Loading audit data...
Volver a casos reales
CASO VERIFICADO // SECTOR LEGAL

Auditoría de Despacho
de Abogados Top-50.

Email spoofing activo contra socios del despacho durante más de 2 años sin detección. Documentos confidenciales de clientes completamente exfiltrables vía subdomain takeover. Un atacante con acceso pasivo habría tenido acceso a estrategias procesales, contratos de M&A y datos de litigios en curso.

SectorLegal · Despacho top-50
Tamaño85 abogados · Madrid
TipoPentesting Web + OSINT
Duración3 rondas · 72h c/u
Sin detectar2+ años
Estado100% parcheado
5
Vulnerabilidades críticas
2+
Años sin detectar
72h
Entrega por ronda
3
Rondas de auditoría
Contexto // 01

El riesgo que nadie veía.

El despacho manejaba expedientes de fusiones y adquisiciones, litigios de alta cuantía y asesoría a fondos de inversión. La confidencialidad de su información es su activo más crítico — y la base de confianza con clientes de primer nivel. La auditoría fue solicitada tras un requisito de due diligence de un cliente de banca de inversión.

El equipo de IT contaba con 3 personas para 85 usuarios. Su postura de seguridad se apoyaba principalmente en un antivirus endpoint y un firewall perimetral. No existía ningún proceso de monitorización de subdominios ni de configuración DNS.

// EXPOSICIÓN_REGULATORIA

Los datos manejados por el despacho incluyen información privilegiada de mercado (sujeta a la normativa MAR), datos personales de clientes bajo RGPD y secretos comerciales protegidos por la Ley de Secretos Empresariales. Una brecha real habría generado responsabilidad civil frente a clientes, sanciones CNMV y denuncia ante la AEPD con multas de hasta 20 millones de euros o el 4% del volumen de negocio.

Hallazgos // 02

Los dos vectores críticos.

HALLAZGO 1 — RECONOCIMIENTO OSINT
Subdomain takeover en portal de clientes abandonado
Durante el reconocimiento OSINT se identificó un subdominio portal.despacho.com que apuntaba vía CNAME a una instancia de Azure App Service que había sido eliminada hacía 26 meses. El registro DNS seguía activo. Cualquier atacante podría haber registrado esa instancia en Azure y servir contenido bajo el dominio legítimo del despacho — incluyendo un portal de login falso para capturar credenciales de clientes o inyectar documentos manipulados.
CRÍTICO · CVSS 9.3 · SUBDOMAIN TAKEOVER
HALLAZGO 2 — ANÁLISIS DE CORREO
Email spoofing activo: sin SPF, DKIM ni DMARC
El dominio del despacho carecía de registros SPF, DKIM y DMARC. Durante el ejercicio, el equipo envió emails simulados desde socio@despacho.com sin poseer el dominio. Los emails llegaron a las bandejas de entrada de los destinatarios internos y externos sin ninguna advertencia. Un atacante podría haber suplantado a cualquier socio para solicitar transferencias, acceso a documentos o instrucciones procesales falsas.
CRÍTICO · CVSS 9.1 · EMAIL SPOOFING
HALLAZGO 3 — PORTAL WEB
Extranet de clientes con IDOR y sin MFA
La extranet de intercambio de documentos con clientes presentaba vulnerabilidad IDOR: modificando el parámetro ?expediente_id= era posible acceder a expedientes de otros clientes sin autenticación adicional. La extranet tampoco requería MFA, solo usuario y contraseña.
CRÍTICO · CVSS 8.8 · IDOR
HALLAZGO 4 — INFRAESTRUCTURA
Panel de administración WordPress expuesto sin restricción de IP
El panel /wp-admin del sitio corporativo era accesible desde internet sin restricción de IP ni 2FA. El WordPress ejecutaba 4 plugins desactualizados con vulnerabilidades conocidas (CVE públicos). Uno de ellos permitía lectura de archivos arbitrarios del servidor.
ALTO · CVSS 7.9 · RCE POTENCIAL
HALLAZGO 5 — RONDA 3
Verificación de cierre y hallazgos residuales
Tercera ronda de auditoría post-remediación. Todos los hallazgos críticos cerrados. Se identificaron 3 hallazgos de severidad media residuales (headers de seguridad incompletos, política de contraseñas débil, logs de acceso sin retención) que fueron corregidos en 2 semanas adicionales.
VERIFICACIÓN · 100% CERRADO
Hallazgos completos // 03

Tabla de vulnerabilidades.

