El 95% de los responsables de seguridad siente presión para ocultar malas noticias
Un nuevo informe de Checkmarx, «The Future of Application Security in the Era of AI», revela que el 95% de los CISOs se sienten presionados para suprimir o retrasar hallazgos de seguridad relacionados con el cumplimiento.
La presión llega de todas partes: el consejo de administración, comunicación, producto, ventas y directivos preocupados por el momento, el clásico «nada antes de la presentación de resultados». Rara vez se dice en voz alta. Los hallazgos de seguridad se enmarcan como obstáculos a los objetivos de negocio, no como información sobre riesgos.
Los expertos citados apuntan a una solución real: integrar al CISO en la estrategia de negocio y normalizar la divulgación rutinaria antes de una crisis, no durante ella.
Fuente: Dark Reading · Checkmarx report, 15 Jun 2026
Mi análisis
95%. Lea ese número de nuevo. Casi todos los responsables de seguridad han recibido presión para callarse, ralentizar o suavizar un hallazgo. No por parte de villanos. Por un consejo que protege una cifra, un equipo de ventas que protege un acuerdo, un equipo de comunicación que protege una fecha de lanzamiento.
Este es el problema. La presión casi nunca queda por escrito. Nadie le envía un correo diciéndole «entierra esto». Simplemente siente cómo el ambiente se enfría cuando lo plantea. Esa negabilidad es exactamente lo que la hace peligrosa, y exactamente por qué funciona.
La respuesta no es el heroísmo. Es hacer que la divulgación resulte aburrida. Normalícela cuando nada esté en llamas, para que cuando algo lo esté, decir la verdad ya sea un hábito. Si su consejo solo tiene noticias de seguridad después de un incidente, perdió el debate meses antes.
86.000 credenciales de Fortinet, y nadie tuvo que forzar nada
Una campaña conocida ahora como FortiBleed ha generado una base de datos verificada con más de 86.000 credenciales activas de firewalls y VPNs de Fortinet expuestos a internet, en 194 países. El investigador Kevin Beaumont estima que eso representa aproximadamente la mitad de todos los firewalls Fortinet expuestos en línea.
Muchas de las contraseñas fueron robadas en incidentes anteriores y nunca se rotaron. Un actor de habla rusa descifra los hashes SSL VPN y pivota hacia el Active Directory interno.
El 18 de junio, CISA emitió una alerta instando a los clientes de Fortinet a restablecer credenciales, almacenar los inicios de sesión de administración con PBKDF2, revisar los registros, habilitar MFA resistente al phishing y restringir el acceso de administración.
Fuente: SecurityWeek · CISA alert, 18 Jun 2026
Mi análisis
La mitad de los firewalls Fortinet expuestos a internet, con credenciales activas almacenadas en una base de datos que alguien compiló. Y parte de ello es peor que una brecha reciente: una parte de esas contraseñas fueron robadas hace mucho tiempo y simplemente nunca se cambiaron.
Esta es la idea que hay que retener. Los atacantes no están forzando la entrada. Están iniciando sesión. Credenciales válidas, puerta principal, sin necesidad de ningún exploit.
Si opera equipos perimetrales Fortinet, CISA le dio la lista para el fin de semana: terminar las sesiones, restablecer las credenciales, imponer MFA resistente al phishing, restringir el acceso de administración. Pero la lección está antes de todo eso. Una contraseña robada que nunca se rota no es un incidente que sobrevivió. Es una llave permanente que usted paga por mantener cortada.
Un token de GitHub olvidado. Dos meses dentro de Novo Nordisk.
Novo Nordisk, el fabricante danés de Ozempic, comunicó una brecha el 11 de junio. El vector de entrada reportado fue un único token de acceso a GitHub con altos privilegios, expuesto en JavaScript del lado del cliente en un subdominio poco conocido.
Desde allí, los atacantes clonaron repositorios privados, recopilaron más credenciales que estaban dentro del código y pivotaron más profundamente.
El grupo que reivindica el ataque afirma haber permanecido dentro más de dos meses y haberse llevado más de 700.000 archivos, aproximadamente 1,3 TB, incluyendo código fuente, datos de medicamentos, modelos de IA internos y registros de aproximadamente 11.500 participantes pseudonimizados en ensayos clínicos; después comenzaron a filtrar tras no recibir un rescate de 25 millones de dólares.
