueba sus teorías.

El resultado es un panorama de sistemas que realmente se recuperan. Cuando pequeños errores de configuración en la nube afectaron a los procesadores de pagos a principios de este año, los bancos que cumplen con DORA no se quedaron sin servicio. Sus protocolos de redundancia, probados y perfeccionados bajo el pilar de DORA de pruebas de resiliencia operativa digital, se activaron automáticamente.

Una nueva era de madurez

Este cambio marca la maduración de la industria. Durante años, el sector FinTech, en particular, se caracterizó por un rápido crecimiento, a menudo a costa de la estabilidad. DORA ha impulsado un debate más maduro sobre el riesgo.

A mediados de 2025, la tensión de esta transición era visible. Todo el censo en donde Un informe publicado en julio de 2025 reveló que, seis meses después de implementar el régimen, el 96 % de las organizaciones financieras de EMEA aún sentían que su resiliencia de datos "no estaba donde debería estar".

Esta estadística destaca una división en el mercado. Por un lado, el 96 % que luchaba por adaptar la resiliencia a los sistemas heredados. Por otro, los "ganadores" ágiles que utilizaron DORA como modelo para modernizar su arquitectura.

Para los ganadores, el fin de la improvisación es lo que ahora preocupa a la Junta Directiva. Al presentar los informes de fin de año, los líderes de seguridad ya no solo enumeran el estado de cumplimiento, sino que también enumeran los ingresos estimados ahorrados gracias a que los sistemas se mantuvieron en funcionamiento cuando la competencia no lo hizo.

Cadena de suministro: el “rompecabezas” de la interconexión

Si 2024 fue el año de confiar en los proveedores, 2025 y 2026 han sido los años de monitorearlos. La dependencia de terceros siempre fue un riesgo conocido, pero DORA obligó a las organizaciones a cuantificarlo.

Olaf Jonkers, director de seguridad interna de la plataforma de identidad digital itsme, destacó este cambio en la responsabilidad en febrero de 2025.

“DORA garantiza que los proveedores de TIC que prestan servicios a las IFS rindan cuentas adecuadamente de mantener una sólida gobernanza interna”, Jonkers explicadoEsto es muy importante porque la creciente dependencia de las IFS de los proveedores de TIC implica que una falla o una vulneración del sistema puede reducir repentinamente las operaciones a una pequeña fracción.

El enfoque de DORA en la Gestión de Riesgos de Terceros (TPRM) de las TIC obligó a las organizaciones a mapear estas dependencias. Los equipos de seguridad probablemente descubrieron que una función crítica dependía de un proveedor que, a su vez, dependía de otro proveedor sin un plan de respaldo.

El mapeo inicial fue complicado. Pero el beneficio operativo ha sido inmenso. Ya no nos sorprenden los fallos de terceros. Antes, una interrupción del servicio de un proveedor era una excusa válida: "No es culpa nuestra, es del proveedor de la nube". Esa excusa ya no funciona con los clientes, y mucho menos con los reguladores. Gracias a DORA, las estrategias de salida y las configuraciones multiproveedor para funciones críticas son ahora una práctica habitual.

El cumplimiento como generador de valor

El peligro en este mundo "post-fecha límite" es la complacencia. El panorama de riesgos cambia a diario; si la documentación de resiliencia es estática, una organización ya está incumpliendo.

Hemos visto a muchos equipos luchar durante el último año porque trataron DORA como un proyecto único. Crearon su Registro de Información en Excel, lo archivaron y no lo han consultado desde entonces. Esos datos ahora están obsoletos.

“La prioridad es mantener el cumplimiento vigente y operativo”, aconseja Newton-Smith. “Observamos que marcos como DORA ofrecen el mayor valor a las empresas cuando sus directivos tienen una visión en tiempo real del cumplimiento… Esto significa que las empresas deben ir más allá de los documentos estáticos y el seguimiento manual hacia herramientas que ofrezcan una supervisión continua”.

Gestionar la resiliencia operativa dinámica con herramientas estáticas ya no es viable. Los responsables de seguridad necesitan una visión en tiempo real del riesgo. Si el certificado de seguridad de un proveedor clave caduca, el registro de riesgos debe actualizarse inmediatamente.

La resiliencia es ingresos

La era del miedo, la incertidumbre y la duda (FUD) en la venta de ciberseguridad ha terminado. DORA ha impulsado a la industria hacia la era de la resiliencia como generador de valor.

Las organizaciones que ganen en 2026 no serán las que apenas lograron un pase el pasado enero. Son las que utilizaron el marco para fortalecer sus operaciones. Están experimentando menos tiempos de inactividad, gestionando los riesgos de los proveedores de forma proactiva y durmiendo mejor sabiendo que sus planes de recuperación realmente funcionan.

Para comprender el verdadero valor de este cambio, los líderes deberían revisar sus registros de incidentes de los últimos seis meses. Al identificar los cuasi accidentes detectados por los controles implementados para DORA y calcular el costo potencial si esos incidentes se hubieran convertido en interrupciones totales, la realidad financiera se hace evidente. Esa cifra, el costo del desastre que no ocurrió, es el verdadero valor del cumplimiento. La fecha límite ya pasó, pero la era de la estabilidad ha llegado para quienes tienen las herramientas para disfrutarla.

René Millman

Rene Millman es un escritor y locutor independiente versátil que se especializa en ciberseguridad, inteligencia artificial, IoT y tecnologías en la nube. Además de su función como analista colaborador en GigaOm, aporta una amplia experiencia como ex analista de Gartner centrado en el mercado de infraestructura. Reconocido por su experiencia, Rene Millman ha aparecido frecuentemente en televisión, compartiendo ideas y análisis sobre tendencias tecnológicas y empresas influyentes que dan forma a nuestra vida diaria. Manténgase actualizado con las ideas de Rene Millman siguiéndolo en Twitter.

Lea más de René Millman

La seguridad cibernética 13 de septiembre de 2024

La interrupción de crowdstrike es un caso para reforzar la respuesta a incidentes con el banner ISO 27001.

La interrupción de CrowdStrike: un caso para reforzar la respuesta a incidentes con ISO 27001

En julio de 2024, una actualización de software fallida de CrowdStrike provocó una interrupción significativa del sistema informático a nivel mundial, que afectó a numerosas organizaciones, incluidas aerolíneas,...

René Millman

La seguridad cibernética 16 July 2024

Evitar las próximas lecciones de ciberseguridad de Medisecure para empresas.

Evitar el próximo MediSecure: lecciones de ciberseguridad para empresas

La catástrofe de ciberseguridad de MediSecure sirve como una dura llamada de atención para las empresas: descuidar las defensas digitales es un riesgo para ellas mismas o...

René Millman

La seguridad cibernética 11 de junio de 2024

¿Qué se puede hacer con el banner de crisis de la base de datos nacional de vulnerabilidad?

¿Qué se puede hacer ante la crisis de la base de datos nacional de vulnerabilidades?

El Instituto Nacional de Estándares y Tecnología (NIST) se encuentra en un aprieto que tiene serias implicaciones para los equipos de ciberseguridad de todo el mundo.

René Millman