La ciberseguridad invisible: metadatos, el vector de fuga que casi nadie controla
Por: Adrián Sánchez
En la mayoría de auditorías de seguridad que realizamos, hay un patrón que se repite: las empresas protegen sus sistemas, pero no sus documentos. Invierten en firewalls de última generación, despliegan EDR en todos los equipos e implementan doble factor de autenticación, pero cuando analizamos los archivos que comparten en la web, en licitaciones o en correos internos, encontramos un problema crítico: metadatos expuestos sin control.
Estos “datos ocultos”, que acompañan a cada documento digital, son una mina de oro para cualquiera que sepa dónde buscar. Y no hablamos de ataques avanzados: cualquier persona con conocimientos básicos y una herramienta gratuita puede extraerlos en segundos.
El valor de los metadatos para un atacante
Un documento .docx, .xlsx, .pdf o incluso una imagen .jpg puede contener mucho más que el contenido visible. Entre los datos más sensibles que suelen exponerse están:
- Identidad técnica: nombres de usuario, equipos y dominios internos, útiles para construir diccionarios de ataque o lanzar phishing dirigido.
- Arquitectura de red: rutas como \\srv-finanzas\presupuestos2024 que revelan servidores críticos y facilitan movimiento lateral.
- Información de software: versiones exactas de Office o Acrobat para explotar vulnerabilidades conocidas (CVEs).
- Historial de revisiones y comentarios: información confidencial no visible al usuario final.
- Metadatos EXIF: coordenadas GPS en imágenes que exponen ubicaciones sensibles.
Con esta inteligencia, un atacante puede mapear infraestructuras sin ser detectado, perfilar usuarios, preparar exploits dirigidos o incluso planificar accesos físicos. Todo ello sin generar alertas en el SIEM, el firewall o el EDR.
Caso real
En una auditoría para una empresa industrial, descargamos desde su portal público varios informes financieros en PDF. El análisis reveló:
- Listas de usuarios internos con roles de administrador.
- Rutas de red internas incrustadas en comentarios ocultos.
- Versiones obsoletas de Office, vulnerables a CVEs críticas.
Con esta información, un atacante podría haber ejecutado un ataque dirigido con un nivel de éxito muy elevado, sin necesidad de comprometer inicialmente ningún sistema.
Herramientas clave
- ExifTool: extracción y limpieza masiva de metadatos en todo tipo de archivos.
- FOCA: búsqueda y análisis automático de documentos públicos para auditorías externas.
- Metashield Analyzer: eliminación automatizada de metadatos en entornos corporativos.
Cómo cerrar esta brecha
- Política corporativa: ningún documento debe salir sin pasar por un proceso de limpieza.
- Automatización: integrar herramientas en correos, repositorios y flujos CI/CD.
- Auditorías periódicas: incluir siempre la revisión de metadatos.
- Formación del personal: enseñar buenas prácticas y riesgos asociados.
Los metadatos son el ejemplo perfecto de cómo un detalle técnico ignorado puede abrir una brecha crítica. No hacen falta técnicas avanzadas ni malware sofisticado: basta con un analista y unos minutos.
La solución es sencilla automatización, auditoría y formación, pero exige madurez organizativa y visión integral. Ignorar este vector invisible es un lujo que ninguna empresa puede permitirse. Porque, al final, la verdadera ciberseguridad no se mide por lo que bloqueamos, sino por lo que somos capaces de anticipar.
Visita institucional a las firmas ADN Audimancha y Luján y Arozamena en Albacete
La red ADN&GRM Audit sigue reforzando su compromiso con la cercanía y la escucha activa a cada una de las firmas que la integran. En esta línea, Pedro Nuñez y Julio Sainz presidente y vicepresidente respectivamente de la Red, han realizado recientemente una visita institucional a las oficinas de ADN Audimancha y Luján y Arozamena, ambas situadas en Albacete.