El veredicto de los expertos: los repositorios y los pipelines de CI/CD son ya sistemas de producción, las credenciales de máquina rara vez tienen un propietario o un calendario de rotación, y el radio de impacto de esa única credencial fue toda la brecha.
Fuente: Dark Reading · disclosed 11 Jun 2026
Mi análisis
Un token. En código del lado del cliente, en un subdominio que nadie vigilaba. Esa fue toda la vía de entrada. Dos meses dentro de una de las mayores farmacéuticas del planeta, y saliendo con código fuente, datos de medicamentos y registros de ensayos clínicos.
Misma historia que FortiBleed, distinto disfraz. Nadie vulneró un perímetro. Estaban autenticados. Y las credenciales adicionales que necesitaban para ir más profundo estaban simplemente en los repositorios, esperando.
La parte incómoda para usted: casi con toda certeza tiene cientos de credenciales de máquina, tokens, cuentas de servicio, claves API, sin propietario, sin rotación, sin monitorización. Vigila a sus personas. ¿Quién vigila las claves? Trate los repositorios y los pipelines como producción, porque para un atacante el repositorio de código son los planos del edificio, no un archivador.
No se puede conservar el buzón de un exempleado. Tuve que explicarlo esta semana.
Esta semana realicé una auditoría ISO 27001 para un organismo de certificación. La empresa lleva años con el certificado y se sorprendió genuinamente al saber que no puede simplemente mantener activos los buzones de correo de exempleados. No es algo nuevo.
A principios de este año, la autoridad de protección de datos de Bélgica multó a una gran empresa tecnológica con aproximadamente 176.000 euros exactamente por esto: un exempleado descubrió que su buzón seguía activo seis meses después de marcharse. La posición del regulador es directa.
Puede invocar un interés legítimo para conservar un buzón durante un breve período de transición, piense en un mes, y luego debe eliminarse. Y restringir el acceso no equivale a eliminarlo. Los datos almacenados siguen siendo objeto de tratamiento.
Fuente: Baker McKenzie · Belgian DPA decision, May 2026
Mi análisis
Misma temática que los tres casos anteriores, desde el lado del cumplimiento. Acceso y datos que deberían haber desaparecido, todavía ahí. Nadie atacó nada. La exposición ya estaba dentro del edificio.
Dos errores frecuentes. Uno: bloquear una cuenta no es eliminarla. Un buzón al que ya no puede acceder sigue almacenado, y el almacenamiento sigue siendo tratamiento bajo GDPR. El regulador lo dijo claramente. Dos: ese buzón no contiene solo los datos del exempleado. Contiene los datos de todos los que alguna vez le escribieron. El radio de impacto es mayor que una sola persona, de nuevo.
Y aquí está la parte que debería doler: esta empresa estaba certificada. Lo había estado durante años. Y aun así lo hizo mal. Un marco le dice cómo es el buen desempeño. No hace el offboarding por usted. Así que compruebe honestamente: cuando alguien se va, ¿qué ocurre realmente con su buzón, y quién da el visto bueno de que ha sido eliminado?
Mi nuevo webinar de PECB está disponible: cerrando la brecha de decisión
A propósito de las decisiones tomadas bajo presión: mi webinar para PECB ya está en línea. Se llama «Closing the Decision Gap: How Risk-Informed Decisions Build Digital Trust».
Trata sobre el espacio entre conocer sus riesgos y actuar sobre ellos, y sobre por qué las buenas decisiones de riesgo son las que generan confianza, dentro de la organización y con las personas a las que sirve. Si el hilo conductor de todo este número le ha tocado la fibra, este es el equivalente estratégico de la misma conversación.
Fuente: Watch on YouTube · PECB webinar
Mi análisis
Mire los cuatro puntos anteriores. En el fondo, cada uno es una decisión que nadie tomó a tiempo. Rotar la clave. Eliminar el buzón. Decir algo difícil al consejo. La gestión de riesgos vive o muere en esa brecha entre saber y hacer.
Esa brecha es todo el contenido de la charla. Si usted es quien tiene que tomar esas decisiones, o defenderlas ante personas que preferirían no escucharlas, véalo. Luego dígame si me equivoqué.