{"id":2092,"date":"2026-01-15T22:07:47","date_gmt":"2026-01-15T21:07:47","guid":{"rendered":"https:\/\/regulated-devsecops.com\/uncategorized\/controles-dast-preguntas-frecuentes-para-auditores-y-responsables-de-cumplimiento\/"},"modified":"2026-03-26T09:43:21","modified_gmt":"2026-03-26T08:43:21","slug":"dast-frequently-asked-questions-enterprise-regulated-environments","status":"publish","type":"post","link":"https:\/\/regulated-devsecops.com\/es\/tool-governance-es\/dast-frequently-asked-questions-enterprise-regulated-environments\/","title":{"rendered":"Controles DAST \u2014 Preguntas frecuentes para auditores y responsables de cumplimiento"},"content":{"rendered":"\n<p>Dynamic Application Security Testing (DAST) es un control de seguridad utilizado en los pipelines CI\/CD para probar aplicaciones en ejecuci\u00f3n en busca de vulnerabilidades. Para los auditores y responsables de cumplimiento, DAST se encuentra frecuentemente durante las revisiones de seguridad de aplicaciones y gobernanza de entrega de software \u2014 aunque sigue siendo uno de los controles m\u00e1s incomprendidos en entornos regulados.<\/p>\n\n\n\n<p>Estas preguntas frecuentes abordan las <strong>preguntas m\u00e1s comunes que tienen los auditores y responsables de cumplimiento sobre DAST<\/strong>, con \u00e9nfasis en qu\u00e9 verificar, qu\u00e9 evidencia esperar y c\u00f3mo DAST encaja en los marcos de cumplimiento y gobernanza m\u00e1s amplios.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>\u00bfQu\u00e9 es DAST y por qu\u00e9 importa para los auditores?<\/strong><\/h2>\n\n\n\n<p>DAST (Dynamic Application Security Testing) es un control de seguridad que prueba las aplicaciones en ejecuci\u00f3n interactuando con ellas externamente, simulando escenarios de ataque del mundo real. A diferencia del an\u00e1lisis a nivel de c\u00f3digo (SAST), DAST valida el <strong>comportamiento en tiempo de ejecuci\u00f3n<\/strong> de las aplicaciones \u2014 incluyendo flujos de autenticaci\u00f3n, gesti\u00f3n de sesiones y endpoints expuestos.<\/p>\n\n\n\n<p>Para los auditores, DAST importa porque proporciona evidencia de que las aplicaciones han sido probadas bajo condiciones realistas antes del despliegue en producci\u00f3n. Es un <strong>control detectivo y preventivo<\/strong> que, cuando se aplica correctamente, demuestra que una organizaci\u00f3n valida la seguridad de las aplicaciones como parte de su proceso de versi\u00f3n.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>\u00bfEn qu\u00e9 se diferencia DAST de SAST y SCA?<\/strong><\/h2>\n\n\n\n<p>Los auditores frecuentemente encuentran los tres controles juntos. As\u00ed es como difieren:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>SAST (Static Application Security Testing)<\/strong> analiza el c\u00f3digo fuente para encontrar vulnerabilidades antes de que la aplicaci\u00f3n se ejecute. Es un control preventivo a nivel de c\u00f3digo.<\/li>\n\n\n\n<li><strong>SCA (Software Composition Analysis)<\/strong> identifica riesgos en bibliotecas y dependencias de terceros. Es un control de riesgo en la cadena de suministro.<\/li>\n\n\n\n<li><strong>DAST<\/strong> prueba la aplicaci\u00f3n en ejecuci\u00f3n externamente, sin acceso al c\u00f3digo fuente. Es un control de validaci\u00f3n en tiempo de ejecuci\u00f3n.<\/li>\n<\/ul>\n\n\n\n<p>En entornos regulados, estos tres controles son complementarios. Los auditores deben esperar ver los tres (o alternativas justificadas) como parte de un programa maduro de seguridad de aplicaciones. La ausencia de cualquiera de ellos debe generar preguntas sobre c\u00f3mo se aborda esa \u00e1rea de riesgo.