Ref.VulnerabilidadVectorCVSSEstado
CVE-LG-01Subdomain takeover en portal abandonadoDNS · OSINT9.3CERRADO
CVE-LG-02Email spoofing sin SPF/DKIM/DMARCDNS · Correo9.1CERRADO
CVE-LG-03IDOR en extranet de expedientesWeb · API8.8CERRADO
CVE-LG-04RCE potencial via plugin WP desactualizadoCMS · Plugin7.9CERRADO
CVE-LG-05Sin MFA en acceso a extranet de clientesAuth7.5CERRADO
CVE-LG-06…083 hallazgos residuales medios (headers, passwords, logs)Config≤ 5.5CERRADOS
Remediación // 04

Plan de acción.

P1 · INMEDIATO
Eliminar el registro DNS del subdominio abandonado. Inventario de todos los subdominios activos. Eliminar CNAMEs que apunten a recursos externos no controlados. Implementar monitorización continua de subdominios.
24h
P1 · INMEDIATO
Configurar SPF, DKIM y DMARC con política p=reject. Cualquier email no firmado debe ser rechazado por los servidores receptores. Proceso de onboarding de nuevos dominios que incluya verificación de estas configuraciones.
48h
P1 · INMEDIATO
Validación de autorización por expediente en la extranet. Cada acceso a un recurso debe verificar que el usuario autenticado es propietario del expediente. Implementar tests de autorización en el pipeline CI/CD.
72h
P2 · 1 SEMANA
MFA obligatorio en la extranet. Microsoft Authenticator o similar para todos los accesos externos. Restricción de IP de origen para el panel de administración.
5 días
P2 · 1 SEMANA
Actualización de WordPress y plugins. Eliminar plugins no utilizados. Restringir /wp-admin a IPs de la oficina. Considerar migración a CMS headless sin panel de administración expuesto.
5 días
Resultado // 05

Antes y después.

// ANTES DE LA AUDITORÍA
  • Subdominio takeable activo durante 2+ años
  • Email spoofing de cualquier socio sin restricción
  • Expedientes de todos los clientes accesibles vía IDOR
  • WordPress con RCE potencial en producción
  • Extranet sin MFA — solo usuario y contraseña
  • Sin inventario ni monitorización de subdominios
// TRAS LAS 3 RONDAS
  • Inventario DNS activo + monitorización automatizada
  • SPF + DKIM + DMARC p=reject en todos los dominios
  • Autorización por objeto en cada endpoint de extranet
  • WordPress actualizado + /wp-admin restringido por IP
  • MFA obligatorio para acceso externo
  • 8 hallazgos cerrados y verificados en 3 rondas
"

Llevábamos dos años expuestos sin saberlo. El subdominio abandonado era una puerta abierta al portal de nuestros clientes — con contratos de M&A, estrategias procesales y datos de inversores. El informe fue lo suficientemente claro para presentarlo al Comité de Dirección al día siguiente. El cliente que nos exigió la auditoría renovó el contrato basándose en los resultados y el plan de acción.

CIO
Chief Information Officer
// LEGAL · MADRID · 85 abogados
¿Tienes subdominios, DNS o correo sin auditar?

El vector más explotado no está en tu código — está en tu DNS. Una auditoría de 72 horas puede identificar exposiciones que llevan años abiertas.

Solicitar auditoría → Ver servicios