Centro de operaciones de ciberseguridad SOC bancario con un solo analista trabajando rodeado de puestos vacíos, ilustrando el déficit de 15.000 ciberexpertos en banca para cumplir DORA
|

DORA y los ciberexpertos que faltan en la banca

PorJosé Enrique Ibarra

Llevo semanas hablando con responsables de banca y todos describen el mismo cuello de botella: el déficit de talento en ciberseguridad en banca es ya el principal freno para cumplir DORA en España. El sector financiero concentra unas 15.000 vacantes sin cubrir, dentro de un déficit nacional cercano a los 99.600 puestos de especialistas. La banca acumula el 34 % de los ciberataques a operadores críticos y, desde el 17 de enero de 2025, todas las entidades financieras tienen la obligación legal de cumplir con DORA. La pregunta ya no es qué exige el regulador. Es quién lo va a ejecutar.

Déficit de talento en ciberseguridad en banca: el dato que describe el regulador

El dato sobre el déficit de talento en ciberseguridad en banca lo publicó Vozpópuli el 10 de mayo de 2026 y resume con precisión un problema que no es nuevo, pero que ahora es exigible. El INCIBE gestionó 122.223 incidentes en 2025, un 26 % más que el año anterior. El 96 % de los bancos europeos ha sufrido brechas vinculadas a proveedores externos, y el 97 % ha registrado incidentes con terceros. La superficie de ataque crece cada vez que se integra un nuevo proveedor, una nueva aplicación móvil o una migración a la nube.

DORA, el Reglamento de Resiliencia Operativa Digital, no recomienda: obliga. El Banco de España supervisa el cumplimiento y las consecuencias económicas son reales. Hablamos de una arquitectura regulatoria que se articula en cinco pilares operativos —gestión de riesgo TIC, notificación de incidentes graves, pruebas de resiliencia, gestión del riesgo de terceros TIC e intercambio de inteligencia de amenazas— que ya desarrollé en detalle en mi guía del Reglamento DORA y la resiliencia digital del sector financiero. Cada uno de esos pilares necesita personas con un perfil muy específico que el mercado no produce al ritmo que la norma exige.

Ciberseguridad en banca: por qué es el objetivo favorito de los ataques

El déficit de talento en ciberseguridad en banca se explica también por la naturaleza del sector. La banca es objetivo prioritario por tres motivos estructurales. Primero, concentra valor económico líquido, lo que la hace rentable para el atacante. Segundo, la digitalización acelerada del sector ha multiplicado la superficie de ataque: cada API expuesta, cada SDK de un proveedor, cada integración de pagos abre una puerta. Tercero, el sector depende de una cadena de suministro tecnológica enorme que ha demostrado ser el vector preferido por los grupos APT y los operadores de ransomware.

El Banco de España documenta que los ciberataques al sector financiero duplicaron su frecuencia entre 2018 y 2022 a nivel global. El crecimiento no se ha detenido: la inteligencia artificial generativa ha bajado la barrera de entrada para campañas de phishing personalizadas, ingeniería social a escala y explotación automatizada de vulnerabilidades. Esta dinámica la analizo con detalle en mi artículo sobre seguridad bancaria frente al cibercrimen moderno. Cada nueva técnica de ataque exige una respuesta defensiva equivalente, y esa respuesta solo la pueden articular profesionales que entiendan a la vez la tecnología, la regulación y el negocio bancario.

El perfil que cierra el déficit de talento en ciberseguridad en banca

El déficit de talento en ciberseguridad en banca no es solo de pentester o analista de SOC junior. Lo crítico es la falta de profesionales capaces de hacer de puente entre tres mundos que rara vez coexisten en una sola persona:

  • El lenguaje técnico de la amenaza (SIEM, SOAR, XDR, Zero Trust, threat hunting, gestión de incidentes).
  • El marco regulatorio en vigor (DORA, NIS2, RGPD, EU AI Act, esquemas nacionales como ENS), que mapeo en mi guía de normativas IT 2026.
  • El lenguaje de negocio que entiende el comité de dirección y el supervisor del Banco de España.

Ese perfil triple —técnico, regulatorio y ejecutivo— es exactamente el del AI/Cybersecurity Project Manager. No es un consultor que entrega un informe y se marcha. Es alguien que dirige el programa DORA de extremo a extremo: define el roadmap de cumplimiento, coordina los equipos internos de seguridad, riesgo, legal y TI, gestiona la relación con proveedores TIC críticos, prepara las notificaciones obligatorias al regulador y traduce la norma en controles operativos auditables.

Las universidades no producen ese perfil. No porque sus programas estén mal diseñados, sino porque la combinación se construye con años de exposición real a sectores regulados. Por eso el déficit existe y por eso seguirá existiendo durante varios años más.

Qué pueden hacer las entidades mientras forman su talento interno

El 48 % de las empresas en España está intentando cubrir vacantes de ciberseguridad formando a su propio personal, pero solo dos de cada diez posiciones se cubren con talento interno. Formar lleva entre 18 y 36 meses; DORA es exigible desde hace casi año y medio. La aritmética no cuadra. Las entidades que mejor están gestionando la transición trabajan con tres palancas combinadas:

1. Incorporación directa de perfiles senior con visión regulatoria

Contratar en plantilla a profesionales con 15-30 años de experiencia en sectores regulados que ya hablan el idioma de DORA, NIS2 y RGPD. Estos perfiles no necesitan formación: necesitan acceso al sistema y mandato ejecutivo. El coste es alto pero el time-to-value es de semanas, no de años. Es exactamente la propuesta que articulo en contratar AI Project Manager en plantilla, interim o retainer.