Objetivo: escuchar, compartir, construir
El propósito de esta visita ha sido claro: estar cerca de las firmas, conocer sus proyectos actuales, recoger sus inquietudes y entender sus necesidades reales en el ejercicio diario de la auditoría. En un entorno profesional en constante transformación, creemos firmemente que el diálogo directo es la base para construir una red sólida, útil y orientada al largo plazo.
Durante la jornada, se generaron espacios de conversación enriquecedores sobre:
- Los retos normativos y tecnológicos a los que se enfrentan los despachos.
- La gestión del talento y el relevo generacional.
- Las oportunidades de colaboración entre firmas del entorno.
- La aportación de la red en materia de formación, visibilidad e innovación.
Consolidar desde lo local, crecer en Red
Estas visitas nos permiten reforzar los lazos entre las personas que forman parte de ADN&GRM Audit, como también nuestra capacidad de ofrecer respuestas adaptadas, realistas y compartidas a los desafíos que vivimos como pequeños y medianos despachos.
Desde la Red, queremos agradecer la acogida cercana y constructiva de ambas firmas, así como su disposición a seguir construyendo colectivamente una auditoría moderna, ética y comprometida con la calidad.
Seguimos caminando juntos, desde lo local hacia lo global, con el firme propósito de sumar talento, sumar confianza y sumar valor.
📌 ¿Quieres conocer más sobre las firmas que forman parte de la red o cómo integrarte? Escríbenos a través de nuestro formulario de contacto.
#ADNGRM #VisitaInstitucional #Auditoría #RedProfesional #FirmasMiembro #EscuchaActiva #Cercanía #Albacete
Lo que marca la diferencia: más allá de los números
Por: Álvaro Melchor Delgado
En el entramo empresarial actual, observamos que las empresas cada vez invierten mayores recursos en crear valor mediante activos difícilmente medibles, es decir, activos diferenciados y únicos. Hoy en día estos activos marcan la diferencia entre empresas líderes y empresas que se quedan atrás. En este contexto, la auditoría juega un papel clave para aportar fiabilidad a los diferentes activos intangibles desarrollados por las empresas.
Lo que no se ve es lo que te diferencia
Basta con echar un vistazo a cualquier gráfico o tabla de las empresas más valiosas en la actualidad [imagen 1: 10 empresas más valiosas hasta 2024]. Vemos como son principalmente empresas tecnológicas, farmacéuticas o incluso del sector servicios, pero, estás últimas apuestan cada día más por desarrollar intangibles que les permitan diferenciarse del resto. Así pues, empresas como Microsoft, Apple o Google tienen el valor que tienen actualmente no por sus fábricas o maquinaria sino por sus ideas e innovación.
Imagen 1: 10 empresas más valiosas hasta 2024
| Nº | Empresa | País | Sector | Cap. Bursátil |
|---|---|---|---|---|
| 1 | Microsoft Corp | Estados Unidos | Software | 3085,56 |
| 2 | Apple Inc | Estados Unidos | Hardware | 2889,95 |
| 3 | Aramco | Arabia Saudita | Petróleo, Gas y otros combustibles | 1993,92 |
| 4 | Alphabet | Estados Unidos | Medios Interactivos y Servicios | 1841,57 |
| 5 | Nvidia | Estados Unidos | Semiconductores | 1784,53 |
| 6 | Amazon.Com | Estados Unidos | Comercio Minorista General | 1790,16 |
| 7 | Meta Platforms | Estados Unidos | Medios Interactivos y Servicios | 1195,84 |
| 8 | Berkshire Hathaway | Estados Unidos | Servicios Financieros | 861,74 |
| 9 | Eli Lilly & Co | Estados Unidos | Farmacéuticos | 699,89 |
| 10 | Tesla Inc | Estados Unidos | Automóviles | 599,15 |
Fuente: https://economipedia.com/ranking/empresas-mas-grandes-del-mundo-2024.html
Aquí es donde entra el principal reto de la auditoría, porque ¿Cómo podemos afirmar con una cierta seguridad razonable la veracidad de aquello que no podemos medir con facilidad?
