CASO DE ÉXITO · BANCA CONSUMER · TOP-5 EUROPA

8 años de programa de ciberseguridad para una de las mayores bancas consumer de Europa.

SAST con Fortify y SonarQube, DAST, pentests manuales, SCA con vigilancia de la cadena de suministro de npm y revisión arquitectónica — sobre 4 plataformas y 3 stacks.

Cómo Raiport ha sostenido — desde 2018 hasta hoy — un programa de ciberseguridad de software continuo, multi-disciplina y multi-stack para una entidad financiera europea presente en 15 países de la UE.

8 años
de continuidad
15
países UE cubiertos
5
disciplinas de auditoría
570+
paquetes npm vigilados

El cliente

Una de las mayores entidades de banca consumer de Europa, con millones de clientes activos en 15 países de la UE y una red de partners industriales y dealers que integran sus productos financieros en el punto de venta.

Sector
Banca consumer · Financiación punto de venta
Escala
Top-5 europeo · presencia en 15 países UE
Stacks auditados
C# / .NET · Java / Spring Boot · TypeScript / Node.js
Relación
2018 → hoy · multi-anual recurrente

¿Por qué nos llamaron?

La seguridad del software ya no se cierra con una auditoría puntual. En banca regulada, hay que sostenerla.

Cuando entramos en 2018, el cliente ya tenía un programa de seguridad serio, pero la velocidad a la que crecía su catálogo de productos financieros y la complejidad de su red de partners empezaba a desbordar a los equipos internos de seguridad.

Cada release tocaba múltiples sistemas. Cada nueva integración con un partner industrial añadía superficie de ataque. Y la cadena de suministro de componentes open source — sobre todo en el ecosistema JavaScript — empezaba a convertirse en un vector de riesgo silencioso.

Necesitaban un partner externo que actuara como segunda línea técnica: capaz de auditar a fondo, de adaptarse al stack que tocara y de mantener el ritmo durante años, no durante un trimestre.

Objetivos acordados

  • Mantener cobertura SAST continuada sobre todos los productos críticos.
  • Reforzar con DAST y penetration testing en hitos sensibles (release, partner nuevo, cambio de arquitectura).
  • Vigilar la cadena de suministro de dependencias open source en tiempo real.
  • Entregar al comité de riesgos métricas trazables y comparables release a release.

Cómo lo hacemos

Cinco disciplinas de auditoría de ciberseguridad, un único framework de reporting, ocho años de hábito.

Herramientas y técnicas

Fortify (SAST enterprise)
SonarQube (calidad + SAST)
Pentesting manual (DAST)
SCA continuo · npm / NuGet / Maven
Revisión arquitectónica + threat modeling

Marcos y normativa

OWASP Top 10
OWASP ASVS
PCI DSS
ISO/IEC 27001
NIST SSDF

La línea de tiempo, año a año

  1. 2018

    Arranque del programa

    Definición de alcance, integración de Fortify y SonarQube en el CI/CD del cliente, primer baseline de vulnerabilidades sobre las plataformas dealer y de quoting.

  2. 2021

    Ampliación a DAST y pentesting

    Incorporamos DAST automatizado y pentesting manual sobre las plataformas internal finance y los componentes web. Cobertura extendida a C#/.NET, Java y TypeScript.

  3. 2022

    Reportes ejecutivos recurrentes

    Estandarización del reporting comparativo release a release: deltas de vulnerabilidades críticas, tiempo medio de remediación, exposición por componente.

  4. 2025

    Vigilancia de cadena de suministro npm

    Detección del ataque Shai-Hulud a npm (570+ paquetes maliciosos). Inventario inmediato de exposición, lista de versiones bloqueadas, monitorización continua de indicadores de compromiso.

Lo que sostenemos cada release

Auditoría de ciberseguridad continuada significa cifras que comparas contigo mismo, no instantáneas que se quedan en un PDF.

SAST
Fortify + SonarQube

Análisis estático sobre código fuente en cada release. Fortify para el reporting regulado, SonarQube para calidad y rapid feedback al desarrollador.

DAST
Pentesting manual + automatizado

Pruebas dinámicas en hitos sensibles: release mayor, partner nuevo, exposición de un endpoint o cambio de arquitectura. Pentesting manual sobre los productos críticos.