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>\u00bfCu\u00e1ndo debe ejecutarse DAST en un pipeline CI\/CD?<\/strong><\/h2>\n\n\n\n<p>Desde una perspectiva de auditor\u00eda, DAST debe ejecutarse en <strong>puntos de control definidos<\/strong> dentro del proceso de entrega de software \u2014 t\u00edpicamente antes de las versiones de producci\u00f3n, despu\u00e9s de cambios significativos, o de forma programada para aplicaciones cr\u00edticas.<\/p>\n\n\n\n<p>Los auditores deben verificar que la ejecuci\u00f3n de DAST est\u00e1 <strong>vinculada al proceso de versi\u00f3n<\/strong>, no realizada como una actividad aislada desconectada de los despliegues. La pregunta clave es: \u00bfpuede la organizaci\u00f3n demostrar que DAST se ejecut\u00f3 y sus resultados se revisaron antes de que una versi\u00f3n espec\u00edfica llegara a producci\u00f3n?<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>\u00bfPuede DAST bloquear versiones en entornos regulados?<\/strong><\/h2>\n\n\n\n<p>S\u00ed. Cuando se gobierna correctamente, DAST act\u00faa como un <strong>control con puerta<\/strong> en los pipelines CI\/CD. Las versiones pueden bloquearse cuando los hallazgos superan umbrales de severidad predefinidos, o cuando la aceptaci\u00f3n de riesgo requerida no ha sido aprobada.<\/p>\n\n\n\n<p>Los auditores deben verificar:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Los umbrales de bloqueo est\u00e1n definidos en la pol\u00edtica y aplicados en el pipeline<\/li>\n\n\n\n<li>Las excepciones (versiones que proceden a pesar de los hallazgos) est\u00e1n documentadas con aprobaciones<\/li>\n\n\n\n<li>El mecanismo de bloqueo no puede omitirse f\u00e1cilmente por los equipos de desarrollo<\/li>\n<\/ul>\n\n\n\n<p>Las organizaciones que permiten que las versiones procedan con excepciones documentadas no son necesariamente incumplidoras \u2014 pero esas excepciones deben estar correctamente gobernadas, aprobadas y ser trazables.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>\u00bfC\u00f3mo deben gobernarse los falsos positivos en DAST?<\/strong><\/h2>\n\n\n\n<p>Los falsos positivos (hallazgos que no representan vulnerabilidades reales) son inherentes a DAST. La preocupaci\u00f3n de gobernanza no es si existen falsos positivos, sino <strong>c\u00f3mo se gestionan<\/strong>.<\/p>\n\n\n\n<p>Los auditores deben esperar ver:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Un proceso definido para revisar y clasificar los hallazgos como falsos positivos<\/li>\n\n\n\n<li>Aprobaciones de supresi\u00f3n basadas en roles (no autoservicio por parte de los desarrolladores)<\/li>\n\n\n\n<li>Justificaciones documentadas para cada hallazgo suprimido<\/li>\n\n\n\n<li>Fechas de caducidad en las supresiones, con revisi\u00f3n peri\u00f3dica<\/li>\n\n\n\n<li>Un rastro de auditor\u00eda mostrando qui\u00e9n aprob\u00f3 cada supresi\u00f3n y cu\u00e1ndo<\/li>\n<\/ul>\n\n\n\n<p><strong>Se\u00f1al de alerta:<\/strong> Gran cantidad de hallazgos suprimidos sin justificaci\u00f3n documentada, o supresiones que nunca caducan.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>\u00bfQu\u00e9 esperan t\u00edpicamente los auditores de los controles DAST?<\/strong><\/h2>\n\n\n\n<p>Los auditores eval\u00faan DAST como un <strong>control de gobernanza<\/strong>, no como una herramienta de pruebas de penetraci\u00f3n. El enfoque de evaluaci\u00f3n se centra en:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Ejecuci\u00f3n consistente<\/strong> \u2014 \u00bfSe ejecuta DAST de forma fiable como parte del proceso de versi\u00f3n?