Si, por ejemplo, una empresa adquiere una nueva maquinaria para su proceso productivo, la factura de esta te sirve como prueba del correcto tratamiento llevado a cabo por la sociedad. Pero, cómo medimos un proyecto de desarrollo, una patente o incluso el fondo de comercio.
Por eso, en primer lugar, es cada vez más necesario que el auditor o auditora tenga conocimientos cada vez más específicos en la auditoría de cuentas para poder evaluar estos activos, para que posteriormente realicen procedimientos específicos como revisión de contratos, licencias incluso corroborar la proyección de futuro de cada proyecto.
Para los diferentes usuarios interesados en la información que transmiten las diferentes compañías, no es lo mismo que dicha información este respaldada o no con la opinión de los auditores, por tanto, la auditoría debe aportar independencia y confianza al mercado y a inversores sobre estos activos intangibles.
Todo esto, se puede resumir en la siguiente imagen [imagen 2: el iceberg del valor empresarial] que detalla un modelo conceptual empresarial en el que, en la parte superior, la visible, se encuentran aquellos elementos materiales y observables de una empresa y en la parte inferior, la sumergida, se encuentran los aspectos invisibles. Como se aprecia en la imagen lo que no se ve en una empresa es lo que más pesa y la sostiene a flote.
Imagen 2: el iceberg del valor empresarial
Fuente: https://www.hecho.company/blog/cultura-organizacional-iceberg
En resumen, el auténtico valor actual de las empresas ya no se mide o al menos no solamente en los físico, en lo material, si no que actualmente reside en la innovación, las ideas, el conocimiento… por su propia naturaleza es complicado a priori evaluar con rigor estos intangibles, porque lo que no se percibe mediante las Cuentas Anuales de una empresa, es precisamente, lo que las sostiene y las mantiene líderes en el sector, y el auditor es quien debe traducir ese valor intangible en confianza para el mercado.
Ya tenemos a los 3 finalistas de SQEUD 2025
El concurso interno de la Red ADN&GRM Audit, SQEUD – Seguro Que Eres Un Diez, entra en su recta final.
Tras la cuarta gala del certamen, ya conocemos a las tres personas finalistas que competirán en la última y decisiva fase del concurso, que se celebrará de forma presencial en el Congreso Anual de la Red en Salamanca.
En esta última prueba, los seis semifinalistas tuvieron que diseñar un prompt útil, enfocado a optimizar su tiempo y facilitar alguna de sus tareas diarias, combinando conocimientos técnicos con creatividad aplicada a herramientas de inteligencia artificial.
Aunque la decisión no fue sencilla por el altísimo nivel mostrado, ya tenemos a los tres finalistas que avanzan a la fase final, en la que deberán presentar un proyecto propio relacionado con el ámbito de la auditoría o consultoría demostrando su visión estratégica, innovación y capacidad de comunicación.
Próxima parada: Salamanca
La final se celebrará el próximo mes de noviembre, en el marco del Congreso Anual 2025 de la Red ADN&GRM Audit, un entorno inmejorable para compartir ideas, visibilizar el talento interno y poner en valor el compromiso de las firmas con el desarrollo profesional de sus equipos.
Desde la organización queremos agradecer a todas las personas que han participado hasta ahora y felicitar especialmente a quienes siguen en la competición. La implicación, el compañerismo y la calidad de cada entrega están siendo el verdadero éxito de esta iniciativa.
¡Nos vemos en Salamanca para descubrir quién será el o la profesional más completo de la Red!
Precios de Transferencia en Pymes
Por: Maria Madalina Daghid Petras
¿Qué son los precios de transferencia?
Los precios de transferencia son los valores que se asignan a las transacciones entre empresas que están relacionadas entre sí, bien porque forman parte del mismo grupo de empresas o tienen algún tipo de control o influencia mutua.
