5 vulnerabilidades que encontramos en casi todos los pentests a empresas colombianas

Hay un patrón que se repite con incomodidad en casi todos los pentests que hacemos en empresas medianas en Colombia: los mismos cinco hallazgos aparecen una y otra vez, sin importar el sector. Y casi ninguno requiere un atacante sofisticado para ser explotado.

Esto importa porque, según el Verizon DBIR 2025, el abuso de credenciales (22%) y la explotación de vulnerabilidades (20%) son los dos vectores principales de las brechas. Y en Colombia se concentró el 25% de los ciberataques de toda América Latina en el primer semestre de 2025.

Si trabajas en TI o seguridad, probablemente reconozcas tu empresa en al menos tres de estos cinco hallazgos.

Evaluación de seguridad sin costo

30 minutos con nuestro equipo. Te decimos qué encontraríamos antes de hacer el pentest formal.
Agendar evaluación

1. Active Directory con privilegios excesivos

El hallazgo número uno sin discusión. Cuentas de servicio con permisos de Domain Admin “para que no falle la integración”, usuarios que se fueron hace meses sin deshabilitar, y cuentas vulnerables a ASREP Roasting o Kerberoasting.

Cómo se explota: con cualquier credencial válida en la red interna, BloodHound mapea el grafo completo de privilegios en 10 minutos. El camino a Domain Admin casi siempre pasa por una cuenta de servicio mal configurada.

Qué hacer: implementar tiering de AD (niveles 0, 1 y 2), auditar cuentas con adminCount=1, migrar cuentas de servicio a gMSA (Group Managed Service Accounts).

2. Credenciales débiles, reutilizadas o filtradas

El 88% de los ataques básicos a aplicaciones web involucran credenciales robadas. En Colombia lo confirmamos en cada pentest:

  • Contraseñas tipo [NombreEmpresa]2024! que adivinamos en 15 minutos.
  • API keys hardcodeadas en repositorios públicos de GitHub.
  • Servidores con credenciales default (admin/admin, root/toor).
  • Cuentas corporativas expuestas en leaks públicos.

Cómo se explota: password spraying con 20-30 contraseñas comunes nos da entre 2 y 8 cuentas válidas en la primera hora. Sin MFA, ya estamos adentro.

Qué hacer: contraseñas de mínimo 14 caracteres validadas contra leak databases, MFA obligatorio en TODOS los servicios externos (VPN, correo, RDP, paneles), monitoreo de leaks con DeHashed o IntelX.

Cotiza tu pentest en Colombia

Pentest profesional desde $5.5M COP. Metodología OWASP, retest incluido, cotización en 24 horas.
Agendar evaluación

3. Superficie de ataque externa innecesariamente expuesta

La exposición de dispositivos edge y VPNs aumentó casi 8 veces como vector de entrada, del 3% al 22%. Lo que encontramos: Infosecurity Magazine

  • Paneles administrativos (cPanel, phpMyAdmin, Webmin) accesibles desde internet.
  • RDP expuesto en puerto 3389: vía favorita de grupos como Black Basta y Akira.
  • Bases de datos MongoDB o Elasticsearch sin autenticación, indexadas en Shodan.
  • Edge devices (Fortinet, SonicWall, Cisco ASA) sin parchar por meses.

Cómo se explota: mapeamos con Shodan y Nmap antes de tocar la red. Para cuando atacamos, sabemos más de la superficie expuesta que el propio equipo de TI.
Qué hacer: inventario continuo de activos externos, bastion hosts o VPN con MFA delante de paneles administrativos, parchar edge devices en 48-72 horas tras CVE crítico.

4. Red plana sin monitoreo interno

Una vez dentro, el pentest se vuelve trivial por dos razones combinadas: la red no está segmentada y nadie está mirando.

  • Desde la VLAN de impresoras se llega al servidor de nómina.
  • Sin EDR, solo antivirus tradicional. Mimikatz corre sin alertas.
  • SIEM ausente o mal configurado: los logs existen pero nadie los revisa.

Cómo se explota: con CrackMapExec e Impacket llegamos a Domain Admin en menos de un día. Durante todo ese tiempo, cero alertas defensivas.

Qué hacer: microsegmentación mínima de 4 VLANs (usuarios, servidores, OT/IoT, gestión), EDR moderno con detección comportamental, y si no puedes operar SOC propio, contratar SOCaaS 24/7 — los ataques no respetan horario laboral.

5. Backups inseguros o no probados

El hallazgo más peligroso, porque convierte un incidente recuperable en catástrofe empresarial.

  • Backups en el mismo dominio que la red atacable.
  • Sin copias offline / air-gapped.
  • Nunca se han probado con restore real.
  • Retención de 30 días, insuficiente si el ransomware estuvo latente 45.

Cómo se explota: al llegar a Domain Admin, accedemos a los backups con las mismas credenciales. En un ransomware real, el atacante los borra antes de cifrar todo. Por eso las víctimas pagan.

Qué hacer: regla 3-2-1-1-0 (3 copias, 2 medios, 1 fuera de sitio, 1 offline/inmutable, 0 errores en pruebas). Backups con credenciales y dominio separados. Restore probado trimestralmente con cronómetro real. Retención mínima 90 días.

El patrón

Ninguno de estos cinco hallazgos requiere un atacante sofisticado. No son exploits de día cero ni APTs estatales. Son fallas de higiene básica de seguridad. En Colombia no nos comprometen por sofisticación del atacante. Nos comprometen por falta de aplicación rigurosa de controles que existen desde hace una década.

Temas que podrían interesarte:

Auditoría ISO 27001 en Colombia

Gap Assessment desde $5.2M COP. Identifica brechas frente al Anexo A y prepara tu certificación.
Solicitar diagnóstico de ciberseguridad

Temas que podrían interesarte:

Suscríbete a Nuestro Blog: Mantente actualizado con las últimas noticias y consejos en ciberseguridad. Suscríbete ahora.