Saltar a contenido

PRÓLOGO: EL FIN DE LA SIMULACIÓN

Por qué auditamos la intención y no la realidad

“That’s something that tends to happen with new technologies generally: The most interesting applications turn up on a battlefield, or in a gallery.”

William Gibson (Spook Country)

La Muerte de la Fe Administrativa

"No se puede auditar un algoritmo con una entrevista. No se puede verificar una configuración binaria con una política en papel. Y, sin embargo, eso es exactamente lo que la industria de la auditoría ha estado haciendo durante los últimos veinte años: aplicar métodos del siglo XIX a problemas del siglo XXI."

Vivimos en una alucinación corporativa colectiva.

Las organizaciones gastan millones en Gobernanza, Riesgo y Cumplimiento (GRC), generan terabytes de documentación, firman políticas de seguridad robustas y pasan auditorías externas con resultados impecables. Y, sin embargo, siguen siendo vulneradas, siguen sufriendo fraudes internos y siguen colapsando operativamente por errores que "nadie vio venir".

¿Cómo es posible que una empresa "auditada y certificada" sea, al mismo tiempo, técnicamente indefensa?

La respuesta es dolorosa pero simple: Porque estamos auditando la intención, no la realidad.

La Mentira del Muestreo y la Entrevista

La auditoría tradicional se basa en la Fe Administrativa. El auditor pregunta: “¿Tienen un proceso de baja de usuarios?”. El gerente responde: “Sí, aquí está el procedimiento firmado”. El auditor revisa una muestra de cinco casos, ve que están firmados, y concluye: “El control es efectivo”.

Mientras tanto, en la realidad binaria de los servidores, hay quinientas cuentas de ex-empleados activas porque el script de baja falló y nadie revisó los logs. El papel dice "Cumple". La realidad técnica dice "Vulnerable".

En el entorno digital, cualquier auditoría que se base en la confianza verbal o en el muestreo estadístico es, por definición, un ejercicio de negligencia por diseño.

El Nacimiento del Fiscal Digital

Este libro no propone una "mejora" de la auditoría tradicional. Propone su demolición y reconstrucción bajo una nueva arquitectura: la Doctrina de la Evidencia.

El Fiscal Digital no es un auditor amable que viene a sugerir mejoras. Es un ingeniero forense que viene a contrastar la narrativa documental contra la evidencia técnica. En este marco, no hay espacio para la interpretación subjetiva:

  • No importa lo que diga la Política de Contraseñas: importa la configuración real del Directorio Activo.
  • No importa lo que diga el contrato del proveedor: importa si el log de accesos muestra actividad desde IPs no autorizadas.
  • No importa la "seguridad razonable": importa la certeza matemática de la evidencia.

Lo que tienes en tus manos es un tratado de Ingeniería de la Responsabilidad. Aquí no encontrarás listas de verificación para "pasar" una certificación, sino los principios para construir una gobernanza donde la impunidad técnica sea materialmente imposible.

La fe es para la religión. Para la auditoría de sistemas, exigimos evidencia.

Bienvenido a la realidad.