Medir Todas las Empresas con la Misma Vara Deja Huecos

Una aseguradora, un hospital, una eléctrica y un ayuntamiento no comparten ni las obligaciones que les exigen ni la gente que intenta entrar en sus sistemas. Aun así, la mayoría de los análisis del mercado recorren el mismo guion en los cuatro casos: la misma batería de comprobaciones, el mismo orden, el mismo informe con los nombres cambiados. Lo que queda fuera es justo lo que importa, porque las superficies que exponen, las reglas que rigen sus datos y los controles que ya tienen montados no se parecen en nada. En Corevex el trabajo empieza por leernos la norma que te aplica —RGPD, PCI DSS, ENS o la que sea— y por entender cómo la cumples hoy. Solo entonces montamos escenarios que se parecen a quien de verdad te ataca. Así los fallos que subimos arriba del informe son los que tocan tu obligación y tu operación, no los que un escáner considera graves por defecto.

El Contexto Es lo Que Convierte un Hallazgo en Algo Útil

Detrás de todo lo que hacemos hay una convicción sencilla: un riesgo solo se mide bien cuando se entiende de dónde sale. Por eso, antes de lanzar la primera prueba, nos sentamos con tus obligaciones regulatorias, con la forma real en que trabaja tu gente y con lo que se sabe de los grupos que atacan a compañías como la tuya. Después reproducimos sus maneras: el correo que suplanta a un proveedor conocido para colarse en un circuito de pagos, el equipo viejo que sigue conectado en una planta porque nadie se atreve a apagarlo. De ahí salen fallos que una prueba de catálogo pasa de largo. Y como cada uno se entrega junto al requisito que compromete, tu comité de riesgos recibe algo con lo que decidir, no una lista de la que no sabe qué hacer. No prometemos números que nadie puede sostener.

Tres personas repasan los resultados de un ejercicio en una sala de reuniones.

Cuatro Cosas Que Definen Cómo Trabajamos

Servidores alineados en un centro de datos, vistos de cerca.

Lo Que Cuentan Quienes Ya Han Pasado por Esto

Corregir en el Orden Que Marca tu Exposición Regulatoria

Todo lo que planificamos, ejecutamos y escribimos en Corevex responde a la misma pregunta: qué obligación se rompe si alguien aprovecha esto. Con esa respuesta delante, tu equipo puede decidir por dónde empezar mirando lo que arriesgas ante el regulador, y no solo la puntuación técnica del fallo. Como en cada etapa entran a la vez la inteligencia de amenazas de tu mercado y la letra de la norma, el resultado sirve en dos mesas: la de los técnicos que arreglan y la de quien tiene que responder en una inspección. El procedimiento está escrito y se puede repetir: tu gente sabrá qué encontramos y, sobre todo, por qué pesa en vuestro caso y no en el de otro.

Antes de Atacar Nada, Escuchamos

Las primeras sesiones de un proyecto de Corevex no tienen nada de espectacular: son reuniones. Repasamos qué estándares te obligan —RGPD, DORA, ENS—, cómo está montada la casa por dentro y qué te ha pasado ya, incluidos los sustos que nunca salieron de la empresa. De ahí sacamos los caminos que un atacante recorrería sin forzar nada. En un banco eso suele ser una llamada bien preparada a la persona que aprueba transferencias; en un hospital, quién puede abrir un historial a las tres de la mañana sin que salte nada. Empezar por escuchar es lo que evita que acabemos probando cosas que en tu caso no le importan a nadie.

Un técnico configura la red desde un puesto dentro de la sala de servidores.

Del Encargo al Informe: Cuatro Etapas

  • 01

    1. Encuadre Legal y Técnico

    Vemos qué normas te obligan y qué sistemas y controles las sostienen.

  • 02

    2. Diseño del Adversario

    Montamos los casos con lo que se sabe de quien ataca tu mercado.

  • 03

    3. Ejecución Vigilada

    Trabajamos en ventanas pactadas, sin frenar el día a día.

  • 04

    4. Lectura y Entrega

    Cada hallazgo llega con la obligación que compromete y su evidencia.

Preguntas Que Nos Llegan Antes de Firmar

  • ¿Cómo atáis las pruebas a la normativa que nos aplica?
    Arrancamos con una lectura conjunta: qué se te exige y cómo trabajas. Con eso montamos escenarios que ponen a prueba los controles de los que depende cada requisito, así que el informe habla el mismo idioma que tu documentación de cumplimiento.
  • ¿Vais a tocar producción?
    Con reglas escritas y firmadas antes de empezar. Cada acción va en una ventana acordada, con un contacto tuyo localizable y un botón de parada. Buscamos el mínimo ruido posible, pero sin convertir el ejercicio en un simulacro que no mida nada.
  • ¿Qué soléis encontrar al final?
    Depende del sector y de cómo esté montada la casa, pero los sospechosos se repiten: configuraciones que se quedaron a medias, versiones que llevan años sin tocarse, permisos que sobran desde una reorganización antigua y segundos factores que se saltan por una puerta lateral. Lo que cambia es cuánto pesa cada uno en tu caso.
  • ¿Qué pasa con lo que veis por el camino?
    Queda cubierto por un acuerdo de confidencialidad firmado y por un protocolo de manejo que también está escrito. La evidencia vive cifrada, la ve solo el equipo del proyecto y se destruye en el plazo que acordemos, una vez entregado el informe y cubierto lo que exija la norma.
  • ¿El informe le vale a un auditor?
    Lo escribimos pensando en que acabará encima de esa mesa: con el control concreto al que apunta cada hallazgo, la evidencia de lo que se hizo, cuándo y con qué permiso. Quien revise desde fuera podrá seguir el rastro sin llamarnos por teléfono.
Una ingeniera vigila el comportamiento de los sistemas desde su portátil.