Marco Normativo Aplicable
Las principales referencias legales en España son:
- Artículo 18 de la Ley 27/2014 del Impuesto sobre Sociedades (LIS)
- Reglamento del Impuesto sobre Sociedades (Real Decreto 634/2015)
- Modelo 232: declaración informativa sobre operaciones vinculadas
- Directrices de la OCDE sobre Precios de Transferencia
Si auditas una PYME, que realiza operaciones con partes vinculadas, es importante saber que no siempre existe obligación de documentar los precios de transferencia. Solo tendrán obligación de hacerlo si el total de esas operaciones con una misma entidad supera los 250.000 euros en un año. En ese caso, deberá existir la presentación del Modelo 232 en la AEAT.
¿Cómo obtiene el auditor evidencia adecuada y suficiente?
- Identificación de las partes vinculadas
Estudiar el esquema del grupo al que pertenece la sociedad auditada, y todas las vinculaciones personales y funcionales para determinar el control y la influencia.
- Métodos de valoración:
- Evaluación de la documentación
Se han de revisar los contratos entre las partes vinculadas y su trazabilidad mediante la revisión de facturas, y el modelo 232 obligatorio para operaciones con la misma sociedad vinculada superiores a 250.000€, quedando excluidas las sociedades que realizan consolidación fiscal o integración de UTES.
También, se deben verificar los informes respecto al “precio de transferencia” que tiene la sociedad, definido como protocolo de actuación que sea acorde a la forma de realizar las transacciones con las partes vinculadas.
- Análisis financiero
Tenemos que separar las cuentas de ingresos y gastos y sus respectivas contrapartidas de las transacciones con operaciones vinculadas para poder evaluarlas, e identificar el método de valoración aplicado, comprobar el margen de la operación y poder compararlas con otras operaciones independientes.
- Juicio profesional
Es necesario poder estudiar de forma completa todos los puntos anteriores, y revisar el soporte documental de cada apartado para poder determinar la razonabilidad de la transacción que estudiemos, basada en evidencia adecuada y suficiente.
Una vez analizadas las transacciones entre partes vinculadas, habrá que trasladar la conclusión obtenida, a la revisión de las cuentas anuales y por consiguiente a la opinión del auditor, identificando este tipo de transacciones como “Cuestión Clave”.
Las repercusiones de la mala gestión de los “Precios de Transferencia” tiene consecuencias relevantes como ajustes y sanciones fiscales y contingencias en la auditoría que puede cambiar la opinión del auditor.
Conclusión final:
En el contexto actual, los precios de transferencia ya no son un asunto exclusivo de grandes corporaciones. Las PYMES deben prestar atención a sus operaciones intragrupo, y los auditores tenemos el deber de verificar que se cumplen los precios de mercado, con evidencia sólida y conforme a la normativa vigente.
ADN&GRM Audit, un año más en el Foro de Pequeños Despachos de Auditores
Los días 25 y 26 de septiembre, Baeza volvió a convertirse en el punto de encuentro de referencia para el sector de la auditoría con la celebración del XIII Foro de Pequeños Despachos de Auditores, organizado por el Consejo Andaluz de Colegios Profesionales de Economistas, Colegio Profesional de Economistas de Jaén y REA Auditores.
Un año más, desde la red ADN&GRM Audit hemos estado presentes como colaboradores en este espacio que fomenta el debate, la actualización técnica y el fortalecimiento de las relaciones profesionales entre firmas y expertos de todo el país.
Aprendizaje compartido
Durante las dos jornadas hemos asistido a sesiones de gran valor que abordaron temas cruciales para la evolución de nuestra profesión:
- La adaptación de las NIAES a la realidad de las Entidades Menos Complejas (EMC).
- Las implicaciones normativas del registro mercantil en relación con la revocación de auditores.
- El papel de la inteligencia artificial en la auditoría y su impacto real en el trabajo diario.
- El avance imparable de la sostenibilidad y la necesidad de estructuras de verificación sólidas y responsables.