SCA
Cadena de suministro

Inventario continuo de dependencias open source (npm, NuGet, Maven). Vigilancia de incidentes de supply chain en tiempo real, con bloqueo proactivo de versiones.

El programa cubre 4 plataformas con C#/.NET, Java/Spring Boot y TypeScript/Node. El framework propio Software Reports unifica el reporting ejecutivo y técnico de todas las disciplinas — SAST, DAST, SCA, pentests, arquitectura — en un único formato comparable.

Lo que entregamos cada ciclo

01

Reporte ejecutivo trimestral

Deltas de vulnerabilidades críticas, tiempo medio de remediación, exposición a incidentes de supply chain. Lectura de 10 minutos para comité de riesgos.

02

Reporte técnico por producto

Hallazgos priorizados con evidencia, CVSS, ruta del código y plan de remediación accionable por el equipo de desarrollo.

03

Inventario vivo de dependencias

Listado de paquetes open source por proyecto, versiones, CVE conocidas, paquetes vigilados y versiones bloqueadas.

04

Alertas tempranas de cadena de suministro

Notificación inmediata cuando se publica un IoC relevante (paquete comprometido, dominio malicioso, hash) que afecta al cliente.

05

Sesiones técnicas con el equipo cliente

Walkthrough de cada batería de hallazgos con desarrolladores y arquitectos del cliente. Foco en cómo evitar la regresión.

El resultado

Una banca top-5 europea con 8 años de programa de auditoría continua, sin saltos ni pivots de proveedor.

  • Continuidad de programa desde 2018 sobre múltiples plataformas críticas — el cliente lleva nuestro reporting al comité de riesgos sin reescribirlo.
  • Capacidad de auditar simultáneamente C#/.NET, Java/Spring Boot y TypeScript/Node sin cambiar de partner.
  • Respuesta inmediata al ataque Shai-Hulud (npm) en septiembre 2025: inventario, bloqueo y monitorización en horas, no en semanas.
  • Reporting comparable release a release que entra directamente en governance interno (PCI DSS, ISO 27001, comité de riesgos).

Llevamos años trabajando con Raiport. Cuando salió lo de npm en septiembre nos llamaron antes que nuestros propios equipos internos detectaran la exposición. Esa es la diferencia entre un proveedor y un partner.

Responsable de seguridad de software del cliente

Por qué Raiport sostiene este programa hace 8 años

Multi-disciplina + multi-stack + framework propio + memoria histórica del cliente.

SAST + DAST + SCA + pentests en un mismo equipo

No subcontratamos disciplinas. El mismo equipo que audita estáticamente con Fortify y SonarQube hace pentesting manual, vigila la cadena de suministro de paquetes y revisa arquitectura. Eso evita que se nos escape lo que vive entre disciplinas.

Stack agnóstico

C#/.NET, Java/Spring Boot, TypeScript/Node, IBM API Connect. El framework Software Reports normaliza el output de cada herramienta para que el cliente vea un único formato ejecutivo.

Memoria histórica del cliente

Llevamos 8 años. Sabemos qué módulos arrastraban deuda en 2019 y qué controles ya cerraron en 2023. Eso acelera el triage de cada nueva auditoría — no empezamos de cero cada vez.

Cadena de suministro como disciplina propia

El incidente Shai-Hulud no fue una excepción: el SCA continuo es una pieza del programa desde 2024. Inventario vivo, IoCs vigilados, versiones bloqueadas y reporting al cliente en tiempo real.

Preguntas Frecuentes

¿Su organización necesita un programa así?

Si tiene software crítico, varios stacks, releases frecuentes y un comité de riesgos que pide trazabilidad, sí. Empiece por una sesión de 30 minutos sin coste donde le contamos exactamente cómo lo plantearíamos para su caso.

Ver Otros Assessments

Servicios relacionados

Auditoría de Riesgos

Evaluación de vulnerabilidades, cumplimiento normativo y riesgos operativos.

Saber más

Auditoría de Código

Revisión profunda de calidad, seguridad y mantenibilidad de su código fuente.

Saber más

Diagnóstico Inicial Gratuito

30 min con un experto. Sin coste ni compromiso.

Saber más