Señor Lobo & Friends. Cuidamos tu reputación

Un año de DORA: ¿ Sobrevivirá tu empresa a una crisis de reputación tras un ciberataque?

El primer año del Reglamento DORA (Digital Operational Resilience Act) ha marcado un antes y un después en la forma en que las entidades financieras gestionan la ciberseguridad. Sin embargo, hay una conclusión que empieza a consolidarse: cumplir con DORA no evita una crisis de reputación. De hecho, muchas organizaciones que han alcanzado niveles elevados de madurez técnica siguen siendo vulnerables en el momento más crítico: cuando el incidente se hace público. Desde la plena aplicación del Reglamento DORA, las entidades financieras y sus proveedores tecnológicos ya no solo se enfrentan a un reto técnico, sino a un nuevo estándar de responsabilidad reputacional.

Durante este último año, el panorama de la resiliencia digital en Europa ha cambiado radicalmente. Si ya estábamos inmersos en una Guerra Híbrida, donde la IA juega un papel determinante frente a la seguridad de la información,  2026 se ha estrenado con una guerra sobre el terreno —el de Oriente Medio— que echa más leña al fuego. 

Tras muchos años gestionando crisis de comunicación, he aprendido una lección importante: el mercado perdona un error técnico, pero no perdona la falta de preparación. Si antes de la entrada en vigor del Reglamento analizábamos los retos del sector de la  ciberseguridad de las entidades del sector financiero  junto a Paco Pérez Bes, en este artículo veremos qué mejoras se han producido.

DORA y crisis de reputación: de la tecnología a la confianza

El primer año de DORA confirma un cambio de fondo: las empresas han pasado de una ciberseguridad pasiva a una resiliencia operativa activa. La clave ya no es cumplir, sino convertir la regulación en ventaja competitiva. Hoy, la resiliencia se mide por la rapidez con la que una marca se recupera tras un incidente. En otras palabras, ¿cuánto tarda tu marca en recuperar la normalidad?

DORA refuerza ámbitos críticos —riesgo TIC, notificación, terceros y pruebas avanzadas—, pero también eleva la exposición: si falla un proveedor, la reputación afectada es la tuya. En este último año, las empresas han mejorado en procesos y detección, pero no necesariamente en evitar una crisis de reputación. Porque el impacto de un ciberataque es, sobre todo, público.

En este escenario, se activan dos tiempos: el técnico y el reputacional. Y aquí DORA juega un papel clave. Como señala INCIBE, la obligación de notificar incidentes, lejos de ser un riesgo, puede ser una ventaja: reduce rumores y refuerza la percepción de control si se gestiona correctamente.

Cuándo empieza realmente una crisis de reputación

Desde el punto de vista de comunicación, el ciberataque no es el inicio de la crisis.

La crisis empieza cuando el incidente se hace visible para clientes, medios y reguladores.

En ese momento la percepción supera a los hechos, la narrativa define el impacto y la confianza entra en riesgo. Y es ahí donde muchas organizaciones fallan.

Quienes nos dedicamos a gestionar crisis de reputación sabemos que gestionar la comunicación es tan crítico como el parche de código que lo detiene. Así lo corroboran expertos de firmas internacionales como Price Forbes, o la firma legal Clyde & Co quienes advierten de que el verdadero riesgo no es la multa, sino el estigma reputacional que solo se mitiga con una transparencia protocolizada.

En última instancia, el Reglamento no solo busca proteger a las entidades financieras ante incidentes tecnológicos.  Su misión última es «escudar también a sus tomadores y asegurados» (los clientes finales) de posibles filtraciones de datos o de la interrupción del servicio. Y son precisamente estos stakeholders quienes van a exigir un cumplimiento normativo. La conclusion es clara: si el cliente se siente protegido por un marco de resiliencia robusto, la confianza se mantiene intacta incluso tras un incidente tecnológico grave. Y por ende, la reputación.

Checklist de emergencia: ¿Está tu plan de crisis alineado con DORA?

El error más común consiste en centrarse en el ataque y no en la crisis de reputación.

Durante este primer año de DORA, como ya hemos dicho, la mayoría de compañías ha invertido en tecnología, cumplimiento y procesos. Pero no en estrategia de comunicación, gestión de stakeholders y preparación de portavoces. El resultado son organizaciones técnicamente más preparadas que antes, pero vulnerables a una crisis de reputación.

Si tu empresa sufriera un ciberataque MAÑANA, ¿podrías marcar afirmativamente estas casillas?

  • Existe un plan de contingencia: ¿Has auditado tus riesgos y cuentas con sistemas de alerta, evaluación y gestión de incidentes?

  • Comunicación centralizada: ¿Existe un protocolo claro que prohíba a cualquier empleado, fuera del portavoz oficial, hablar sobre el incidente?

  • Mapa de stakeholders: ¿Tienes una lista actualizada de contactos de reguladores, clientes clave y medios de comunicación para notificar en menos de 24 horas (o según marque DORA)? ¿Has generado alianzas?

  • Supervisión de proveedores: ¿Sabes exactamente qué proveedores TIC críticos deben ser informados o auditados de inmediato si el ataque afecta a su operativa?

  • Narrativa de resiliencia: ¿Tu comité de crisis tiene preparados borradores de comunicados centrados en la «continuidad del servicio» y no solo en la «fallo técnica»? 

  • Pruebas de comunicación: ¿Has realizado simulacros de crisis de comunicación al mismo tiempo que tus pruebas técnicas de resiliencia (TLPT)?

Si has marcado menos de 4 casillas, tu reputación está en riesgo.

Cómo prevenir una crisis de reputación en el contexto DORA

Evitar una crisis de reputación no depende solo de la ciberseguridad. Requiere integrar comunicación en la estrategia de resiliencia:

  • Plan de comunicación de crisis ciber:  definir procedimientos en funcion del nivel de riesgo, mensajes, tiempos y responsables.
  • Preparación de portavoces: el silencio o la improvisación amplifican la crisis de reputación.
  • Coordinación entre legal, IT y comunicación:  evitar contradicciones y bloqueos.
  • Simulación de escenarios reputacionales: no solo pruebas técnicas, también mediáticas.

DORA nos ha dado el mapa, pero cada empresa debe decidir cómo recorrer el camino. Si tu organización ha sufrido un incidente o temes que tu actual estrategia de comunicación no sea capaz de contener el impacto de un ciberataque, es el momento de actuar. Porque puedes cumplir DORA y aun así sufrir una crisis de reputación en menos de 24 horas.

Las organizaciones que lo entiendan a tiempo no solo sobrevivirán a los incidentes. Saldrán reforzadas.

En Señor Lobo & Friends sabemos que la tecnología puede ser vulnerable, pero la reputación de nuestros clientes no tiene por qué serlo.

¿Hablamos de tu plan de resiliencia reputacional? Ponte en contacto con nosotros aquí. Te escuchamos.

ETIQUETAS

Si te ha gustado, compártelo

Imagen de María Luisa Moreo

María Luisa Moreo

Directora General en Señor Lobo & Friends. Con 14 años de experiencia en comunicación de crisis y emergencias acumula, además, experiencia internacional como asesora de proyectos a empresas y a instituciones como la Comisión Europea.

Posts relacionados

El tablero de Ormuz y el efecto montón de arena

Leer más

Crisis de Adamuz: la comunicación de empleados en defensa de la corporación

Leer más

Síguenos para estar informado

X-twitter Linkedin Facebook Instagram