<\/li>\n\n\n\n<li><strong>L\u00f3gica de bloqueo documentada<\/strong> \u2014 \u00bfLos umbrales de severidad est\u00e1n definidos y se aplican?<\/li>\n\n\n\n<li><strong>Decisiones de supresi\u00f3n trazables<\/strong> \u2014 \u00bfLas excepciones est\u00e1n gobernadas y son auditables?<\/li>\n\n\n\n<li><strong>Evidencia retenida<\/strong> \u2014 \u00bfPueden recuperarse los resultados del an\u00e1lisis para cualquier versi\u00f3n dada?<\/li>\n\n\n\n<li><strong>Adecuaci\u00f3n del alcance<\/strong> \u2014 \u00bfDAST cubre las aplicaciones m\u00e1s importantes?<\/li>\n<\/ul>\n\n\n\n<p>Los auditores generalmente no eval\u00faan la marca del esc\u00e1ner, el recuento de vulnerabilidades ni la profundidad del an\u00e1lisis de forma aislada. El enfoque est\u00e1 en la gobernanza, la aplicaci\u00f3n y la calidad de la evidencia del control.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>\u00bfEs DAST obligatorio bajo DORA, NIS2, ISO 27001 o PCI DSS?<\/strong><\/h2>\n\n\n\n<p>La mayor\u00eda de las regulaciones y est\u00e1ndares no exigen DAST por nombre. En cambio, requieren que las organizaciones demuestren <strong>pruebas de seguridad de aplicaciones efectivas, gesti\u00f3n del riesgo y retenci\u00f3n de evidencia<\/strong>.<\/p>\n\n\n\n<p>DAST se usa com\u00fanmente como un componente de una estrategia m\u00e1s amplia de seguridad de aplicaciones y gobernanza CI\/CD. Su relevancia var\u00eda seg\u00fan el marco:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>DORA:<\/strong> Requiere gesti\u00f3n del riesgo ICT y pruebas \u2014 DAST apoya la evidencia de validaci\u00f3n en tiempo de ejecuci\u00f3n<\/li>\n\n\n\n<li><strong>NIS2:<\/strong> Requiere gesti\u00f3n del riesgo y desarrollo seguro \u2014 DAST valida la exposici\u00f3n de los servicios<\/li>\n\n\n\n<li><strong>ISO 27001:<\/strong> Requiere demostraci\u00f3n de efectividad del control (Anexo A, A.8.25\u201328) \u2014 DAST contribuye con evidencia<\/li>\n\n\n\n<li><strong>PCI DSS:<\/strong> Requiere expl\u00edcitamente pruebas de seguridad de aplicaciones web (Requisitos 6.4, 11.3) \u2014 DAST se usa habitualmente para cumplir este requisito<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>\u00bfQu\u00e9 deben buscar los auditores en los informes DAST?<\/strong><\/h2>\n\n\n\n<p>Al revisar los informes DAST, los auditores deben ir m\u00e1s all\u00e1 de los recuentos brutos de vulnerabilidades. Los elementos clave a evaluar son:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Alcance de las pruebas:<\/strong> \u00bfQu\u00e9 aplicaciones y endpoints se probaron? \u00bfSe incluyeron las aplicaciones cr\u00edticas y de cara al exterior?<\/li>\n\n\n\n<li><strong>Clasificaci\u00f3n de severidad:<\/strong> \u00bfLos hallazgos est\u00e1n clasificados por severidad, y las clasificaciones siguen un est\u00e1ndar definido?<\/li>\n\n\n\n<li><strong>Resultado del bloqueo:<\/strong> \u00bfEl an\u00e1lisis result\u00f3 en una decisi\u00f3n de aprobado o rechazado? Si hab\u00eda hallazgos, \u00bffue la versi\u00f3n aprobada mediante una excepci\u00f3n documentada?<\/li>\n\n\n\n<li><strong>Datos de tendencia:<\/strong> \u00bfSe est\u00e1n abordando los hallazgos recurrentes, o los mismos problemas aparecen en m\u00faltiples versiones?<\/li>\n\n\n\n<li><strong>Detalles de supresi\u00f3n:<\/strong> \u00bfLos hallazgos suprimidos est\u00e1n documentados con justificaciones y aprobaciones?<\/li>\n\n\n\n<li><strong>Trazabilidad:<\/strong> \u00bfPuede el informe vincularse a una versi\u00f3n, entorno y fecha espec\u00edficos?