Cómo prepararos para una auditoría ofensiva y aprovecharla de verdad

Cuando una empresa nos contrata una auditoría ofensiva, hay un reflejo que se repite casi siempre. Los días previos, el equipo de IT se lanza a parchear servidores, cerrar accesos antiguos y revisar configuraciones a contrarreloj para que el día de la prueba todo esté impecable.

Es comprensible y es, casi siempre, un error.

Una auditoría ofensiva no es un examen que haya que aprobar. Es una foto de cómo estáis de verdad un martes cualquiera, cuando nadie ha hecho limpieza el fin de semana anterior. Si maquilláis el entorno para la ocasión, estaréis pagando para que os auditen una empresa que no existe el resto del año. Lo que de verdad os interesa preparar es otra cosa. Casi nada de ello tiene que ver con tapar agujeros antes de tiempo.

Esto es lo que sí merece la pena tener listo.

Decidid qué queréis saber

“Probadlo todo” no es un alcance, es una forma de no decidir. Una auditoría tiene un presupuesto y un tiempo. Cómo se reparten depende de la pregunta que os quite el sueño.

No es lo mismo querer saber si alguien entra desde internet sin credenciales, que si un empleado descontento puede escalar hasta el control del dominio, que si un ransomware que cae en un portátil se propaga a los servidores. Cada una de esas preguntas lleva a un tipo de auditoría distinto y a un punto de partida distinto.

Esta es la parte donde el cliente aporta más valor. No hace falta ser técnico para hacerlo. Basta con poner sobre la mesa qué es lo que más daño os haría si saliera mal. Nosotros traducimos eso a un alcance técnico, pero la prioridad la marcáis vosotros.

Sabed qué tenéis

No se puede acotar lo que no sabéis que existe. Antes de empezar conviene tener una lista, aunque sea aproximada, de los dominios, las IPs públicas, las aplicaciones importantes y quién es responsable de cada cosa.

No tiene que ser un inventario perfecto. De hecho, el momento de armarlo suele ser revelador, porque es cuando aparece el servidor que montó alguien que ya no está, el subdominio de una campaña de hace tres años o el panel de administración que nadie recordaba que seguía publicado. Eso que aparece es, muy a menudo, lo primero que mira un atacante.

Dejad lista la logística

Esta es la parte aburrida y es la que decide si el equipo es productivo desde la primera hora o se pasa la mañana esperando un acceso.

Dependiendo del tipo de auditoría, eso puede significar credenciales y cuentas de prueba a distintos niveles de privilegio, un acceso VPN, un punto de red para la auditoría interna o una máquina dentro de la oficina. Conviene también acordar la ventana en la que se harán las pruebas y dejar a una persona de contacto que pueda desbloquear lo que haga falta sin tener que abrir un ticket que tarde dos días.

Cada hora que el equipo pasa esperando un permiso es una hora que no pasa buscando el fallo que de verdad os importa.

Decidid a quién avisáis y a quién no

Esta es una decisión estratégica, no un trámite. Conviene pensarlo con calma.

La pregunta de fondo es si avisáis o no a vuestro equipo de seguridad. Si lo avisáis, la prueba transcurre sin sobresaltos y nadie activa por error el protocolo de un incidente real, pero renunciáis a medir algo que el resto del año no se mide nunca, que es la capacidad de detectar y frenar un ataque mientras ocurre. Si no lo avisáis, esa capacidad sí se pone a prueba, a cambio de asumir algún susto y alguna llamada de madrugada.

No hay una respuesta correcta. Depende de si lo que queréis medir es solo la tecnología o también las personas y los procesos que deben reaccionar cuando algo pasa. Lo que sí debe estar claro de antemano es la autorización por escrito de quien tiene potestad para darla y un par de contactos de emergencia por si algo se tuerce.

No maquilléis el entorno la semana antes

Volvemos al principio, porque es el error más caro y el más fácil de cometer.

No parcheéis en masa, no cambiéis configuraciones, no levantéis defensas nuevas solo para la ocasión y no limpiéis los logs. Cada cambio de última hora convierte la auditoría en el retrato de un sistema que no vais a tener funcionando la semana siguiente.

Si hay algo que sabéis que está mal y os da vergüenza, dejadlo. Precisamente eso es lo que queréis que aparezca documentado, con su impacto y su prioridad, para poder justificar internamente el tiempo y el presupuesto de arreglarlo.

Tened las copias de seguridad al día

Una auditoría ofensiva se hace con cuidado, pero trabaja sobre sistemas reales. De vez en cuando un servicio frágil o una aplicación heredada no lo encaja bien.

Antes de empezar conviene tener las copias de seguridad recientes y verificadas, saber quién sabe restaurarlas y acordar qué pasa si encontramos algo crítico a mitad de camino. Definir ese umbral de parar y avisar por adelantado evita decisiones improvisadas en caliente.

Preparaos para actuar, no para archivar

Esto enlaza con algo que ya contamos cuando hablamos de por qué pasar una auditoría de cumplimiento no significa estar seguro. Una auditoría que termina en un PDF guardado en un cajón no os ha protegido de nada.

La preparación más importante ocurre antes de empezar y consiste en decidir quién se va a encargar de corregir los hallazgos, reservar tiempo del equipo para las semanas siguientes y presupuestar la reauditoría que confirma que lo corregido está realmente cerrado. La auditoría es la parte barata. El valor se realiza arreglando. Eso hay que planificarlo desde el día cero.

Cuanto mejor tengáis resueltos estos puntos, más barata y más profunda sale la auditoría, porque el tiempo del equipo se va en encontrar problemas reales y no en esperar una credencial. Preparar una auditoría ofensiva no es ponerse guapo para la foto, es asegurarse de que la foto sirva para algo.

---

Si estáis pensando en auditar la seguridad de vuestra organización y queréis ayuda para definir el alcance, escribidnos a [email protected].