Login Probar gratis
Cómo hacer una auditoría de seguridad informática en tu empresa

Cómo hacer una auditoría de seguridad informática en tu empresa

por MataSpam Guías de Seguridad

Una auditoría de seguridad informática es un examen sistemático de los sistemas, procesos y políticas de una empresa para detectar vulnerabilidades antes de que las encuentre alguien con peores intenciones. La auditoría seguridad combina revisión técnica (pentesting empresa, análisis de configuración, escaneo de vulnerabilidades) con evaluación organizativa (políticas, formación, cumplimiento RGPD). El resultado es un informe con riesgos clasificados y acciones concretas. No es un trámite burocrático ni un PDF para enseñar al cliente: si la evaluación seguridad no acaba con cambios reales en tu infraestructura, has tirado el dinero. Esta guía explica cómo planificar una auditoría informática útil, qué fases incluye un security audit serio y qué errores evitar para que no se quede en un informe decorativo.

Por qué tu empresa necesita una auditoría (aunque creas que no)

La mayoría de pymes piensa que no son objetivo. Spoiler: los atacantes no eligen víctimas con criterio, escanean rangos enteros de IPs buscando cualquier cosa explotable. Tu servidor expuesto les da exactamente igual si eres una multinacional o una asesoría de tres personas.

Una auditoría informática bien planteada responde tres preguntas: qué activos tienes, qué riesgos los amenazan y qué pasaría si caen. Sin eso, cualquier inversión en ciberseguridad es marketing.

El marco normativo también empuja. El RGPD exige medidas técnicas y organizativas apropiadas (artículo 32). La directiva NIS2, traspuesta progresivamente en los estados miembros desde 2024, obliga a sectores esenciales e importantes a evaluar riesgos periódicamente. El Esquema Nacional de Seguridad (ENS), regulado por el Real Decreto 311/2022, es obligatorio para entidades que tratan con el sector público español. Auditar deja de ser opcional cuando hay sanción detrás.

Fases de una auditoría de seguridad seria

Una evaluación seguridad profesional sigue una secuencia razonablemente estándar, independientemente del proveedor:

  1. Alcance y reglas de juego: qué se audita, qué queda fuera, ventanas horarias, contactos de emergencia. Sin esto firmado por escrito, no empieces.
  2. Reconocimiento e inventario: descubrimiento de activos, mapeo de red, identificación de servicios expuestos. Aquí aparecen siempre máquinas que nadie recordaba.
  3. Análisis de vulnerabilidades: escaneos automáticos con herramientas como Nessus, OpenVAS o Qualys. Detectan CVEs conocidos, configuraciones débiles y parches pendientes.
  4. Pentesting: explotación manual de los hallazgos. La diferencia con el escaneo automático es que un pentester encadena vulnerabilidades menores hasta llegar a algo grave. Aquí entra Metasploit, Burp Suite y mucha paciencia.
  5. Revisión organizativa: políticas, accesos, formación, procedimientos de respuesta a incidentes, copias de seguridad. La parte que más empresas suspenden.
  6. Informe y plan de remediación: hallazgos priorizados por riesgo (CVSS), evidencias y recomendaciones concretas con plazos.

Saltarse la fase 5 es el error más común. Las empresas se centran en lo técnico y olvidan que el 80% de las brechas empiezan por un humano haciendo clic donde no debe. Por eso conviene revisar en paralelo si tu equipo sabe verificar si un enlace es seguro antes de hacer clic, porque la mejor configuración del firewall no salva a quien introduce credenciales en una web falsa.

Tipos de auditoría: elige la que necesitas

No todas las auditorías sirven para lo mismo. Mezclarlas o pedir la equivocada es tirar presupuesto.

