norppa.io
Todas las guías

Guía · 10 min de lectura

Evaluación del ciberriesgo del proveedor — qué comprueba el monitoreo NIS2 automatizado

Un desglose completo de todas las categorías de comprobación, su relevancia para NIS2 y cómo los hallazgos se traducen en acciones.

Inteligencia pasiva — sin tráfico hacia el proveedor

El monitoreo automatizado se basa en inteligencia pasiva: todos los datos se recopilan de fuentes públicas — registros de certificados, registros DNS, bases de datos de ransomware, bases de datos de brechas HIBP, registros de sanciones y feeds OSINT abiertos. No se envía tráfico a la red del proveedor y no se requiere su consentimiento.

El conjunto completo de comprobaciones se ejecuta a diario, y los flujos de ransomware y dark web aproximadamente cada 6 horas. Los hallazgos críticos — como una inclusión en una lista de víctimas de ransomware o una filtración activa de credenciales en la dark web — desencadenan inmediatamente una alerta por correo electrónico.

Monitorización de víctimas de ransomware

Art. 21(2)(b)

Se comprueban aproximadamente cada 6 horas múltiples fuentes de inteligencia sobre ransomware. Si su proveedor aparece en una lista de víctimas — señal de un ataque de ransomware activo o reciente — recibirá una alerta el mismo día. Esto puede justificar una conversación urgente con el proveedor sobre si usted o sus datos están en riesgo.

Filtraciones de credenciales en la dark web

Art. 21(2)(i)

Las bases de datos de malware infostealer y los mercados de la dark web se escanean en busca de pares de correo electrónico y contraseña vinculados al dominio del proveedor. Las credenciales comprometidas son el punto de entrada de ataque más común — las credenciales filtradas de los empleados de su proveedor pueden acabar dirigiéndose a sus sistemas.

Seguridad del correo electrónico

Art. 21(2)(h)

Un SPF, DKIM o DMARC ausente o mal configurado permite el abuso del dominio del proveedor para la suplantación de correo electrónico. También comprueba MTA-STS (protección de la capa de transporte del correo electrónico), el registro de informes TLS-RPT y el indicador de marca BIMI. Todos son requisitos criptográficos según el Art. 21(2)(h) de NIS2.

Certificados TLS y DNSSEC

Art. 21(2)(h)

La validez de los certificados TLS se comprueba con alertas 14 días antes de su vencimiento. La validación DNSSEC comprueba si la cadena DNS está firmada e íntegra — la falta de DNSSEC expone al proveedor a la suplantación DNS. Los registros CAA indican si la emisión de certificados está restringida a CA aprobadas.

Configuración de seguridad web

Art. 21(2)(c)

Los atributos de seguridad de las cookies (Secure, HttpOnly, SameSite) se comprueban — los atributos faltantes permiten el secuestro de sesiones o ataques XSS. El archivo robots.txt se analiza para detectar la divulgación de rutas sensibles. El archivo security.txt se comprueba para confirmar la existencia de un canal de divulgación responsable de vulnerabilidades.

Vulnerabilidades y puntuaciones CVE/EPSS

Art. 21(2)(e)

Las inscripciones en CISA KEV (Known Exploited Vulnerabilities) vinculadas a CVE asociados con la infraestructura del proveedor se identifican de inmediato. Las puntuaciones EPSS (Exploit Prediction Scoring System) priorizan las vulnerabilidades según la probabilidad de explotación — no solo según la clasificación de gravedad CVSS.

Sanciones y comprobaciones de listas negras MX

Art. 21(2)(e) & Art. 21(2)(j)

Las listas de sanciones de la UE, la ONU y la OFAC se comprueban contra la organización del proveedor. Las direcciones IP de los servidores de correo del proveedor (registros MX) se comprueban contra cuatro listas negras en tiempo real (RBL) — la inclusión en listas negras indica abuso de correo electrónico o compromiso previo.

