Cómo Justificar una Auditoría de Active Directory ante el Board (Sin Hablar de Kerberoasting)
En más de cinco años auditando entornos de Active Directory en empresas reguladas, he visto el mismo patrón repetirse.
El CISO tiene razón técnica. Pierde el presupuesto igualmente.
El problema no es el argumento. Es el idioma.
Cuando el responsable de seguridad entra al board con términos técnicos que nadie entiende, la reunión termina igual: "no este año", "justifica el ROI", "lo revisamos en el próximo ciclo presupuestario". El board no vota en contra de la seguridad. Vota en contra de lo que no comprende.
Lo que he aprendido auditando entidades financieras, aseguradoras y empresas del sector energético en España es que el board no necesita entender el ataque. Necesita entender tres cosas: la obligación regulatoria que ya existe, el diferencial de coste entre actuar ahora o después, y el riesgo reputacional que no aparece en ningún informe técnico hasta que ya es tarde.
El CISO que habla técnico pierde. El que habla el idioma del board gana.
Argumento 1: La obligación regulatoria ("no es una opción, es una obligación legal")
Este es el argumento más potente con cualquier board de empresa regulada española, y es el que menos se usa correctamente.
DORA — el Reglamento (UE) 2022/2554 sobre la resiliencia operativa digital del sector financiero — entró en vigor el 17 de enero de 2025. Desde esa fecha, bancos, aseguradoras, gestoras de fondos y entidades de pago supervisadas por el Banco de España, la CNMV y la DGSFP tienen obligaciones concretas y exigibles. El artículo 9 exige controles técnicos verificados sobre la gestión de identidades y accesos. El artículo 13 obliga a las entidades significativas a realizar pruebas de resiliencia TIC basadas en inteligencia de amenazas reales — incluyendo pruebas técnicas sobre los sistemas de identidad de la organización.
ENS Alto, regulado por el Real Decreto 311/2022, aplica a las administraciones públicas y a las entidades que les prestan servicios. El control op.exp.9 exige verificación periódica del estado de seguridad de los sistemas. El CCN-CERT está empezando a pedir evidencias técnicas reales en las renovaciones de certificación — no solo políticas documentadas.
Y NIS2, transpuesta en España, establece multas de hasta 10 millones de euros o el 2% del volumen de negocio global anual para incumplimientos graves en la gestión del riesgo de ciberseguridad.
El argumento correcto ante el board no es "deberíamos revisar nuestra seguridad". Es: "No estamos eligiendo si hacer esto. Estamos eligiendo si hacerlo antes o después de que nos lo exija el regulador — y con la evidencia técnica que justifique nuestra postura, o sin ella."
Un board que entiende regulación entiende ese argumento en treinta segundos.
Argumento 2: El diferencial de coste ("€5.000 ahora o €3.000.000 después")
El CFO entiende de costes. El problema es que normalmente solo ve el coste de actuar, no el coste de no actuar.
Una auditoría técnica del directorio de identidades de una organización mediana — ejecutada correctamente, con el informe de compliance entregado ese mismo día — tiene un coste de entre 5.000 y 15.000 euros dependiendo del tamaño del entorno.
El coste medio de una brecha de datos en Europa, según el IBM Cost of Data Breach Report 2024, es de 4,88 millones de dólares. El sector financiero está sistemáticamente por encima de esa media.
A eso hay que sumarle las multas regulatorias. Bajo NIS2, un incumplimiento grave en la gestión del riesgo puede suponer hasta el 2% del volumen de negocio global. Y eso sin contar el coste de la interrupción operativa, que en una brecha de ransomware típica en Europa dura entre 15 y 30 días.
| Auditoría ahora | Brecha sin auditar | |
|---|---|---|
| Coste directo | €5K – €15K | €2M – €5M (media Europa) |
| Multa regulatoria | 0 | Hasta 2% volumen global |
| Reputación | Gestionada | Crisis de comunicación |
| Continuidad operativa | Intacta | Interrupción 15-30 días |
El argumento no es "necesitamos gastar dinero en seguridad". Es: "Esto no es gasto de seguridad. Es una prima de seguro contra una pérdida que puede ser 200 veces mayor."
A ese enfoque, pocos CFOs tienen una respuesta razonable.
Argumento 3: La evidencia ("si no tienes prueba, no tienes defensa")
Este argumento se dirige al consejero delegado y al consejo de administración, no solo al CFO.
DORA y ENS Alto no piden que la organización sea invulnerable. Piden que demuestre que conoce su exposición y que la gestiona de forma activa. Esa distinción es crítica.
Sin una auditoría técnica reciente, la respuesta a "¿cómo saben que su directorio de identidades es seguro?" es "lo asumimos". Y "lo asumimos" no es una respuesta válida ante el Banco de España, ante el CCN-CERT ni ante un juez en caso de responsabilidad civil después de una brecha.
Los auditores externos de certificaciones ENS y los equipos de supervisión del Banco de España están siendo cada vez más precisos en lo que piden. Las políticas documentadas ya no son suficientes. Quieren fechas de la última verificación técnica, resultados de esas verificaciones, y planes de remediación con compromisos de cierre para los hallazgos abiertos.
