De Nordea a LensCrafters: Lecciones de ciberseguridad que DORA y NIS2 nos obligan a aprender en entornos z/OS

A veces pensamos que los gigantes son intocables. Miramos hacia las grandes corporaciones y asumimos que sus murallas digitales son impenetrables. Pero la realidad, tozuda como ella sola, nos demuestra lo contrario una y otra vez. El caso de Nordea debería quitarnos el sueño a más de uno. No fue simplemente un ataque de denegación de servicio que apareció en las noticias. La realidad es mucho más inquietante: los atacantes estuvieron infiltrados durante cerca de un año, operando sigilosamente desde Camboya. Durante todo ese tiempo, se dedicaron a realizar un footprinting exhaustivo, mapeando cada rincón de la infraestructura y estudiando sus defensas sin que nada ni nadie los detectara. Un año entero dentro de la cocina antes de romper los platos. Si sumamos esto a la brecha de datos en LensCrafters, que expuso información sensible de pacientes, la conclusión es clara: no nos engañemos, la seguridad por oscuridad ha muerto. Y aquí es donde entra en juego el elefante en la habitación: la falsa sensación de seguridad en el entorno de Mainframe. Durante décadas, hemos repetido el mantra de que el mainframe (o "el hierro", como a los veteranos nos gusta llamarlo) es invulnerable por diseño. Y sí, la plataforma z/OS es robusta, pero no es mágica. Si alguien puede pasar un año paseándose por tus redes sin ser visto, tu "hierro" no está a salvo.

El cambio de reglas: DORA y NIS2

Aquí es donde la legislación europea ha dado un golpe sobre la mesa. Con la entrada en vigor del Reglamento DORA (Digital Operational Resilience Act) y la directiva NIS2, el escenario ha cambiado radicalmente. Ya no estamos hablando solo de cumplir con el Reglamento General de Protección de Datos (GDPR) o el Reglamento UE 2016/679 para evitar una multa. Estamos hablando de supervivencia operativa. DORA exige que las entidades financieras (y sus proveedores TIC críticos) demuestren que pueden resistir, responder y recuperarse de cualquier tipo de amenaza TIC. No vale levantar un muro; tienes que saber si alguien lo está saltando. Por su parte, la NIS2 amplía el alcance a los sectores esenciales, obligando a los directivos a asumir la ciberseguridad como una responsabilidad personal. Para un CISO moderno, esto significa que la seguridad del mainframe ya no puede ser una caja negra aislada del resto del mundo.

La integración es la clave: SIEM y SOC

Muchos se preguntan qué es un SIEM o qué es un SOC en el contexto del mainframe. Históricamente, estos sistemas de monitorización operaban de espaldas al entorno z/OS. Eso se acabó. Para cumplir con la normativa y evitar que te hagan un "Nordea", necesitamos visibilidad total. Un SIEM (Security Information and Event Management) debe ingerir y correlacionar los eventos del mainframe en tiempo real. Si tu SOC (Centro de Operaciones de Seguridad) no ve lo que ocurre en el mainframe, estás ciego en la parte más crítica de tu infraestructura. Integrar los logs de z/OS en tu estrategia de SIEM de ciberseguridad no es opcional; es la única forma de detectar ese footprinting silencioso o esos movimientos laterales antes de que se conviertan en una exfiltración de datos.

Auditoría continua: Más allá de la foto fija

Aquí llegamos al punto doloroso. Muchas organizaciones siguen confiando en auditorías anuales estáticas. Hacer una auditoría una vez al año es como mirar el reloj una vez al día: te da la hora exacta en ese momento, pero no sabes qué ha pasado el resto del tiempo. Las amenazas son dinámicas y persistentes. Por eso, servicios como DATAPASS se vuelven imprescindibles. No se trata de pasar un checklist y olvidarse. Hablamos de aumentar la frecuencia y la profundidad de los servicios de auditoría cíclica. DATAPASS funciona como un sistema de mejora continua de la seguridad de los mainframe, permitiendo identificar vulnerabilidades en la configuración, en el software base o en los permisos de los usuarios de forma cíclica y recurrente. En un mundo donde el Reglamento Europeo de Protección de Datos y DORA nos exigen responsabilidad proactiva, la auditoría continua es nuestro único salvavidas real.

Conclusión: La resiliencia es una actitud

Nordea y LensCrafters nos enseñan que la tecnología falla y los atacantes tienen paciencia. La diferencia entre un incidente y una catástrofe radica en la preparación. Tanto si gestionas un LPAR crítico como si eres responsable del cumplimiento de la normativa RGPD, el mensaje es claro: moderniza tu vigilancia, integra tu mainframe en el SOC y adopta una auditoría continua. Porque cuando lleven un año dentro, ya será tarde para cerrar la puerta.