- La importancia de definir un plan de futuro para el talento joven en la auditoría.
Estas sesiones han reforzado una idea clave: la auditoría no solo se adapta, sino que evoluciona para seguir siendo una herramienta indispensable para generar confianza en un entorno cada vez más complejo.
Conexiones que suman
Más allá del contenido técnico, el foro nos ha permitido reencontrarnos con colegas, compartir experiencias, intercambiar inquietudes y explorar nuevas formas de colaboración.
Para una Red como la nuestra, donde la cooperación entre firmas es uno de los pilares fundamentales, espacios como este son esenciales para fortalecer la cohesión interna y enriquecer nuestras metodologías con visiones complementarias.
Seguimos apostando por la excelencia
Desde ADN&GRM Audit agradecemos la organización de este foro y celebramos poder contribuir, un año más, a una conversación profesional cada vez más abierta, moderna y comprometida con la calidad.
Nos llevamos ideas, contactos y el impulso necesario para seguir transformando la auditoría desde la cercanía, el conocimiento y el rigor técnico.
📌 ¿Quieres saber más sobre nuestra red y cómo trabajamos?
Visita www.adngrmaudit.com y descubre cómo sumamos talento y experiencia en toda España.
#ADNGRMAudit #ForoAuditores #Baeza2025 #PequeñosDespachos #Auditoría #Sostenibilidad #Transformación #Talento #Normativa #Confianza #InteligenciaArtificial
6 finalistas, una nueva prueba y una dosis de inteligencia artificial: así avanza SQEUD 2025
La tercera gala del concurso SQEUD 2025 – Seguro Que Eres Un Diez ya tiene resultados: tras la prueba de redacción de un post profesional, 6 participantes han sido seleccionados para continuar en esta experiencia que busca al profesional más completo de la Red ADN&GRM AUDIT AIE.
Esta jornada no solo sirvió para evaluar habilidades de comunicación profesional, sino también para preparar la siguiente fase. De la mano de Alfonso Linares, los participantes recibieron una valiosa masterclass sobre la creación de prompts y GPTs personalizados, una herramienta clave para optimizar procesos y ahorrar tiempo en tareas recurrentes del ámbito de la auditoría y consultoría.
El concurso continúa, y con cada fase, crece el talento, la motivación y el aprendizaje compartido dentro de la red.
#SQEUD2025 #SeguroQueEresUnDiez #Auditoría #Consultoría #GPT #IA #ADNGRMAudit #RedDeAuditores
Ocho clasificados siguen en la carrera por convertirse en el profesional más completo de la Red
El concurso SQEUD 2025 – Seguro Que Eres Un Diez, organizado por la Red ADN GRM AUDIT AIE, avanza con fuerza y motivación tras la celebración de su segunda fase.
El pasado 30 de junio tuvo lugar la jornada centrada en el manejo profesional de redes sociales, donde los participantes demostraron sus habilidades en X (antes Twitter) y LinkedIn. Tras la evaluación de las pruebas, el jurado seleccionó a los 8 participantes que siguen en competición, tras la eliminación de dos de los concursantes iniciales.
La jornada estuvo marcada también por la masterclass impartida por Ana Amigo, redactora del Grupo Aseguranza, quien compartió su experiencia y visión sobre la comunicación profesional, la importancia del enfoque estratégico en redes y cómo construir un buen post. Esta sesión sirvió como preparación para la siguiente fase del concurso, que consistirá en la redacción de un post profesional para LinkedIn y la web de la Red.
Desde la organización agradecemos a todos los participantes por su dedicación, y especialmente a Ana por su implicación y generosidad.
¡Mucho ánimo a los 8 semifinalistas que siguen en la carrera para convertirse en el SQEUD 2025!