Una organización sin esa documentación no está auditada. Está expuesta al riesgo y además no puede demostrarlo.
El argumento ante el board: "Una auditoría técnica no es solo encontrar problemas. Es tener la evidencia de que los buscamos. Esa evidencia vale exactamente igual de cara al regulador tanto si encontramos algo como si no encontramos nada."
Argumento 4: "Cuándo, no si" (el argumento de la inevitabilidad)
El 11 de abril de 2026, LockBit 5.0 publicó a Cegasa Energía en su portal de la dark web. Empresa española, sector energético, más de 90 años de historia. Plazo de 15 días para pagar antes de que sus datos salieran a la luz.
Lo que no salió en el titular es lo que ocurrió antes.
Según el Active Adversary Report 2025 de Sophos, el tiempo medio de permanencia de un atacante dentro de una red antes de ejecutar un ataque de ransomware es de 4 días. Cuatro días moviéndose por la red, escalando privilegios, tomando el control de la identidad de la organización — sin que nadie lo detecte.
Los atacantes que comprometieron Cegasa no encontraron vulnerabilidades de día cero. Utilizaron rutas de acceso que existen por defecto en cualquier directorio de identidades con más de cinco años sin una revisión técnica profunda. No es un caso excepcional. Es el patrón habitual.
El argumento ante el board no es apocalíptico. Es analítico: "No es si nos van a atacar. Es cuándo. Y la pregunta concreta que tenemos que responder hoy es si lo sabremos antes de que sea tarde."
Cuatro días es tiempo suficiente para comprometer completamente una organización si el directorio de identidades no ha sido auditado. Cuatro días también es tiempo suficiente para detectarlo y contenerlo — si sabes dónde mirar.
El error que comete el CISO
El CISO presenta el riesgo técnico. El board escucha ruido.
No porque el board sea incompetente. Sino porque el riesgo técnico está en un idioma que no es el suyo.
La pregunta correcta para presentar al board no es "¿sabéis qué es [técnica de ataque]?". Es: "¿Podemos demostrarle al regulador que sabemos dónde están nuestras vulnerabilidades más críticas y que tenemos un plan para gestionarlas?"
Esa pregunta es de gobernanza, no de tecnología. Y la gobernanza es el idioma del board.
El reencuadre que funciona es tratar la seguridad del directorio de identidades como lo que es: un riesgo de negocio con exposición regulatoria cuantificable, no un problema de infraestructura que delegar al equipo técnico.
Cuando el CISO hace ese cambio de idioma, la conversación cambia.
Una conversación de 5 minutos con el CFO
CFO: "¿Por qué necesitamos esto ahora?"
CISO: "DORA entró en vigor en enero de 2025. El Banco de España puede pedirnos evidencias de pruebas técnicas en nuestra próxima revisión. Sin ellas, el riesgo no es solo un incidente — es un expediente regulatorio abierto."
CFO: "¿Cuánto cuesta?"
CISO: "La auditoría cuesta entre 5.000 y 15.000 euros dependiendo del tamaño del entorno. Una brecha en el sector financiero cuesta una media de 5 millones de euros más las multas regulatorias. Es una prima de seguro."
CFO: "¿Y si no encontramos nada?"
CISO: "Entonces tenemos la evidencia de que buscamos. Eso vale igual de cara al regulador."
Tres preguntas. Tres respuestas en lenguaje de negocio. Sin jerga técnica. Sin necesidad de que el CFO entienda nada de cómo funciona un sistema de identidad.
Si tienes esa conversación preparada antes de entrar al board, el presupuesto deja de ser el obstáculo.
El primer paso
Si quieres ver exactamente cuál es el estado real de tu directorio de identidades antes de preparar ese argumento ante el board, podemos ejecutar la evaluación en tu entorno y entregarte el informe de compliance el mismo día.
Un técnico de ADscan se conecta vía VPN a vuestra red, ejecuta el análisis en directo mientras el equipo lo observa, y entrega el informe ese mismo día con el mapeo a los marcos regulatorios correspondientes — ENS Alto, DORA o ISO 27001, según aplique. Sin instalar agentes. Sin cambios en la infraestructura. El proceso completo dura entre una y dos horas.
Sin coste. Sin compromiso. Sin instalación.
Solicita tu evaluación gratuita en adscanpro.com/es/evaluacion
Fuentes verificadas:
- IBM Cost of Data Breach Report 2024 — https://www.ibm.com/reports/data-breach (media global 4,88M$)
- Sophos Active Adversary Report 2025 — dwell time mediano 4 días en casos de ransomware
- Reglamento (UE) 2022/2554 (DORA) — Art. 9 y Art. 13 — en vigor desde enero 2025
- Real Decreto 311/2022 (ENS Alto) — op.exp.9
- Directiva (UE) 2022/2555 (NIS2) — Art. 34 — multas hasta 10M€ o 2% volumen global
- LockBit 5.0 / Cegasa Energía — EscudoDigital, abril 2026