<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>\u00bfC\u00f3mo verifican los auditores que DAST se aplica correctamente?<\/strong><\/h2>\n\n\n\n<p>Verificar la aplicaci\u00f3n de DAST requiere ir m\u00e1s all\u00e1 de los documentos de pol\u00edtica. Los auditores deben:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Solicitar configuraciones del pipeline<\/strong> \u2014 verificar que DAST est\u00e1 definido como un paso obligatorio que no puede omitirse<\/li>\n\n\n\n<li><strong>Muestrear versiones recientes<\/strong> \u2014 para una selecci\u00f3n de despliegues recientes en producci\u00f3n, solicitar los resultados DAST correspondientes<\/li>\n\n\n\n<li><strong>Buscar evidencia de omisi\u00f3n<\/strong> \u2014 buscar versiones que procedieron sin ejecuci\u00f3n DAST o con resultados anulados<\/li>\n\n\n\n<li><strong>Revisar registros de excepciones<\/strong> \u2014 si existen excepciones, verificar que siguen el proceso de aprobaci\u00f3n documentado<\/li>\n\n\n\n<li><strong>Evaluar la cobertura del alcance<\/strong> \u2014 verificar que DAST cubre todas las aplicaciones dentro del alcance definido, particularmente los sistemas de cara al exterior y los cr\u00edticos<\/li>\n<\/ul>\n\n\n\n<p><strong>Se\u00f1al de alerta:<\/strong> La organizaci\u00f3n tiene una pol\u00edtica DAST pero no puede producir resultados de an\u00e1lisis para versiones recientes, o las configuraciones del pipeline muestran DAST como un paso opcional.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>\u00bfCu\u00e1les son los hallazgos de auditor\u00eda comunes en DAST?<\/strong><\/h2>\n\n\n\n<p>Bas\u00e1ndose en observaciones de auditor\u00eda comunes, los hallazgos m\u00e1s frecuentes relacionados con DAST incluyen:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>DAST no se aplica en el pipeline<\/strong> \u2014 est\u00e1 disponible pero es opcional, y los equipos pueden omitirlo sin aprobaci\u00f3n<\/li>\n\n\n\n<li><strong>Sin umbrales de bloqueo definidos<\/strong> \u2014 DAST se ejecuta pero todas las versiones proceden independientemente de los resultados<\/li>\n\n\n\n<li><strong>Los resultados del an\u00e1lisis no se retienen<\/strong> \u2014 la organizaci\u00f3n no puede producir evidencia DAST hist\u00f3rica para versiones pasadas<\/li>\n\n\n\n<li><strong>Alcance incompleto<\/strong> \u2014 DAST cubre solo algunas aplicaciones, dejando sistemas cr\u00edticos o de cara al exterior sin probar<\/li>\n\n\n\n<li><strong>Supresi\u00f3n de falsos positivos no gobernada<\/strong> \u2014 los hallazgos se suprimen sin justificaci\u00f3n documentada ni aprobaci\u00f3n<\/li>\n\n\n\n<li><strong>Sin conexi\u00f3n con el proceso de versi\u00f3n<\/strong> \u2014 DAST se ejecuta de forma programada pero no est\u00e1 vinculado a despliegues reales, por lo que los resultados no pueden vincularse a versiones espec\u00edficas<\/li>\n\n\n\n<li><strong>Hallazgos recurrentes sin resolver<\/strong> \u2014 las mismas vulnerabilidades aparecen en m\u00faltiples versiones sin remediaci\u00f3n ni aceptaci\u00f3n documentada del riesgo<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>\u00bfC\u00f3mo deben preparar las organizaciones sus controles DAST para una auditor\u00eda?