Anclaje en la Norma
Cada prueba nace de una obligación concreta que tienes que demostrar.
Un escaneo genérico rara vez enseña lo que de verdad pone en jaque a una empresa supervisada. Corevex arma cada ejercicio ofensivo alrededor de la norma que te obliga, de tus procesos y de los adversarios que ya trabajan tu mercado, para que sepas dónde estás expuesto de verdad.
Hablar con un EspecialistaUna aseguradora, un hospital, una eléctrica y un ayuntamiento no comparten ni las obligaciones que les exigen ni la gente que intenta entrar en sus sistemas. Aun así, la mayoría de los análisis del mercado recorren el mismo guion en los cuatro casos: la misma batería de comprobaciones, el mismo orden, el mismo informe con los nombres cambiados. Lo que queda fuera es justo lo que importa, porque las superficies que exponen, las reglas que rigen sus datos y los controles que ya tienen montados no se parecen en nada. En Corevex el trabajo empieza por leernos la norma que te aplica —RGPD, PCI DSS, ENS o la que sea— y por entender cómo la cumples hoy. Solo entonces montamos escenarios que se parecen a quien de verdad te ataca. Así los fallos que subimos arriba del informe son los que tocan tu obligación y tu operación, no los que un escáner considera graves por defecto.
Detrás de todo lo que hacemos hay una convicción sencilla: un riesgo solo se mide bien cuando se entiende de dónde sale. Por eso, antes de lanzar la primera prueba, nos sentamos con tus obligaciones regulatorias, con la forma real en que trabaja tu gente y con lo que se sabe de los grupos que atacan a compañías como la tuya. Después reproducimos sus maneras: el correo que suplanta a un proveedor conocido para colarse en un circuito de pagos, el equipo viejo que sigue conectado en una planta porque nadie se atreve a apagarlo. De ahí salen fallos que una prueba de catálogo pasa de largo. Y como cada uno se entrega junto al requisito que compromete, tu comité de riesgos recibe algo con lo que decidir, no una lista de la que no sabe qué hacer. No prometemos números que nadie puede sostener.
Cada prueba nace de una obligación concreta que tienes que demostrar.
Reproducimos a quien de verdad ataca a compañías como la tuya.
Primero lo que te cuesta caro, no lo que un escáner marca en rojo.
Documentamos cada paso para que puedas repetirlo o discutirlo.
Todo lo que planificamos, ejecutamos y escribimos en Corevex responde a la misma pregunta: qué obligación se rompe si alguien aprovecha esto. Con esa respuesta delante, tu equipo puede decidir por dónde empezar mirando lo que arriesgas ante el regulador, y no solo la puntuación técnica del fallo. Como en cada etapa entran a la vez la inteligencia de amenazas de tu mercado y la letra de la norma, el resultado sirve en dos mesas: la de los técnicos que arreglan y la de quien tiene que responder en una inspección. El procedimiento está escrito y se puede repetir: tu gente sabrá qué encontramos y, sobre todo, por qué pesa en vuestro caso y no en el de otro.
Las primeras sesiones de un proyecto de Corevex no tienen nada de espectacular: son reuniones. Repasamos qué estándares te obligan —RGPD, DORA, ENS—, cómo está montada la casa por dentro y qué te ha pasado ya, incluidos los sustos que nunca salieron de la empresa. De ahí sacamos los caminos que un atacante recorrería sin forzar nada. En un banco eso suele ser una llamada bien preparada a la persona que aprueba transferencias; en un hospital, quién puede abrir un historial a las tres de la mañana sin que salte nada. Empezar por escuchar es lo que evita que acabemos probando cosas que en tu caso no le importan a nadie.
Vemos qué normas te obligan y qué sistemas y controles las sostienen.
Montamos los casos con lo que se sabe de quien ataca tu mercado.
Trabajamos en ventanas pactadas, sin frenar el día a día.
Cada hallazgo llega con la obligación que compromete y su evidencia.
Un ejercicio suelto te dice cómo estabas aquel martes. Poco más. En Corevex preferimos los ciclos: lo que salió la vez anterior decide qué se prueba la siguiente, y lo que se arregló se vuelve a atacar para ver si el arreglo aguanta de verdad o solo tapa el agujero por donde entramos. Con el método sostenido en el tiempo empiezan a verse cosas que un informe aislado no enseña: si el mismo tipo de fallo reaparece, si tardáis menos en cerrar, si un cambio de proveedor os abrió una puerta nueva. Seguimos midiendo, no vendiendo tranquilidad.
Podemos decirte qué encontramos, cómo lo aprovechamos y qué se rompería si lo hiciera otro con peores intenciones. Lo que no diremos nunca es que quedas a salvo. Ningún ejercicio, por bien hecho que esté, cubre todo el terreno ni predice lo que habrá dentro de seis meses: mide lo que había en unas fechas, con un alcance acordado y unas reglas concretas. Corevex pone una evaluación ordenada sobre la mesa para que decidas mejor, no para sustituir a tu gente ni a tus órganos de gobierno. Por eso escribimos también los límites del trabajo: qué quedó fuera, qué no pudimos comprobar y por qué.
Cada hallazgo, con el control que afecta y la evidencia que lo prueba.
El mismo método en cada ciclo, para comparar sin discutir la vara.
Una reunión para resolver dudas y decidir por dónde se empieza.
Cifrado, acceso restringido y borrado en el plazo que acordemos.
Una prueba ofensiva vale mucho y no vale para todo. Enseña qué se podía romper en unas fechas y bajo unas condiciones, pero no vigila tus registros cada noche, no forma a quien abre los correos ni escribe las políticas que ordenan el resto. Si el ejercicio es lo único que hacéis, el resultado será una foto bonita colgada en una pared vacía. En Corevex lo decimos desde la primera reunión: esto es una pieza. El informe está pensado para que tus equipos discutan con datos dónde meter el presupuesto y qué riesgos aceptáis a sabiendas, no para ser el termómetro único de cómo estáis.
En Corevex trabaja gente que ha estado a los dos lados: rompiendo sistemas y respondiendo ante un supervisor cuando algo se rompió de verdad. Esa mezcla marca cómo hacemos las cosas. Cada proyecto sigue procedimientos escritos que se ajustan al estándar de tu sector, y todo lo que hacemos queda anotado para que otro pueda repetirlo y llegar al mismo sitio. No vendemos riesgo cero ni certificados de tranquilidad. Nos comprometemos a algo más aburrido y más útil: contarte con precisión cómo aguantan tus controles frente a tu norma y frente a quien te ataca, incluidas las partes que no te van a gustar.
Un informe con los hallazgos, la evidencia y su lectura normativa.
Tu equipo confronta cada conclusión con quien la firmó.
Consultas abiertas mientras planificáis por dónde empezar a arreglar.
Volvemos a atacar lo corregido para ver si el arreglo aguanta.
Si tu empresa responde ante un regulador y necesita un ejercicio pensado para lo que a ti te exigen, escríbenos. Te contamos cómo trabajamos, cómo cerramos el alcance y qué hace falta por vuestra parte antes de empezar.
Si tu empresa responde ante un regulador y necesita un ejercicio pensado para lo que a ti te exigen, escríbenos. Te contamos cómo trabajamos, cómo cerramos el alcance y qué hace falta por vuestra parte antes de empezar.