SAQ — cuestionario de autoevaluación

Art. 21(2)(a) & (b) & (d)

El monitoreo técnico cubre la superficie de ataque visible externamente. Los requisitos a nivel de proceso — gestión de riesgos, gestión de incidentes, gobernanza de la cadena de suministro — se cubren enviando al proveedor un cuestionario de autoevaluación SAQ desde el portal norppa.io. Las respuestas se almacenan y se combinan con el perfil de riesgo técnico.

Puntuación de riesgo y niveles de gravedad

Cada hallazgo se clasifica en uno de cuatro niveles de gravedad: crítico (acción inmediata), alto (remediación en 7 días), medio (remediación en 30 días) y bajo (informativo). La puntuación de riesgo (0–100, 100 = limpio) se calcula según la gravedad de los hallazgos abiertos.

La puntuación de riesgo está concebida como una herramienta de priorización, no como una verdad absoluta. Un proveedor puede recibir una puntuación baja por una sola vulnerabilidad crítica incluso cuando su postura de seguridad general es sólida.

Ciclo de vida de un hallazgo

Un hallazgo se crea cuando una comprobación detecta una anomalía. Permanece abierto hasta que el problema se resuelve — el verificador confirma la corrección automáticamente en la siguiente ejecución. Si un hallazgo representa un riesgo conocido y aceptado, puede marcarse como "riesgo aceptado" con un comentario. El mismo hallazgo no desencadenará nuevas alertas a menos que cambie el estado.

Todos los hallazgos se asignan automáticamente al sub-apartado correspondiente del Art. 21(2) de NIS2 — aparecen tanto en la vista en tiempo real del portal como en el informe PDF mensual.

Mapeo NIS2 e informes

El informe mensual incluye un resumen ejecutivo de IA, puntuaciones NIS2 por artículo, perfiles de riesgo por proveedor y una lista de acciones de remediación priorizadas. El informe está diseñado para su presentación a nivel directivo — no solo para equipos técnicos.

El informe también incluye hallazgos que han sido aceptados como riesgos documentados. Esto es importante a efectos de auditoría: NIS2 no requiere cero hallazgos — requiere una gestión de riesgos documentada.

Su propio dominio — evaluación externa completa

Los dominios de proveedores se evalúan mediante OSINT pasivo — solo datos públicamente disponibles. Su propio dominio puede recibir además una evaluación de seguridad externa mensual: puertos y servicios expuestos, riesgos de vulnerabilidades conocidas y configuración SSL/TLS. Sin integración, sin acceso a su red interna.

Fuentes oficiales

Vea cómo es el informe

El informe de muestra muestra exactamente cómo se presentan los hallazgos — por artículo NIS2, por proveedor y como resumen a nivel directivo.

Ver informe de muestraPrecios
Todas las guías

Guías relacionadas

NIS2 y el requisito de la cadena de suministro — qué significa en la práctica

NIS2 obliga a las entidades esenciales e importantes a evaluar los ciberriesgos de su cadena de suministro. Clasificación de proveedores, riesgo de cuarta parte, notificación Art. 23 y lo que buscan los auditores.

NIS2 Art. 21(2) — lista de verificación de seguridad para proveedores

Lista de verificación para equipos de adquisiciones y seguridad: qué preguntar, qué evidencias recopilar y cómo responder cuando un proveedor no cumple. Incluye documentos de evidencia sugeridos.

¿Quién está sujeto a NIS2? Entidades esenciales e importantes, sectores y umbrales de tamaño

Determina si NIS2 te aplica: los dos niveles, los sectores de los anexos I/II, los umbrales de tamaño, las excepciones independientes del tamaño y cómo la cadena de suministro te involucra aunque no estés designado.

Cuestionario de proveedores NIS2 (SAQ): qué preguntar, cómo puntuarlo y una plantilla gratuita

Qué preguntar a los proveedores bajo el art. 21.2.d, cómo puntuar respuestas y responder a brechas, por qué la autodeclaración necesita verificación, y una plantilla gratuita.

NIS2 vs DORA: en qué se diferencian, dónde se solapan y cuál te aplica

En qué se diferencian y solapan los dos regímenes de la UE, por qué DORA es lex specialis para entidades financieras, cuál te aplica, y qué significan ambos para el riesgo de terceros.