<\/strong><\/h2>\n\n\n\n<p>Las organizaciones que se preparan para una auditor\u00eda deben asegurarse de poder demostrar:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>DAST est\u00e1 integrado en el pipeline CI\/CD en puntos de control definidos<\/li>\n\n\n\n<li>Los umbrales de bloqueo y los flujos de trabajo de aprobaci\u00f3n est\u00e1n documentados y se aplican<\/li>\n\n\n\n<li>Los resultados del an\u00e1lisis se retienen y pueden recuperarse para cualquier versi\u00f3n espec\u00edfica<\/li>\n\n\n\n<li>Las supresiones de falsos positivos est\u00e1n gobernadas con aprobaciones documentadas<\/li>\n\n\n\n<li>El alcance de DAST cubre todas las aplicaciones dentro del l\u00edmite de cumplimiento<\/li>\n\n\n\n<li>El manejo de excepciones sigue procedimientos documentados con la autorizaci\u00f3n apropiada<\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>\u00bfQu\u00e9 evidencia debe producir DAST para los auditores?<\/strong><\/h2>\n\n\n\n<p>DAST debe producir evidencia estructurada, retenida y trazable. Los auditores deben esperar los siguientes artefactos de evidencia de un control DAST correctamente gobernado:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Informes de an\u00e1lisis por versi\u00f3n:<\/strong> Cada versi\u00f3n de producci\u00f3n debe tener un informe DAST correspondiente mostrando qu\u00e9 se prob\u00f3, qu\u00e9 se encontr\u00f3 y cu\u00e1l fue el resultado del bloqueo<\/li>\n\n\n\n<li><strong>Hallazgos clasificados por severidad:<\/strong> Los hallazgos deben categorizarse por severidad usando un est\u00e1ndar definido (p. ej., CVSS, matriz de severidad interna)<\/li>\n\n\n\n<li><strong>Decisiones de bloqueo:<\/strong> Un registro claro de aprobado\/rechazado para cada an\u00e1lisis, con documentaci\u00f3n de cualquier anulaci\u00f3n o excepci\u00f3n<\/li>\n\n\n\n<li><strong>Registros de supresi\u00f3n:<\/strong> Documentaci\u00f3n de los hallazgos suprimidos incluyendo justificaci\u00f3n, aprobador y fecha de caducidad<\/li>\n\n\n\n<li><strong>Documentaci\u00f3n del alcance:<\/strong> Evidencia de qu\u00e9 aplicaciones y endpoints se incluyeron en las pruebas<\/li>\n\n\n\n<li><strong>Datos de tendencia:<\/strong> Resultados hist\u00f3ricos de an\u00e1lisis mostrando si los hallazgos se est\u00e1n abordando con el tiempo<\/li>\n\n\n\n<li><strong>Metadatos de trazabilidad:<\/strong> V\u00ednculos entre los resultados del an\u00e1lisis y la versi\u00f3n, entorno, ejecuci\u00f3n del pipeline y fecha espec\u00edficos<\/li>\n<\/ul>\n\n\n\n<p>Si una organizaci\u00f3n no puede producir estos artefactos para una versi\u00f3n dada, el control DAST puede existir en la pol\u00edtica pero no est\u00e1 funcionando como evidencia de gobernanza efectiva.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>\u00bfCu\u00e1les son las se\u00f1ales de alerta comunes de DAST durante las auditor\u00edas?<\/strong><\/h2>\n\n\n\n<p>Durante las revisiones de auditor\u00eda, las siguientes se\u00f1ales de alerta indican que la gobernanza DAST es d\u00e9bil, incompleta o ineficaz:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>DAST existe en la pol\u00edtica pero no en la pr\u00e1ctica:<\/strong> La organizaci\u00f3n tiene una pol\u00edtica DAST pero no puede producir resultados de an\u00e1lisis para versiones recientes de producci\u00f3n<\/li>\n\n\n\n<li><strong>Paso del pipeline opcional:<\/strong> DAST est\u00e1 configurado en el pipeline CI\/CD pero puede omitirse o evitarse sin aprobaci\u00f3n<\/li>\n\n\n\n<li><strong>Sin umbrales de bloqueo:<\/strong> DAST se ejecuta pero todas las versiones proceden independientemente de los hallazgos \u2014 el control no tiene poder de aplicaci\u00f3n<\/li>\n\n\n\n<li><strong>Desconectado de las versiones:<\/strong> DAST se ejecuta de forma programada (p. ej., semanalmente) pero no est\u00e1 vinculado a despliegues reales, haciendo que los resultados no sean trazables a versiones espec\u00edficas<\/li>\n\n\n\n<li><strong>Supresiones masivas sin gobernanza:<\/strong> Gran cantidad de