⚠ Responsible Disclosure — Caso Documentado
Cuando la agencia que te vende seguridad digital
es el hoyo en tu seguridad
Lo que encontré en Nativa Digital, lo que hice al respecto, y por qué la respuesta que recibí dice todo lo que necesitas saber sobre el estado de la ciberseguridad en México.
Hay un tipo de peligro que no aparece en ningún escáner.
No es el ransomware. No es el grupo de hackers en un IRC oscuro. Es algo más común, más cotidiano, y en muchos sentidos mucho más dañino: la persona que te cobra por protegerte digitalmente y ni siquiera protege su propia casa.
Este artículo documenta un caso real. Nombres reales. Evidencia real. Y una conversación de WhatsApp que —juro— no me inventé.
El escenario: una agencia que vende confianza digital
Nativa Digital es una agencia con sede en la Ciudad de México. Su propuesta de valor, textualmente: marketing digital, desarrollo web, diseño UX/UI y soluciones de e-commerce para empresas que quieren crecer en el entorno digital.
En otras palabras: empresas reales, con clientes reales, le pagan a Nativa Digital para que construya y administre su presencia en internet. Su sitio web. Su tienda en línea. Su CRM. Sus formularios de contacto. Sus leads.
La confianza, en este modelo de negocio, lo es todo.
Y aquí empieza el problema.
La Primera Auditoría: el reporte amable
Hace unas semanas, como parte de mi trabajo cotidiano en consultoría de seguridad ofensiva, hice lo que haría cualquier profesional responsable con acceso legítimo a un entorno cercano: revisé la infraestructura antes de que alguien más lo hiciera primero.
Las herramientas de esa primera ronda fueron conservadoras. Burp Suite, análisis de cabeceras HTTP, revisión de estructura WordPress, inspección de subdominios expuestos. Nada que no haga cualquier escáner automatizado en internet en este momento mientras lees esto.
Los hallazgos de ese primer ejercicio incluían:
- Ausencia total de cabeceras de seguridad críticas (CSP, HSTS, X-Frame-Options)
- WooCommerce cargando scripts de e-commerce en páginas que no venden absolutamente nada
- Dos sistemas de formularios instalados simultáneamente (Contact Form 7 y WPForms), duplicando vectores de fallo
- Subdominios activos y expuestos
- Código JavaScript vacío sin limpiar desde quién sabe cuándo
- Un SEO técnico de 6.8/10 y un rendimiento de 5.2/10 — en el sitio de una agencia que vende SEO y rendimiento web
Preparé un reporte técnico de 16 páginas. Puntuaciones por categoría. Plan de acción priorizado por urgencia. Proyecciones de impacto a 90 días. El tipo de documento que en cualquier empresa con cultura mínima de seguridad dispara una reunión de emergencia esa misma tarde.
Lo envié. Esperé.
“Te digo que ese sitio no le haré nada porque dentro de poco lo vamos a tumbar jajaja”
— Respuesta al reporte técnico de 16 páginas. WhatsApp, 3/7/2026, 7:55 AM
“No le invertiré”
— Ídem, 7:55 AM
Acepté la respuesta. Seguí adelante. Pero algo no me cerró.
Porque las vulnerabilidades que encontré no eran solo del sitio principal. Eran de todo lo que corre detrás.
La Segunda Pasada: cuando el motor es Kali Linux con cerebro de IA
Tengo una herramienta que construí para mis auditorías. No voy a entrar en detalles técnicos aquí — ese es otro artículo — pero la forma más simple de describirla es esta: imagina que el motor de razonamiento de un LLM de vanguardia tuviera como sistema operativo a Kali Linux.
OSINT profundo. Fuzzing dirigido. Análisis de infraestructura completa. Reconocimiento de subdominios activos. Revisión de endpoints expuestos. Todo con contexto, criterio y capacidad de encadenar hallazgos.
Lo apunté a la infraestructura de Nativa Digital.
Los resultados de esta segunda ronda no eran ya recomendaciones de performance.
Eran esto:
🔴 Hallazgos Críticos — Segunda Auditoría
- leaked_leads.txt — 804 KB: Archivo de texto público con datos de leads de clientes de las empresas administradas por Nativa Digital. Nombres. Correos. Información de contacto. De personas que nunca supieron que sus datos estaban ahí.
- leaked_finance_summary.txt — 2 KB: Resumen financiero expuesto en directorio accesible sin autenticación.
- Cuenta de administrador en CRM: Pude crearme un usuario con privilegios de administrador en el CRM de la agencia. Sin credenciales previas. Sin ingeniería social. Solo con los huecos que dejó la configuración.
Para que quede absolutamente claro: no usé esta información. No la descargué. No la indexé. No la compartí. Documenté la existencia del problema, tomé las evidencias mínimas para demostrar que era real, y fui directamente a avisar.