Una Foto Fija No Cuenta la Película

Un ejercicio suelto te dice cómo estabas aquel martes. Poco más. En Corevex preferimos los ciclos: lo que salió la vez anterior decide qué se prueba la siguiente, y lo que se arregló se vuelve a atacar para ver si el arreglo aguanta de verdad o solo tapa el agujero por donde entramos. Con el método sostenido en el tiempo empiezan a verse cosas que un informe aislado no enseña: si el mismo tipo de fallo reaparece, si tardáis menos en cerrar, si un cambio de proveedor os abrió una puerta nueva. Seguimos midiendo, no vendiendo tranquilidad.

Lo Que Podemos Afirmar y lo Que Nunca Diremos

Podemos decirte qué encontramos, cómo lo aprovechamos y qué se rompería si lo hiciera otro con peores intenciones. Lo que no diremos nunca es que quedas a salvo. Ningún ejercicio, por bien hecho que esté, cubre todo el terreno ni predice lo que habrá dentro de seis meses: mide lo que había en unas fechas, con un alcance acordado y unas reglas concretas. Corevex pone una evaluación ordenada sobre la mesa para que decidas mejor, no para sustituir a tu gente ni a tus órganos de gobierno. Por eso escribimos también los límites del trabajo: qué quedó fuera, qué no pudimos comprobar y por qué.

Lo Que Va Incluido Además del Ejercicio

Cables de red conectados a un switch, uno junto a otro.

Así Es la Casa por Dentro

Los laboratorios aislados y las salas de operación desde donde el equipo de Corevex levanta cada escenario. Aquí replicamos entornos parecidos al tuyo antes de tocar nada real, que es la única forma honesta de ensayar un ataque.
Sala de servidores con los indicadores de red encendidos en azul.
Dos especialistas comparan capturas de tráfico en sus pantallas.
Racks metálicos con servidores, electrónica de red y cableado ordenado.
Detalle de un switch con sus puertos y los LED parpadeando.

Una Pieza del Programa, No el Programa Entero

Una prueba ofensiva vale mucho y no vale para todo. Enseña qué se podía romper en unas fechas y bajo unas condiciones, pero no vigila tus registros cada noche, no forma a quien abre los correos ni escribe las políticas que ordenan el resto. Si el ejercicio es lo único que hacéis, el resultado será una foto bonita colgada en una pared vacía. En Corevex lo decimos desde la primera reunión: esto es una pieza. El informe está pensado para que tus equipos discutan con datos dónde meter el presupuesto y qué riesgos aceptáis a sabiendas, no para ser el termómetro único de cómo estáis.

Un ingeniero trabaja concentrado con su portátil entre los racks.

A Qué Nos Comprometemos Cuando Firmamos

En Corevex trabaja gente que ha estado a los dos lados: rompiendo sistemas y respondiendo ante un supervisor cuando algo se rompió de verdad. Esa mezcla marca cómo hacemos las cosas. Cada proyecto sigue procedimientos escritos que se ajustan al estándar de tu sector, y todo lo que hacemos queda anotado para que otro pueda repetirlo y llegar al mismo sitio. No vendemos riesgo cero ni certificados de tranquilidad. Nos comprometemos a algo más aburrido y más útil: contarte con precisión cómo aguantan tus controles frente a tu norma y frente a quien te ataca, incluidas las partes que no te van a gustar.

Qué Pasa Cuando Termina la Última Prueba

  • 01

    1. Entrega Documentada

    Un informe con los hallazgos, la evidencia y su lectura normativa.

  • 02

    2. Sesión de Preguntas

    Tu equipo confronta cada conclusión con quien la firmó.

  • 03

    3. Acompañamiento

    Consultas abiertas mientras planificáis por dónde empezar a arreglar.

  • 04

    4. Verificación Posterior

    Volvemos a atacar lo corregido para ver si el arreglo aguanta.

Cuéntanos Qué Necesitas Medir

Si tu empresa responde ante un regulador y necesita un ejercicio pensado para lo que a ti te exigen, escríbenos. Te contamos cómo trabajamos, cómo cerramos el alcance y qué hace falta por vuestra parte antes de empezar.

Escríbenos y Te Contamos

Cuéntanos Qué Necesitas Medir

Si tu empresa responde ante un regulador y necesita un ejercicio pensado para lo que a ti te exigen, escríbenos. Te contamos cómo trabajamos, cómo cerramos el alcance y qué hace falta por vuestra parte antes de empezar.

Cookies en este sitio

Guardamos cookies para que el sitio funcione, para contar visitas y para saber qué páginas os sirven. Acéptalas o recházalas: en los dos casos la web sigue abierta. Los detalles están en la Política de Cookies.