Hard2bit

Caso · Energía · Evaluación

Auditoría de seguridad interna y externa en una energética

Una empresa del sector energético quería una fotografía honesta de su exposición antes de afrontar los requisitos regulatorios que se le venían encima. Auditamos su perímetro externo y su red interna corporativa, y le entregamos un plan de remediación priorizado por riesgo que su equipo pudo ejecutar por fases.

Sector

Energía

Tamaño

~350 empleados · multisede

Alcance

Externo + interno (IT corporativa)

Enfoque

Superficie de ataque + AD

Duración

4 semanas

Resultado

Plan de remediación por fases

El punto de partida

La dirección sabía que el marco regulatorio del sector iba a exigirle más — resiliencia operativa, gestión de riesgo, controles demostrables — y no quería llegar a esa conversación a ciegas. La petición fue clara: «decidnos dónde estamos de verdad, sin maquillaje, y en qué orden arreglarlo». No buscaban un certificado todavía, sino una línea base fiable sobre la que construir.

El alcance dejó fuera deliberadamente la parte industrial/OT en esta primera fase — documentado como tal — y se centró en la exposición externa y en la red corporativa interna, donde estaba la mayor parte del riesgo inmediato y donde la remediación era más accionable a corto plazo.

Cómo lo abordamos

Dos frentes en paralelo:

  • Auditoría externa — descubrimiento de la superficie de ataque real (dominios, subdominios, servicios expuestos, activos olvidados), contraste con lo que el equipo creía tener publicado y validación de la exposición. Aparecieron servicios expuestos que ya nadie recordaba, un panel de administración accesible desde Internet y credenciales corporativas en filtraciones públicas de terceros.
  • Auditoría interna — desde la red corporativa, revisión de segmentación, revisión de configuración y de la seguridad de Active Directory (rutas de escalada de privilegios, cuentas de servicio con permisos excesivos, políticas de contraseñas, delegaciones), hardening de sistemas y gestión de parches.

El hallazgo de fondo fue estructural: la red interna era prácticamente plana — un equipo comprometido en una sede podía alcanzar sistemas críticos en otra — y Active Directory acumulaba años de permisos concedidos y nunca revocados. Nada de esto se entregó como una lista de 200 líneas, sino agrupado por riesgo y por causa raíz.

Resultados

2

frentes auditados en paralelo: exposición externa y red interna corporativa

3

fases de remediación priorizadas por riesgo y esfuerzo, con responsables

1

cuadro de riesgo único que dirección y técnicos comparten y entienden

El entregable no fue solo el informe: fue un plan por fases que el equipo interno pudo empezar a ejecutar la semana siguiente, con las medidas de contención rápida (cerrar lo expuesto, rotar credenciales filtradas, aislar el panel de administración) separadas de las estructurales (segmentar la red, sanear Active Directory), que requieren proyecto. La empresa afrontó después su hoja de ruta regulatoria sabiendo exactamente de dónde partía.

Claves del caso

  • La superficie de ataque real casi nunca coincide con la que la organización cree tener: lo primero es descubrir lo olvidado.
  • En interno, la red plana y un Active Directory sin higiene son el patrón que más veces convierte un incidente menor en uno grave.
  • Un plan priorizado por riesgo y ejecutable vale más que un informe exhaustivo que nadie sabe por dónde empezar.

Servicios relacionados

¿Sabes cuál es tu exposición real?

Una auditoría interna y externa te da la línea base honesta antes de cualquier proyecto de cumplimiento. Te decimos dónde estás y en qué orden arreglarlo.