hallazgos suprimidos sin justificaci\u00f3n documentada, identidad del aprobador o fechas de caducidad<\/li>\n\n\n\n<li><strong>Alcance incompleto:<\/strong> Las aplicaciones cr\u00edticas o de cara al exterior est\u00e1n excluidas de las pruebas DAST sin aceptaci\u00f3n documentada del riesgo<\/li>\n\n\n\n<li><strong>Sin retenci\u00f3n de evidencia:<\/strong> Los resultados del an\u00e1lisis son ef\u00edmeros y no pueden recuperarse para versiones pasadas<\/li>\n\n\n\n<li><strong>Hallazgos recurrentes sin resolver:<\/strong> Las mismas vulnerabilidades aparecen en m\u00faltiples versiones sin remediaci\u00f3n ni escalada<\/li>\n\n\n\n<li><strong>Supresi\u00f3n de autoservicio:<\/strong> Los desarrolladores pueden suprimir hallazgos sin revisi\u00f3n ni aprobaci\u00f3n independiente<\/li>\n<\/ul>\n\n\n\n<p>Cualquiera de estas se\u00f1ales de alerta justifica una investigaci\u00f3n adicional y debe documentarse como un hallazgo u observaci\u00f3n de auditor\u00eda.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>\u00bfC\u00f3mo se mapea DAST a los requisitos de DORA, NIS2 e ISO 27001?<\/strong><\/h2>\n\n\n\n<p>DAST no suele ser exigido por nombre en los marcos regulatorios, pero apoya directamente los requisitos clave en las principales regulaciones y est\u00e1ndares:<\/p>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>DORA (Digital Operational Resilience Act)<\/strong><\/h3>\n\n\n\n<p>DORA requiere que las entidades financieras mantengan marcos de gesti\u00f3n del riesgo ICT que incluyan pruebas de los sistemas ICT. DAST apoya el cumplimiento de DORA:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Proporcionando evidencia de validaci\u00f3n en tiempo de ejecuci\u00f3n para las aplicaciones desplegadas<\/li>\n\n\n\n<li>Demostrando que las aplicaciones se prueban en condiciones realistas antes del despliegue en producci\u00f3n<\/li>\n\n\n\n<li>Apoyando el requisito de identificaci\u00f3n y gesti\u00f3n continua del riesgo ICT<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>NIS2 (Directiva de Seguridad de Redes y Sistemas de Informaci\u00f3n)<\/strong><\/h3>\n\n\n\n<p>NIS2 requiere que las entidades esenciales e importantes implementen medidas de gesti\u00f3n del riesgo incluyendo pr\u00e1cticas de desarrollo seguro y gesti\u00f3n de vulnerabilidades. DAST apoya NIS2:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Validando que los servicios de cara al exterior se prueban en busca de clases de vulnerabilidades conocidas<\/li>\n\n\n\n<li>Produciendo evidencia de identificaci\u00f3n proactiva de vulnerabilidades en sistemas desplegados<\/li>\n\n\n\n<li>Apoyando la prevenci\u00f3n de incidentes identificando debilidades explotables antes que los atacantes<\/li>\n<\/ul>\n\n\n\n<h3 class=\"wp-block-heading\"><strong>ISO 27001 (Anexo A, A.8.25-28)<\/strong><\/h3>\n\n\n\n<p>ISO 27001 requiere que las organizaciones demuestren pr\u00e1cticas de desarrollo seguro y efectividad del control. DAST apoya ISO 27001:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Contribuyendo a la evidencia de desarrollo y pruebas seguras de aplicaciones (A.8.25-28)<\/li>\n\n\n\n<li>Proporcionando resultados de control medibles que demuestran la efectividad de los procesos de pruebas de seguridad<\/li>\n\n\n\n<li>Apoyando la mejora continua mediante an\u00e1lisis de tendencias de hallazgos en tiempo de ejecuci\u00f3n<\/li>\n<\/ul>\n\n\n\n<p>Los auditores deben tener en cuenta que DAST por s\u00ed solo no satisface ninguno de estos marcos \u2014 es un componente de un conjunto m\u00e1s amplio de controles de seguridad de aplicaciones que tambi\u00e9n debe incluir SAST, SCA y otros controles complementarios.