Cómo es realmente una auditoría de seguridad

Una auditoría de casillas produce un reporte que confirma que has hecho las cosas esperadas. No es inútil — esas comprobaciones detectan brechas obvias. Pero la mayoría de las vulnerabilidades reales no están en la lista. Están en la lógica de negocio.

En lo que realmente pasamos tiempo es en entender el sistema desde la perspectiva de un adversario: ¿cuál es la acción de mayor valor que podría tomar un usuario no autorizado, y qué se necesitaría para llegar allí?