TipoQué haceCuándo elegirla
Auditoría de cumplimientoVerifica adherencia a RGPD, ENS, ISO 27001, PCI-DSSAntes de certificarte o tras un requerimiento legal
Análisis de vulnerabilidadesEscaneo automatizado de CVEs y misconfigsMantenimiento periódico, trimestral o mensual
Pentesting black-boxAtacante externo sin información previaSimular un ataque real desde internet
Pentesting white-boxAcceso a código, arquitectura y credencialesAuditar aplicaciones críticas en profundidad
Red teamSimulación de ataque dirigido multimesEmpresas maduras que ya pasaron las anteriores
Auditoría forenseInvestigación post-incidenteTras una brecha, para entender qué pasó

Para una pyme que nunca ha auditado nada, empieza por análisis de vulnerabilidades más revisión de políticas. El red team es para quien ya tiene los cimientos en orden. Pedirlo antes es como contratar un nutricionista deportivo cuando lo que necesitas es dejar de cenar pizza.

Herramientas que usa un auditor (y que tú también puedes usar)

Muchas herramientas profesionales tienen versión gratuita o community útil para preauditorías internas. No sustituyen al profesional, pero te dan idea del estado de la casa.

  • Nmap: descubrimiento de red y escaneo de puertos. El bisturí de cualquier auditor.
  • OpenVAS / Greenbone: escáner de vulnerabilidades open source. Hereda de Nessus antes de que se cerrara el código.
  • Nikto: escaneo de servidores web buscando configuraciones inseguras.
  • OWASP ZAP: análisis de aplicaciones web. Alternativa libre a Burp Suite.
  • Wireshark: análisis de tráfico de red.
  • Have I Been Pwned (haveibeenpwned.com): comprueba si las cuentas de empresa han aparecido en filtraciones públicas. Útil antes de cualquier auditoría.
  • VirusTotal: análisis de ficheros y URLs sospechosas con 70+ motores antivirus.
  • Lynis: auditoría de hardening en sistemas Linux/Unix.
  • Microsoft Baseline Security Analyzer o sus sucesores para entornos Windows.

Si gestionas la infraestructura interna, ejecutar Nmap y OpenVAS contra tu propia red es legal y muy revelador. Hacerlo contra terceros sin permiso es delito tipificado en el artículo 197 bis del Código Penal español. Que no se te olvide la diferencia.

Errores típicos que invalidan una auditoría

Después de ver muchos informes, los mismos fallos se repiten:

  • Auditar solo lo que se ve: olvidar servicios cloud (AWS, Azure, Google Workspace), SaaS de terceros y dispositivos móviles del personal.
  • No incluir la cadena de suministro: ataques como SolarWinds (2020) o el de Kaseya (2021) demostraron que tu proveedor débil es tu agujero. Los ataques watering hole aprovechan exactamente este vector, comprometiendo webs legítimas que tu equipo visita habitualmente.
  • Confundir escaneo con pentesting: pasar Nessus no es auditar, es preparar el terreno. Si nadie explota manualmente los hallazgos, no sabes el impacto real.
  • Informe sin priorización: 400 hallazgos sin orden de criticidad no se arreglan nunca. Debe ir clasificado por CVSS y riesgo de negocio.
  • No re-auditar tras remediar: corregir sin verificar es fe ciega. Toda auditoría seria incluye una revisión posterior.
  • Ignorar la ingeniería social: si no se prueban campañas de phishing controladas, la auditoría está coja. La mayoría de incidentes graves empiezan por correo.

El humano sigue siendo el eslabón más explotado. Técnicas como el clone phishing o la estafa del soporte técnico falso demuestran que ningún firewall protege contra un empleado convencido de estar haciendo lo correcto.

Frecuencia y coste: qué esperar

Una auditoría seguridad completa no se hace una vez y te olvidas. La superficie de ataque cambia cada vez que despliegas algo nuevo, contratas un proveedor o sale un CVE crítico.

Rangos orientativos según estimaciones del sector en 2025-2026:

  • Análisis de vulnerabilidades trimestral: aproximadamente entre 1.500 y 5.000 euros por iteración para una pyme.
  • Pentesting puntual completo: en torno a 8.000-25.000 euros según alcance.
  • Auditoría ENS o ISO 27001: depende mucho del tamaño, pero rara vez baja de 15.000 euros.
  • Red team multimes: a partir de 30.000 euros, sin techo claro.