<\/p>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n\n<h2 class=\"wp-block-heading\"><strong>Recursos relacionados para auditores<\/strong><\/h2>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong><a href=\"https:\/\/regulated-devsecops.com\/glossary\/\">Glosario de t\u00e9rminos de seguridad y cumplimiento CI\/CD<\/a><\/strong><\/li>\n\n\n\n<li><strong><a href=\"https:\/\/regulated-devsecops.com\/es\/tool-governance-es\/how-auditors-actually-review-dast-controls-in-regulated-environments\/\">C\u00f3mo revisan realmente los auditores los controles DAST en entornos regulados<\/a><\/strong><\/li>\n\n\n\n<li><strong><a href=\"https:\/\/regulated-devsecops.com\/es\/regulatory-frameworks-es\/before-the-auditor-arrives-ci-cd-audit-readiness-checklist\/\">Antes de que llegue el auditor \u2014 Lista de verificaci\u00f3n de preparaci\u00f3n para auditor\u00edas CI\/CD<\/a><\/strong><\/li>\n\n\n\n<li><strong><a href=\"https:\/\/regulated-devsecops.com\/es\/regulatory-frameworks-es\/continuous-compliance-via-ci-cd\/\">Cumplimiento continuo mediante CI\/CD<\/a><\/strong><\/li>\n<\/ul>\n\n\n\n<hr class=\"wp-block-separator has-alpha-channel-opacity\"\/>\n\n\n    <section class=\"rds-author-box rds-author-box--standard\"\r\n             dir=\"ltr\" lang=\"es\"\r\n             style=\"border:1px solid rgba(100,116,139,.35);border-radius:14px;padding:16px 18px;margin:26px 0 18px;background:rgba(148,163,184,.08);\">\r\n      <strong style=\"margin:0 0 8px; font-size:14px; font-weight:700; letter-spacing:.02em;\">Sobre el autor<\/strong>\r\n      <p style=\"margin:0; font-size:14px; line-height:1.55;\">Arquitecto senior DevSecOps y de seguridad, con m\u00e1s de 15 a\u00f1os de experiencia en ingenier\u00eda de software segura, seguridad CI\/CD y entornos empresariales regulados.<\/p>\r\n      <p style=\"margin:0; font-size:14px; line-height:1.55;\">Certificado CSSLP y EC-Council Certified DevSecOps Engineer, con experiencia pr\u00e1ctica dise\u00f1ando arquitecturas CI\/CD seguras, auditables y conformes.<\/p>\r\n      <p style=\"margin:0; font-size:14px; line-height:1.55;\">\r\n        <a href=\"https:\/\/regulated-devsecops.com\/es\/es\/about\/\">M\u00e1s informaci\u00f3n en la p\u00e1gina About.<\/a>\r\n      <\/p>\r\n    <\/section>\r\n    \n","protected":false},"excerpt":{"rendered":"<p>Responde a las preguntas m\u00e1s frecuentes que auditores y responsables de cumplimiento tienen sobre DAST: qu\u00e9 verificar, qu\u00e9 evidencia esperar y c\u00f3mo DAST se integra en los marcos de cumplimiento y gobernanza.<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[137,131,132],"tags":[],"post_folder":[],"class_list":["post-2092","post","type-post","status-publish","format-standard","hentry","category-tool-governance-es","category-audit-evidence-es","category-ci-cd-governance-es"],"_links":{"self":[{"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/posts\/2092","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/comments?post=2092"}],"version-history":[{"count":0,"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/posts\/2092\/revisions"}],"wp:attachment":[{"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/media?parent=2092"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/categories?post=2092"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/tags?post=2092"},{"taxonomy":"post_folder","embeddable":true,"href":"https:\/\/regulated-devsecops.com\/es\/wp-json\/wp\/v2\/post_folder?post=2092"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}