#SQEUD2025 #TalentoEnRed #RedDeAuditores #ADNGRMAudit #ComunicaciónDigital #FormaciónInterna #Auditoría #Consultoría
SQEUD 2025: Un reto inédito para encontrar al profesional más completo de nuestra Red
En la Red ADN GRM AUDIT AIE apostamos siempre por la excelencia, el talento y la mejora continua. Por eso, este año hemos puesto en marcha una iniciativa interna sin precedentes: SQEUD (Edición Auditores) - Seguro Que Eres Un Diez.
Un concurso diseñado por Correduidea para identificar y reconocer al profesional más completo entre nuestras firmas, valorando no solo los conocimientos técnicos en auditoría y consultoría, sino también la capacidad de comunicación en redes y el uso estratégico de herramientas de inteligencia artificial.
¿Cómo funciona SQEUD 2025?
El concurso se estructura en varias fases:
- Una primera prueba teórica, un test de conocimientos clave en auditoría y consultoría, que tuvo lugar el pasado 2 de junio y que sirvió para seleccionar a los 10 participantes definitivos.
- A partir de ahora, los finalistas deberán demostrar su destreza en el manejo profesional de redes sociales (X y LinkedIn) y superar nuevos retos creativos y estratégicos, siempre acompañados por sesiones formativas diseñadas para reforzar sus capacidades.
- La gran final se celebrará en el marco de nuestro Congreso Anual 2025, que tendrá lugar en Salamanca, donde los finalistas defenderán un proyecto propio ante sus compañeros y un jurado especializado.
Reconocimiento al esfuerzo y la implicación
Queremos agradecer a todos los profesionales que se inscribieron y participaron en la primera fase, demostrando su entusiasmo, dedicación y compromiso con esta iniciativa que fortalece nuestra cultura de orgullo de pertenencia y colaboración interna.
Próxima cita: 30 de junio
La siguiente prueba, centrada en el manejo de redes sociales, marcará un nuevo corte para continuar avanzando hacia la final. El próximo 30 de junio conoceremos quiénes continúan en esta aventura.
¡Mucho ánimo a todos los participantes!
En ADN GRM AUDIT AIE seguimos apostando por iniciativas que visibilizan y premian el talento de nuestra red, fomentando la formación, la innovación y el trabajo en equipo.
Firmas con participantes en SQEUD 2025:
✅ GRAMAUDIT S.L.P.
✅ GFS Auditors
✅ Valentín Gallego Auditores
#SQEUD2025 #SeguroQueEresUnDiez #TalentoEnRed #OrgulloDePertenecer #ADNGRMAudit #Auditoría #Consultoría #IA #ComunicaciónProfesional #RedDeAuditores
ADN&GRM Audit refuerza su compromiso con la profesión en el XI Congreso de ACCID
Los pasados 5 y 6 de junio, ADN&GRM Audit participó como entidad colaboradora en el XI Congreso de la Associació Catalana de Comptabilitat i Direcció (ACCID), celebrado en la sede de la Universitat Oberta de Catalunya (UOC) en Barcelona.
Un año más, hemos apoyado este encuentro de referencia para profesionales, académicos y empresas del ámbito de la contabilidad, auditoría, sostenibilidad y dirección financiera, consolidando nuestro compromiso con la innovación, la integridad y el desarrollo de conocimiento compartido.
Nuestro socio Agustí Mañosa de la firma GFS Auditors, formó parte del Comité Organizador, contribuyendo activamente a diseñar una agenda que combinó ponencias técnicas, mesas redondas y espacios de networking con un enfoque abierto a los retos actuales y futuros de la profesión.
Temas clave: sostenibilidad, IA y ética profesional
Durante las dos jornadas, se abordaron cuestiones tan relevantes como:
- La evolución de la contabilidad en un entorno tecnológico.
- La auditoría como garante de transparencia y confianza.
- La sostenibilidad como pilar estratégico para las organizaciones.
- La ética y la responsabilidad profesional ante nuevos desafíos.
Para ADN&GRM Audit, estar presentes y colaborar en este tipo de iniciativas es una oportunidad para sumar conocimiento, compartir experiencia y fortalecer alianzas con otros actores del sector.