Un mínimo razonable para una pyme: un escaneo automatizado trimestral más un pentesting anual. Empresas en sectores regulados (sanidad, financiero, infraestructura crítica) necesitan más cadencia y profundidad.

Qué hacer con el informe

El informe es el principio, no el final. Un plan de remediación útil tiene cinco columnas: hallazgo, riesgo, acción concreta, responsable y plazo. Sin responsable asignado, las cosas no se hacen.

Prioriza por riesgo real, no por número de hallazgos. Una vulnerabilidad crítica en un servidor expuesto a internet va antes que veinte misconfigs en una máquina aislada de la red interna. El framework MITRE ATT&CK ayuda a entender cómo encadenarían los atacantes los hallazgos: a veces un riesgo "medio" es la pieza que abre la puerta a uno "crítico".

Documenta el proceso. Si mañana entra una campaña de ransomware y los reguladores preguntan qué medidas habías tomado, el informe firmado y las acciones documentadas marcan la diferencia entre una multa proporcionada y la máxima.

Preguntas frecuentes

¿Cada cuánto hay que hacer una auditoría de seguridad?

Lo mínimo razonable es una auditoría completa anual y escaneos automatizados trimestrales. Tras cambios mayores (migración cloud, nueva aplicación crítica, fusión empresarial) conviene una específica adicional. Sectores regulados pueden tener cadencias obligatorias más cortas.

¿Auditoría interna o externa, cuál es mejor?

Ambas. La interna detecta el día a día y mantiene la higiene básica. La externa aporta visión sin sesgos y simula mejor un atacante real. Un auditor interno difícilmente cuestiona decisiones que tomó él mismo hace seis meses.

¿Qué diferencia hay entre auditoría y pentesting?

La auditoría es el examen global de seguridad (técnico, organizativo, normativo). El pentesting es una fase técnica dentro de ella, centrada en explotar vulnerabilidades. Toda auditoría seria incluye pentesting, pero un pentesting suelto no es una auditoría completa.

¿Es obligatorio auditar por RGPD?

El RGPD no exige auditoría con ese nombre, pero el artículo 32 obliga a aplicar "medidas técnicas y organizativas apropiadas" y demostrarlo. En la práctica, sin evaluaciones periódicas documentadas no puedes acreditar cumplimiento si la AEPD te abre expediente.

¿Mi empresa es demasiado pequeña para auditarse?

No. Los atacantes automatizados no discriminan por tamaño. Una autoescuela, una clínica dental o un despacho de abogados manejan datos sensibles igual que una multinacional. El alcance y coste se ajustan al tamaño, pero la necesidad no desaparece.

El siguiente paso

Abre Have I Been Pwned (haveibeenpwned.com) ahora mismo y comprueba el dominio de tu empresa con la opción "Domain search". En cinco minutos sabrás cuántas cuentas corporativas han aparecido en filtraciones públicas. Es la primera evidencia que cualquier auditor mirará, y el primer paso para entender por dónde puede empezar a entrar un atacante. Si quieres profundizar, en el blog tienes guías sobre cifrado de extremo a extremo y otras piezas clave del rompecabezas defensivo, además de recursos sobre aplicaciones de inteligencia artificial para empresas que están cambiando también el panorama de la detección de amenazas.

auditoría seguridad auditoría informática pentesting empresa evaluación seguridad security audit
MataSpam

Somos un equipo obsesionado con la ciberseguridad. Creamos guías prácticas para que no te la cuelen online. Sin edulcorantes, con mala leche y buen corazón.

Artículos relacionados

Qué hacer tras un ciberataque: guía de respuesta para usuarios
Guías de Seguridad

Qué hacer tras un ciberataque: guía de respuesta para usuarios

Seguridad en el móvil: guía definitiva para proteger tu Android o iPhone
Guías de Seguridad

Seguridad en el móvil: guía definitiva para proteger tu Android o iPhone

Guía para limpiar un PC infectado con malware paso a paso
Guías de Seguridad

Guía para limpiar un PC infectado con malware paso a paso

← Volver al blog