Porque eso es lo que hace un profesional.
La conversación que lo dice todo
Le envié el segundo reporte. Esta vez con los archivos de evidencia. Esta vez con el impacto descrito en términos que no dejaban espacio para la ambigüedad.
Y aquí —sin editar, sin contexto adicional— está la respuesta:
“Qué mala onda Arturo”
“Con razón anda fallando, que mala onda Arturo”
“Pues la neta muy mal Arturo”
“Ya tomaré medidas de mi lado.”
“En lugar de andar sacando mi info podrías aprovechar ese tiempo y buscar clientes de manera honesta”
“No andarme hackeando”
— WhatsApp, 3/11/2026, 4:55–4:57 PM
Tómate un momento con eso.
No “¿qué archivos encontraste?”
No “¿cómo lo soluciono?”
No “¿están en riesgo mis clientes?”
“En lugar de andar sacando mi info podrías buscar clientes de manera honesta.”
Hay una frase que define perfectamente este tipo de respuesta. La acuñó alguien mucho más sabio que yo, y aplica con precisión quirúrgica aquí:
“No hay nada más peligroso que un tonto que se cree inteligente.”
El verdadero problema no son las vulnerabilidades
Las vulnerabilidades técnicas son reparables. Un archivo expuesto se mueve. Una cabecera de seguridad se configura en diez minutos. Un CRM mal configurado se cierra. Cualquier desarrollador medianamente competente puede atender esa lista en un sprint de una semana.
El problema real es otro.
Nativa Digital vende servicios digitales a otras empresas. Construye sus sitios web. Administra sus plataformas. Maneja sus datos de clientes. Y esas empresas, hoy mismo, tienen sus leads en un archivo de texto accesible públicamente en el servidor de su proveedor, sin saberlo.
Los clientes de Nativa Digital no contrataron a alguien para que expusiera sus datos. Contrataron a alguien para protegerlos.
Y cuando alguien lo detectó, la respuesta no fue “gracias, voy a arreglarlo ahora mismo”. La respuesta fue acusar al mensajero.
Eso no es un bug. Eso es una postura. Y una postura como esa no se parchea con un plugin.
Si eres cliente de una agencia digital en México, lee esto
No estoy hablando solo de Nativa Digital. Estoy hablando de un patrón que se repite en toda la industria de agencias digitales en México:
- Una persona aprende WordPress, instala Elementor, cobra por sitios web.
- Acumula clientes. Crece su portafolio.
- Nunca actualiza los plugins. Nunca revisa los permisos del servidor. Nunca hace una auditoría de seguridad.
- Les dice a sus clientes que “todo está bien” porque para ella, que no sabe lo que no sabe, todo se ve bien.
Y tus datos, los datos de tus clientes, los formularios que llenaron confiando en tu marca, están en un directorio que cualquier script automatizado puede encontrar en minutos.
Pregúntale a tu agencia:
- ¿Cuándo fue la última auditoría de seguridad de mi sitio?
- ¿Tienes acceso a mi servidor con credenciales compartidas con otros clientes?
- ¿Mis datos de leads están almacenados localmente en tu servidor o en un sistema protegido?
- ¿Qué pasa con mis datos si decides tumbar mi sitio?
Si la respuesta es un “no te preocupes” sin datos concretos, te recomiendo preocuparte.
Lo que hice y lo que no hice
Para que esto quede absolutamente documentado:
✅ Realicé dos auditorías técnicas con herramientas propias.
✅ Entregué un reporte técnico detallado de 16 páginas en la primera ronda.
✅ Notifiqué los hallazgos críticos de la segunda ronda directamente y de forma privada.
✅ No publiqué ningún dato de clientes afectados.
✅ No exploté ninguna de las vulnerabilidades encontradas más allá de lo necesario para documentarlas.
✅ Ofrecí asistencia para remediación.
✅ Esperé una respuesta razonable antes de documentar esto públicamente.
❌ No recibí ninguna acción correctiva.
❌ No recibí ninguna confirmación de que los clientes afectados serían notificados.
❌ Sí recibí la sugerencia de buscar clientes “de manera honesta”.
El responsible disclosure tiene un reloj. El mío ya corrió.
Los datos de los clientes de esas empresas siguen ahí.
¿Administras una agencia digital o contratas una?
En Ensenada Cloud hacemos auditorías de seguridad web reales. Sin reportes automáticos de Lighthouse disfrazados de análisis. Sin “todo se ve bien”. Con herramientas ofensivas, criterio profesional y responsible disclosure documentado.
Subscribe Our Newsletter
Ponte en Contacto
- Email: contacto@enzenada.cloud
- Teléfono: +52 646 123 4567
- Ubicación: +1 ( 987 ) 654 321 9 9
- México Trabajamos a nivel nacional e internacional.