2. Equipos híbridos con liderazgo externo y ejecución interna

Un Project Manager externo o en plantilla con experiencia DORA pilota el programa, mientras los equipos internos junior y mid ejecutan tareas concretas. Esta arquitectura permite cumplir la norma sin disparar el coste y, a la vez, transferir conocimiento al equipo interno. En tres años, el equipo es autónomo. Es el modelo que aplico cuando me incorporo como consultor DORA en banca para dirigir el programa de extremo a extremo.

3. Plataformas de gestión de cumplimiento

Cuando las personas escasean, la herramienta correcta multiplica al equipo disponible. Una plataforma multi-tenant que centralice el control documental, la trazabilidad de incidentes, las notificaciones obligatorias DORA/NIS2/RGPD y la auditoría reduce drásticamente la dependencia de perfiles escasos para tareas estructuradas. Es exactamente la lógica que aplico en RegComply, mi plataforma de cumplimiento normativo desplegada en regcomply.joseenrique.es.

Lo que aporta un AI/Cybersecurity Project Manager senior

Cubrir el déficit de talento en ciberseguridad en banca exige una combinación de criterio técnico y normativo que se construye con años de campo. Después de 30 años en banca, seguros, energía, agroalimentación y administración pública, el patrón se repite: las entidades no fallan por desconocer la norma, fallan en la ejecución. La gestión de un programa DORA exige al mismo tiempo:

  • Análisis de brecha frente a los cinco pilares de DORA y los artículos relevantes de NIS2 y RGPD.
  • Diseño y mantenimiento del registro de información de proveedores TIC (Artículo 28 DORA), exigible y con actualización periódica al supervisor.
  • Definición del marco de pruebas de resiliencia operativa, incluida la elegibilidad TLPT.
  • Coordinación con SOC, equipos de respuesta a incidentes y proveedores externos para cerrar el ciclo SIEM-SOAR-XDR.
  • Integración del EU AI Act en los modelos de IA usados por la entidad: clasificación de riesgo, evaluación de impacto y trazabilidad del modelo.
  • Reporting ejecutivo al comité de dirección y al supervisor en lenguaje de negocio.

Esto es lo que entrego como dirección de programa. Y es el tipo de figura que el artículo de Vozpópuli describe como inexistente en el mercado. Si te interesa cómo articulo el paso del delivery al cumplimiento, lo desarrollo en del delivery al compliance: NIS2 para Project Managers.

El déficit de talento en ciberseguridad en banca no es tecnológico, es de personas

El déficit de talento en ciberseguridad en banca no se va a resolver en un año. El sector financiero español tiene por delante un proceso de construcción de capacidades que no se va a completar en un año. La regulación exige, los ataques no cesan y el talento escasea. Las entidades que ya están en cumplimiento no son las que tienen más presupuesto: son las que han combinado talento senior con visión regulatoria, equipos internos en formación y herramientas de gestión que multiplican al equipo disponible.

Si tu entidad —o tu cliente— está en este hueco, podemos hablar. Trabajo en modalidad híbrida o remota, con disponibilidad para incorporación inmediata como AI/Cybersecurity Project Manager en plantilla o como dirección externa de programa. Puedes escribirme desde la página de contacto.

Preguntas frecuentes sobre DORA y déficit de ciberseguridad en banca

¿Cuántos profesionales de ciberseguridad faltan en la banca española?

Según los datos publicados por Vozpópuli en mayo de 2026, el sector financiero español tiene un déficit estimado de 15.000 vacantes de ciberseguridad sin cubrir. La cifra se enmarca en un déficit nacional cercano a los 99.600 puestos de especialistas. La banca concentra además el 34 % de los ciberataques a operadores críticos, lo que convierte el problema en estructural y prioritario.

¿Por qué DORA agrava el déficit de talento en banca?

DORA es plenamente exigible desde el 17 de enero de 2025 y no admite gradualismo. Obliga a las entidades financieras a desplegar simultáneamente cinco pilares (riesgo TIC, incidentes graves, pruebas de resiliencia, riesgo de terceros e intercambio de inteligencia), cada uno con perfiles especializados que combinan tecnología, regulación y negocio. Esa combinación rara vez existe en una sola persona y el mercado no la produce al ritmo que la norma exige.

¿Qué perfil resuelve un programa DORA en una entidad financiera?

El perfil clave es el AI/Cybersecurity Project Manager senior con experiencia en sectores regulados. Es quien dirige el programa de extremo a extremo: define el roadmap, coordina seguridad, riesgo, legal y TI, gestiona proveedores TIC críticos, prepara las notificaciones al supervisor y traduce la norma en controles operativos auditables. No es un consultor que entrega un informe, es un director de programa con mandato ejecutivo.

¿Cuánto tarda una entidad en cubrir el hueco formando talento interno?

Formar a personal interno en ciberseguridad regulada lleva entre 18 y 36 meses según el punto de partida. DORA es exigible desde hace casi año y medio, por lo que la formación pura no resuelve el problema de cumplimiento inmediato. La estrategia eficaz combina incorporación senior con visión regulatoria, equipos híbridos con liderazgo externo y plataformas de cumplimiento que multiplican al equipo disponible.

¿Puede una plataforma de compliance reducir la dependencia de perfiles escasos?

Sí, especialmente en tareas estructuradas como control documental, trazabilidad de incidentes, notificaciones obligatorias y auditoría. Una plataforma multi-tenant que centralice DORA, NIS2, RGPD y EU AI Act libera horas de los pocos perfiles senior disponibles para que se concentren en decisiones, no en gestión documental. Es la lógica que aplico en RegComply, mi plataforma de cumplimiento normativo.

Más sobre cumplimiento DORA y ciberseguridad bancaria

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *