En resumen: Aikido Security te ayuda a cumplir con la Ley de Ciberresiliencia. También te ayudamos a automatizar las políticas de seguridad y las comprobaciones de cumplimiento para SOC2, ISO27001, CIS y NIS2.
Aquí, explicamos la importancia de la Ley de Ciberresiliencia y cómo Aikido te ayuda a cumplirla.
¿Qué es la Ley de Ciberresiliencia y por qué es importante para la seguridad del software?
La Ley de Ciberresiliencia (CRA) es una regulación de la Unión Europea (UE), introducida en diciembre de 2024, que establece requisitos básicos de ciberseguridad y cumplimiento para todos los productos con elementos digitales —incluyendo sus componentes básicos (hardware y software)— que se venden en la UE. Esto incluye productos de Software como Servicio (SaaS) que califican como soluciones de procesamiento de datos remoto. Afecta a todos los fabricantes y distribuidores que venden productos digitales en la Unión Europea, no solo a las empresas con sede en la UE.
Esto atribuye la responsabilidad de prevenir fallos de ciberseguridad a los fabricantes, con sanciones significativas por incumplimiento, de hasta 15 millones de euros o el 2,5% de la facturación global. Esto significa, en efecto, que la ciberseguridad del producto se convierte en una barrera de entrada al mercado y un requisito no negociable para mantener la relevancia en la cadena de suministro digital.
La regulación tiene como objetivo proporcionar directrices claras a los afectados — pero si fuera tan clara, no estaría leyendo esta página, así que vamos a desglosarla para usted.
¿Por qué se introdujo la Ley de Ciberresiliencia?
La Comisión Europea introdujo la CRA para combatir el bajo nivel de seguridad de los productos en el mercado interno. El número creciente de productos digitales que se introducen frecuentemente en el mercado con vulnerabilidades conocidas, a menudo sin proporcionar actualizaciones de seguridad, amplía la superficie de ataque de consumidores y empresas. Aunque a menudo puedan parecer inofensivos, un solo dispositivo conectado puede servir como punto de entrada para actores maliciosos que buscan comprometer una red más amplia.
Para proteger a los consumidores, la CRA somete a productos críticos, incluyendo cerraduras inteligentes, sistemas de monitoreo de bebés, sistemas de alarma, juguetes conectados y tecnología de salud wearable, a un cumplimiento más estricto, trasladando efectivamente la carga del usuario final al fabricante. Al exigir legalmente actualizaciones de seguridad automáticas por defecto y requerir instrucciones de usuario claras, la CRA garantiza que los consumidores estén debidamente informados y puedan mantener sus dispositivos en un estado seguro sin necesidad de conocimientos técnicos avanzados.
Otro problema que la UE quiere resolver es lo difícil que resulta para consumidores y empresas saber qué productos son seguros cuando están comprando algo.
La CRA asegura que el software y los dispositivos conectados estén actualizados, seguros y permanezcan resilientes a los ciberataques en constante evolución. Muchos productos se han lanzado históricamente con vulnerabilidades conocidas, alimentando ataques a la cadena de suministro a gran escala; la CRA tiene como objetivo cambiar eso.
¿Cuándo entra en vigor la CRA?
Para los equipos que desarrollan software, el cronograma se reduce a dos plazos:
- A partir del 11 de septiembre de 2026, los desarrolladores de software deben cumplir con las reglas de notificación obligatoria, lo que significa que están legalmente obligados a informar a las autoridades de la UE sobre cualquier vulnerabilidad explotada activamente o incidente de seguridad grave dentro de las 24 horas siguientes a tener conocimiento de ellos.
- El segundo y último plazo es el 11 de diciembre de 2027, fecha en la que sus productos deben cumplir plenamente con todos los requisitos de seguridad esenciales, incluyendo una configuración segura por defecto, una declaración de conformidad y llevar el marcado CE para ser vendidos en el mercado de la UE.
Las Clasificaciones de Productos de la CRA
La CRA define cuatro niveles de clasificación para productos con elementos digitales, basados en sus riesgos inherentes de ciberseguridad:
- Clase por defecto: Esto cubre la mayoría de los productos y permite a los fabricantes realizar una autoevaluación para demostrar el cumplimiento de la Ley de Ciberresiliencia sin auditorías obligatorias de terceros.
- Clase Importante I: Esta categoría incluye productos con funciones de seguridad fundamentales, como sistemas operativos, gestores de contraseñas y routers, que requieren una validación más estricta, por ejemplo, a través de estándares armonizados (que están en desarrollo).
- Clase Importante II: Este grupo de mayor riesgo abarca componentes de seguridad operativa como firewalls, hipervisores y herramientas de detección de intrusiones, y requiere pruebas independientes obligatorias por parte de un organismo notificado antes de la entrada en el mercado.
- Crítica: Reservada para software y hardware de máxima seguridad, como tarjetas inteligentes, elementos seguros y pasarelas de contadores inteligentes, esta clase requiere una evaluación de conformidad independiente por parte de un tercero a través de un Organismo Notificado.
Cómo el cumplimiento de la CRA afecta a los desarrolladores y equipos de seguridad
Si formas parte de un equipo de ingeniería o seguridad, tiene un gran impacto, porque cambia la forma en que diseñas, construyes, pruebas y distribuyes software. Desde la gestión de vulnerabilidades hasta la respuesta a incidentes, el cumplimiento significa integrar la seguridad desde el diseño en tu ciclo de vida de desarrollo.
Cómo Aikido Security simplifica los requisitos de cumplimiento de la CRA
La CRA enumera requisitos estrictos para los fabricantes, desde el escaneo de vulnerabilidades y la generación de SBOM hasta la resistencia contra ataques DoS. Aikido te ayuda a cumplir estos requisitos con escaneo de seguridad automatizado, protección en tiempo de ejecución e informes de cumplimiento en un sistema centralizado.
A continuación, se detalla cómo Aikido le ayuda a cumplir requisitos específicos: Los productos deben proporcionar un nivel de ciberseguridad adecuado basado en los riesgos. Aikido ayuda monitorizando continuamente su código, cloud y runtime frente a riesgos conocidos. Esto le proporciona una buena visión general de su postura de seguridad.
Los productos deben entregarse sin vulnerabilidades explotables conocidas
Aquí es donde Aikido es esencial; Aikido proporciona una serie de escáneres que buscan vulnerabilidades. Estos incluyen SAST - escaneo de su código fuente en busca de vulnerabilidades de seguridad, análisis de composición de software (SCA) - escaneo de vulnerabilidades de dependencias de código abierto, escaneo de máquinas virtuales (instancias AWS EC2), DAST, gestión de la postura de seguridad en la nube (CSPM) - comprobaciones de errores de configuración en la nube, escaneo de API, escaneo de secretos, escaneo de contenedores, escaneo de infraestructura como código (IaC), escaneo de malware, y escaneo de licencias de código abierto.
Y antes de entregar cualquier producto, Aikido proporciona Zen, que es una autoprotección de aplicaciones en tiempo de ejecución (RASP), que protege una aplicación al proporcionar un firewall integrado en la aplicación. Esto detecta amenazas mientras su aplicación se ejecuta, detiene ataques como los de día cero en tiempo real y bloquea automáticamente los ataques de inyección críticos. Al instalar Zen, no tiene que preocuparse por nuevas vulnerabilidades.
Los productos deben proteger la disponibilidad de las funciones esenciales, incluyendo la resiliencia y la mitigación de ataques de denegación de servicio.
El Zen de Aikido puede filtrar el tráfico malicioso en el borde y aplicar limitación de velocidad, ayudando a mitigar los ataques DoS/DDoS. Reduce el radio de impacto de los ataques volumétricos o de agotamiento de recursos antes de que afecten la lógica de la aplicación.
Los productos deben minimizar el impacto negativo en la disponibilidad de los servicios proporcionados por otros dispositivos o redes.
Aikido Zen puede asegurar que los servicios comprometidos no propaguen tráfico abusivo hacia el exterior.
Los productos deben diseñarse, desarrollarse y producirse para limitar las superficies de ataque, incluidas las interfaces externas.
Al identificar servicios expuestos, código inseguro y dependencias vulnerables, Aikido ayuda a reducir las superficies de ataque. Las pruebas de penetración autónomas sondean interfaces y puntos finales dinámicamente, ayudando a identificar exposiciones inesperadas.
Productos diseñados, desarrollados y producidos para reducir el impacto de un incidente utilizando mecanismos y técnicas de mitigación de explotación adecuados.
Al detectar bibliotecas vulnerables o prácticas de codificación inseguras tempranamente a través de la calidad del código de Aikido, Aikido reduce activamente la explotabilidad. Nuestras pruebas de penetración autónomas validan si las mitigaciones (por ejemplo, reglas WAF, sandboxing, deserialización segura) realmente detienen las explotaciones en el mundo real. Mientras tanto, DAST puede validar si las defensas en tiempo de ejecución realmente funcionan y, en esencia, decirle si la comprobación es (o no es) efectiva bajo ataque. Al simular intentos de explotación, verifica que, incluso si existe una vulnerabilidad, los controles compensatorios pueden limitar el daño.
Las vulnerabilidades pueden abordarse mediante actualizaciones de seguridad, incluyendo, cuando sea aplicable, a través de actualizaciones automáticas y la notificación de actualizaciones disponibles a los usuarios.
Aikido monitoriza continuamente nuevas vulnerabilidades en sus dependencias y le alerta, ayudándole a asegurar que las actualizaciones se apliquen con prontitud.
Los fabricantes deben identificar y documentar las vulnerabilidades y los componentes contenidos en el producto, incluyendo la elaboración de una lista de materiales de software (SBOM) en un formato de uso común y legible por máquina que cubra, como mínimo, las dependencias de nivel superior del producto.
Puede utilizar Aikido para exportar una lista de materiales de software (SBOM) completa en CycloneDX o SPDX con un solo clic. Esto proporciona un inventario completo de todos los paquetes y sus licencias para auditorías y transparencia.
En relación con los riesgos que plantean los productos con elementos digitales, abordar y remediar las vulnerabilidades sin demora, incluso proporcionando actualizaciones de seguridad.
Aikido es la mejor opción para reducir el tiempo de remediación, ya que nuestros escaneos reducen el ruido (falsos positivos) en un 95 %. Además, nuestra herramienta de Pruebas de seguridad de aplicaciones estáticas (SAST) puede descartar la posibilidad de explotabilidad, y cuando esto no es posible, clasifica automáticamente las alertas para que usted las priorice.
Además, podemos remediar una serie de problemas automáticamente con un solo clic gracias a nuestra función AutoFix. Sabemos, por nuestra propia investigación con desarrolladores, ingenieros de AppSec y CISOs en Europa y EE. UU., que el 79 % de las organizaciones ya utilizan herramientas de corrección automática con IA para vulnerabilidades, y otro 18 % está interesado en hacerlo.
Los hallazgos de nuestras pruebas de penetración autónomas también pueden integrarse en los pipelines de remediación, facilitando la validación de que las correcciones realmente funcionan.
Además, podemos remediar una serie de problemas automáticamente con un solo clic gracias a nuestra función AutoFix. Sabemos, por nuestra propia investigación con desarrolladores, ingenieros de AppSec y CISOs en Europa y EE. UU., que el 79 % de las organizaciones ya utilizan herramientas de corrección automática con IA para vulnerabilidades, y otro 18 % está interesado en hacerlo.
Los hallazgos de nuestra nueva solución de pruebas de penetración autónomas también pueden integrarse en los pipelines de corrección, facilitando la validación de que las soluciones realmente funcionan.
Aplicar pruebas y revisiones efectivas y regulares de la seguridad del producto con elementos digitales.
Aikido proporciona pruebas de penetración autónomas que son más exhaustivas y eficientes que las alternativas manuales, permitiendo a las organizaciones realizar pruebas automatizadas bajo demanda o de forma continua. (Esto transforma las pruebas de penetración de semanas de duración en evaluaciones que tardan menos de una hora). Por separado, Aikido también automatiza las pruebas de seguridad en cada cambio de código o compilación, asegurando revisiones continuas.
Más allá de ISO27001, NIS2 y DORA: Lo que añade la Ley de Ciberresiliencia
Muchas organizaciones ya cumplen con marcos como ISO27001, NIS2 o DORA. Estos se centran principalmente en cómo su empresa gestiona la seguridad a nivel organizacional (políticas, gestión de riesgos, respuesta a incidentes e informes). Aikido ya proporciona informes de cumplimiento dentro de su plataforma para:
- Cumplimiento ISO 27001:2022
- Cumplimiento SOC2
- Cumplimiento del Top 10 OWASP
- Cumplimiento CIS
- Cumplimiento NIS2
- Cumplimiento NIST 800-53
- Cumplimiento PCI
- Cumplimiento HIPAA
- Cumplimiento DORA
- Cumplimiento HITRUST LVL3
- Cumplimiento ENS
- GDPR
La Ley de Ciberresiliencia (CRA) es diferente. Introduce obligaciones de seguridad a nivel de producto, lo que significa que la regulación se aplica directamente a los productos digitales que usted construye y vende. El cumplimiento no se trata solo de demostrar que tiene los procesos correctos implementados, sino también de demostrar que su producto en sí es seguro:
- Debe distribuirse sin vulnerabilidades conocidas
- Debe incluir un SBOM, que cubra al menos las dependencias de nivel superior.
- Debe ser resiliente a los ataques (p. ej., DoS/DDoS)
- Debe recibir actualizaciones de seguridad automáticas, durante al menos 5 años.
- Debe ser probado regularmente en busca de fallos explotables
Estos son requisitos sobre el producto en sí, no solo sobre el sistema de gestión de seguridad de su empresa.
Otras herramientas de seguridad que podría necesitar para el cumplimiento total de la Ley de Ciberresiliencia
Si bien Aikido cubre la seguridad de código, cloud y runtime en un sistema centralizado, la Ley de Ciberresiliencia también aborda la evaluación de riesgos, la seguridad funcional y arquitectónica, la gestión de identidades, el cifrado, la protección de datos y la seguridad de la red. Dependiendo de su entorno, es posible que necesite herramientas complementarias como IAM, herramientas de modelado de amenazas, controles criptográficos o soluciones de recuperación ante desastres junto con Aikido.
Preguntas frecuentes
Conclusión
La Ley de Ciberresiliencia establece un nuevo estándar para el software seguro en Europa. La ciberseguridad ya no es una casilla de verificación de cumplimiento opcional, sino una barrera de entrada al mercado. Para los equipos de ingeniería y seguridad, significa diseñar para la seguridad desde el principio y demostrar que sus productos cumplen los requisitos de la CRA.
Aikido Security lo simplifica. Desde el código hasta la nube y el tiempo de ejecución, Aikido le ofrece escaneo automatizado, calidad de código, generación de SBOM, pruebas de penetración y protección en tiempo de ejecución en una sola plataforma. Sin malabarismos con múltiples herramientas. Sin ruido adicional. Solo caminos más rápidos hacia el cumplimiento y productos más seguros. ¿Listo para ver cómo Aikido le ayuda a cumplir los requisitos de la CRA?
Reservar una demo y empiece a construir software seguro sin ralentizar a su equipo.
