En los últimos días, el sindicato español Comisiones Obreras (CCOO) ha sufrido una de las filtraciones de datos más graves de este año. El grupo de ransomware Hunters International publicó más de 570 GB de información confidencial, incluyendo nóminas, comunicaciones internas y documentación de empleados. La magnitud del ataque fue de casi 690.000 ficheros exfiltrados y que ha puesto de manifiesto una realidad que muchas organizaciones aún subestiman: la falta de pruebas de penetración y revisiones ofensivas periódicas para sus organizaciones sigue siendo una de las principales causas detrás de grandes brechas de seguridad.
Detrás del suceso, los investigadores apuntan a posibles debilidades en los entornos híbridos y en la falta de segmentación de red entre otros. En muchos casos, los atacantes aprovechan accesos remotos poco controlados o contraseñas débiles o reutilizadas para infiltrarse, moverse lateralmente y extraer datos durante semanas sin ser detectados. Este tipo de ataques no suele requerir vulnerabilidades nuevas, sino fallos conocidos que nadie había puesto a prueba a tiempo.
Este hecho nos deja una clara lección: si no se hacen las pruebas de pertinentes y periódicas, la organización no sabrá cómo responder cuando llegue el ataque real. Los pentests o ejercicios de Red Team no son un trámite, son una herramienta estratégica para medir la resistencia de las defensas y ajustar los controles antes de que un atacante lo haga por nosotros produciendo así fugas de datos como la de Comisiones Obreras, daños a la reputación para la entidad, etc.
El incidente de Comisiones Obreras también pone sobre la mesa el debate sobre la madurez en ciberseguridad dentro de entidades públicas y privadas. Bajo el marco del RGPD y la Directiva NIS2, la ausencia de pruebas documentadas o de medidas de protección proactivas puede derivar en sanciones, pérdida de confianza y daños reputacionales difíciles de revertir.
Desde Nacata Security, recordamos que la seguridad no empieza con la tecnología, sino con la evaluación constante del riesgo. Las organizaciones que integran pentesting, gestión del riesgo y cultura de ciberseguridad en su estrategia empresarial reducen significativamente su exposición a incidentes graves y convierten la protección de la información en una ventaja competitiva.
En nuestro trabajo, hemos visto cómo las empresas que realizan un pentest y corrigen sus vulnerabilidades evolucionan más rápido que aquellas que lo evitan por miedo al resultado. No se trata de pasar una auditoría, sino de madurar en seguridad.
En Nacata Security ayudamos a nuestros clientes a construir esa madurez con programas de testing ofensivo, gestión de vulnerabilidades, formación en seguridad y gobierno del riesgo.
Porque la mejor defensa no es evitar ser atacado, sino estar preparado antes de que ocurra.
¿Ha puesto su organización a prueba sus defensas este año?