Las auditorías en España y su aumento ante el avance del ransomware y la presión del NIS2

 

El informe ENISA Threat Landscape 2024 identificó el ransomware como la amenaza más extendida contra organizaciones europeas, con las pymes como objetivo preferente por su menor capacidad de respuesta. En paralelo, el IBM Cost of a Data Breach Report 2024 cifró el coste medio global de un incidente de seguridad en 4,88 millones de dólares. Cifras que, hasta hace poco, las empresas medianas consideraban un problema ajeno. Ya no.

 

 

Cuando un responsable de tecnología habla de "hacer una auditoría", rara vez especifica qué tipo. Y la diferencia importa, porque cada modalidad responde a objetivos distintos y requiere perfiles profesionales diferentes.

 

La auditoría técnica también llamada prueba de penetración o pentesting consiste en atacar de forma controlada los sistemas de una organización para identificar vulnerabilidades explotables antes de que lo haga un tercero con malas intenciones. Los profesionales que la ejecutan suelen acreditar certificaciones como OSCP, OSWE u OSEP, expedidas por Offensive Security, que evalúan la capacidad real de comprometer entornos. Es trabajo manual, requiere tiempo y no se puede automatizar del todo. Las herramientas ayudan; el criterio humano decide.

 

La auditoría organizativa, en cambio, no toca los sistemas. Analiza políticas internas, procedimientos de gestión de incidentes, controles de acceso, formación del personal y cultura de seguridad. Su pregunta no es "¿pueden entrar?" sino "¿está la organización preparada para prevenir, detectar y responder?". Aquí la norma de referencia más extendida es ISO 27001, un estándar internacional voluntario que articula un sistema de gestión de la seguridad de la información.

 

La tercera variante es la auditoría de cumplimiento normativo. Su objetivo es verificar si una entidad satisface los requisitos exigidos por una regulación concreta: NIS2, DORA en el sector financiero, o el Esquema Nacional de Seguridad (ENS) para administraciones públicas y sus proveedores. El artículo 21 de la Directiva NIS2 establece con precisión las medidas técnicas y organizativas que deben adoptar las entidades afectadas, incluyendo la gestión de riesgos, la continuidad del negocio y la seguridad en la cadena de suministro. Incumplir no es solo un riesgo operativo. Es un riesgo legal con consecuencias económicas directas: el régimen sancionador de NIS2 prevé multas de hasta diez millones de euros o el dos por ciento de la facturación global anual para entidades esenciales.

 

Para quienes quieran entender en detalle cómo se estructura cada fase de un proyecto de este tipo, existe material técnico accesible. La Guía completa de auditoría de ciberseguridad para empresas desarrolla con rigor las diferencias metodológicas entre estas tres modalidades y los criterios que determinan cuál corresponde aplicar en cada contexto.

 

 

El auge de la demanda ha generado, como suele ocurrir, una oferta heterogénea. Junto a equipos técnicos solventes han proliferado propuestas que entregan informes voluminosos generados de forma automatizada, con escasa revisión humana y recomendaciones genéricas que difícilmente se traducen en mejoras reales. El problema no es solo económico. Una auditoría deficiente genera una falsa sensación de seguridad que puede ser más peligrosa que no haber auditado nada.

 

Distinguir un proveedor riguroso de uno que vende apariencia requiere hacer las preguntas correctas. ¿Qué certificaciones acreditan los técnicos que ejecutarán el trabajo y no los que firman la propuesta comercial? ¿El informe incluye evidencias de explotación o solo listados de vulnerabilidades teóricas? ¿Se ofrece retesting para verificar que las correcciones funcionan? ¿La metodología empleada es verificable PTES, OWASP, OSSTMM o queda sin especificar?

 

Las certificaciones de referencia en auditoría técnica OSCP, CISSP, CISA no garantizan por sí solas la calidad del servicio, pero su ausencia sí es una señal de alarma. Un equipo que no puede acreditar formación verificable en entornos ofensivos difícilmente realizará una prueba de penetración con profundidad suficiente.

 

Otro indicador relevante es el alcance documental del proyecto previo a la ejecución. Las firmas con metodología consolidada definen por escrito el perímetro exacto a auditar, los sistemas excluidos, los vectores de ataque autorizados y los procedimientos en caso de incidente durante las pruebas. Esa documentación protege a ambas partes y refleja madurez profesional. Su ausencia, por el contrario, suele anticipar problemas.

 

Para orientar ese proceso de selección con criterios objetivos, cómo elegir una empresa de ciberseguridad en España es un recurso elaborado por Secra, una boutique de ciberseguridad ofensiva con sede en España, que aborda específicamente los factores que determinan la idoneidad de un proveedor en el contexto normativo actual.

 

 

La ciberseguridad lleva años reclamando atención en los consejos de administración. Lo que cambia en 2026 es que ya no es opcional ignorarla. La combinación de una regulación con dientes NIS2 lleva aparejado un régimen sancionador que los reguladores europeos han dejado claro que aplicarán y una amenaza real que afecta a empresas de todos los tamaños está produciendo un efecto que los incentivos voluntarios no habían logrado.

 

Las pymes, históricamente al margen de este debate, empiezan a entender que forman parte de cadenas de suministro donde un eslabón débil expone al conjunto. Y eso, más que cualquier campaña de concienciación, está cambiando el comportamiento. Despacio, con dudas, a veces empujadas por un susto. Pero cambiando.