Por qué pasar una auditoría de cumplimiento no significa estar seguro

Hay una conversación que se repite casi cada vez que entramos en una empresa nueva. El responsable de IT enseña con orgullo el certificado ISO 27001 colgado en la pared o el informe favorable del último ENS. Después pregunta qué sentido tiene revisar nada más si ya está todo en orden.

La respuesta corta es que ese papel no dice lo que la mayoría piensa que dice.

Lo que mira una auditoría de cumplimiento

Una auditoría de cumplimiento comprueba que la empresa tiene los controles documentados y aplicados según un marco concreto. ISO 27001, ENS, NIS2, PCI DSS, SOC 2. Cada uno tiene su lista de requisitos y su forma de revisarlos, pero todos comparten una misma idea de fondo, que es verificar que existen procesos, políticas y registros.

El auditor de cumplimiento os pedirá la política de gestión de accesos, revisará una muestra de altas y bajas de usuarios, comprobará que hay un inventario de activos actualizado, mirará los logs durante un período razonable y firmará un informe diciendo que todo eso está implantado de forma coherente.

Lo que ese auditor no va a hacer es intentar entrar.

Lo que mira una auditoría ofensiva

Cuando hacemos un pentest, o una auditoría de seguridad ofensiva, lo que probamos es justo eso. Intentamos entrar. Con permiso, con un alcance acordado y con un equipo experto, pero entramos como entraría cualquiera que tuviese interés en hacerlo sin permiso.

Nos da igual que tengáis la política de contraseñas más estricta del sector si en la práctica encontramos un usuario de servicio con la contraseña metida en una descripción de Active Directory. Nos da igual que la documentación diga que el acceso VPN está endurecido si hay una cuenta sin segundo factor configurada hace tres años por una urgencia y nadie la ha vuelto a tocar.

El cumplimiento mide intención. La auditoría ofensiva mide realidad.

Por qué pasa esto con tanta frecuencia

Las empresas que combinan los dos tipos de revisión son la excepción, no la norma. La mayoría hace la auditoría que les exige un cliente, un seguro o un regulador. Ahí se cierra el capítulo. El equipo de seguridad respira tranquilo durante doce meses y la dirección guarda el informe en un cajón.

Lo que ocurre en ese año es invisible desde la documentación. Aparecen servicios nuevos sin pasar por el inventario, se contratan SaaS que nadie revisa, se quedan accesos abiertos de empleados que ya no están, alguien copia una base de datos a un disco compartido para hacer una migración y la deja ahí. Nada de eso rompe el cumplimiento porque el cumplimiento no se mira a diario. Pero todo eso es exactamente lo que un atacante encuentra cuando llega.

Lo que vemos en la práctica

Hemos auditado empresas con ISO 27001 vigente donde un usuario sin privilegios podía leer las contraseñas de los administradores en texto plano dentro de un script de mantenimiento.

Hemos visto entornos con marcos de cumplimiento implantados donde el dominio de Active Directory caía en menos de dos horas desde una posición no privilegiada, explotando una mala configuración heredada de años atrás.

Hemos encontrado backups perfectamente documentados según la política, almacenados en una ruta de red accesible para cualquier empleado del dominio.

Ninguno de esos hallazgos rompía el cumplimiento. Todos rompían la empresa si alguien con malas intenciones hubiese llegado allí antes que nosotros.

Cómo se complementan los dos enfoques

No estamos diciendo que el cumplimiento sobre. Es necesario y en muchos casos obligatorio. Aporta una disciplina de gobierno que pocas empresas tienen sin un marco que les obligue a aplicarla.

Lo que estamos diciendo es que el cumplimiento responde a una pregunta distinta de la que muchas empresas creen que está respondiendo. Os dice si tenéis las medidas previstas por la norma. No os dice si esas medidas resisten cuando alguien las pone a prueba.

Una auditoría ofensiva responde justo a esa segunda pregunta. Va detrás de los huecos que existen entre la política y la realidad, los servicios que aparecieron después de la última revisión, las configuraciones por defecto que nadie ajustó, las cuentas que se quedaron creadas por error.

Cuando los dos enfoques se hacen al mismo año, sobre el mismo perímetro, salen cosas que ninguno de los dos por separado habría visto.

Tres preguntas antes de daros por seguros

Si tenéis una auditoría de cumplimiento prevista o recién pasada, antes de archivar el informe conviene plantear tres preguntas en la reunión interna.

La primera es si alguien ha intentado entrar de verdad en los sistemas críticos en el último año. No simulado en una hoja de cálculo, no en una mesa de trabajo. Entrar.

La segunda es si el resultado de esa prueba se ha traducido en correcciones concretas y verificadas, o se ha quedado en un PDF.

La tercera es si la respuesta a las dos anteriores es no, qué impediría que esa visita ocurriese antes de que la haga alguien que no avise.

Esa es la diferencia entre tener un informe y estar seguro.

---

Si queréis que pongamos a prueba la seguridad real de vuestra organización, escribidnos a [email protected] y planteamos un alcance ajustado a vuestro contexto.