Cuando la Camiseta Vale Más que el Conocimiento
Hay una historia que llevamos meses queriendo contar. No es una leyenda urbana. No es un "amigo de un amigo". Es la historia real de nuestro CEO, Antonio Postiguillo Moscardó —ToniPostis para quien lo sigue en redes— y de cómo una de las cadenas de perfumerías más grandes de España le ignoró durante más de 3 semanas, le despidió por insistir, y días después vio sus datos de clientes circular por Internet.
Para entenderla, hay que conocer primero a la persona.
Fundador y CEO de InnovaIA, la consultora de inteligencia artificial y ciberseguridad ofensiva con sedes en Córdoba (Argentina) y Xàtiva, Valencia (España). Máster en Inteligencia Artificial. Experto en pentesting, hardening de servidores, automatización RPA y desarrollo de agentes IA autónomos. Pero sobre todo: alguien que no se conforma con ver las cosas desde fuera. Cuando quiere entender cómo funciona algo, se mete dentro.
La Decisión: Desconectar para Conectar
Corría finales de 2025. Nuestro CEO llevaba meses intensos entre proyectos de IA, auditorías de seguridad y el crecimiento de InnovaIA. Problemas personales que no vienen al caso, pero que cualquiera que haya construido algo desde cero entiende. Necesitaba desconectar de las pantallas.
Y entonces tomó una decisión que pocos CEOs tomarían: se apuntó a una ETT en España y dejó que le asignaran lo que saliera. No por necesidad económica —InnovaIA facturaba y crecía— sino por una mezcla de curiosidad intelectual y necesidad de resetear la cabeza. Tras años diseñando sistemas de IA para optimizar empresas, quería ver desde dentro cómo funcionaba realmente una gran empresa de logística. Sin filtros. Sin PowerPoints. Sin visitas guiadas de 2 horas. Manos en la masa. 4 meses.
La ETT le asignó destino: Druni, sede Carlet, Valencia. Un centro logístico enorme. Cientos de trabajadores. Miles de pedidos diarios. Decenas de ordenadores. Y —como descubriría pronto— cero conciencia de seguridad.
Lo Que Vio Desde Dentro: Una Bomba de Relojería
Antonio aceptó el puesto. Su misión: trabajo de almacén, como uno más. Pero sus ojos —los ojos de alguien que ha auditado decenas de empresas y conoce cada vector de ataque— empezaron a ver cosas que al resto le pasaban desapercibidas.
# Segregación de red — INEXISTENTE
Los servidores donde se procesaban datos de clientes (nombre, DNI,
dirección, teléfono, email) estaban en la misma red que los
ordenadores del almacén usados por trabajadores temporales.
# Acceso a Internet sin restricciones
Cualquier trabajador podía navegar, descargar archivos, ver YouTube
o acceder a cualquier web desde los terminales del almacén.
# Sin control de dispositivos USB
Los puertos USB estaban habilitados. Cualquiera podía conectar
un pendrive y extraer —o introducir— lo que quisiera.
# Sin segmentación WiFi/LAN
La red corporativa y la red de invitados/operaciones compartían
infraestructura sin aislamiento real.
# CONCLUSIÓN: Superficie de ataque MÁXIMA con defensa MÍNIMA
Una Noche, Algo Pasó
Una noche, durante su turno, notó algo raro en el ordenador que estaba usando. Comportamiento anómalo en el sistema. Procesos que no deberían estar ejecutándose. Conexiones salientes sospechosas. Las señales que cualquier profesional de ciberseguridad reconoce al instante: alguien estaba dentro de la red.
Antonio alertó inmediatamente a su encargado de turno. Le ignoraron.
Volvió a intentarlo al día siguiente. Le dijeron que no era su trabajo.
Pidió hablar con el jefe inversor de la sede de Carlet. Se lo concedieron. Le explicó quién era realmente —experto en ciberseguridad y CEO de InnovaIA— y lo que estaba pasando en sus sistemas. Le miraron con escepticismo.
La Entrevista que lo Dijo Todo
Cuando por fin consiguió que le hicieran caso —o algo parecido—, le pasaron con el informático de la empresa. Esperaba una conversación técnica. Esperaba que le preguntaran qué había visto, qué recomendaría, cómo podían proteger sus sistemas.
En lugar de eso, le hicieron 4 preguntas absurdas de cultura general informática. "¿Sabes qué es VMware Workstation?" y otras trivialidades por el estilo. Como si estuvieran evaluando a un becario recién salido de la ESO, en lugar de escuchar a alguien que les estaba diciendo que tenían un atacante dentro de su red.
Ese fue el momento en que lo entendió todo: no le estaban tomando en serio porque en su camiseta ponía el logo de una ETT. Porque había entrado por la puerta de atrás, no por la alfombra roja de consultoría. Porque su aspecto era el de un trabajador de almacén, no el de un CEO con traje y corbata.
El Despido: Castigado por Decir la Verdad
Y entonces ocurrió lo que ocurre en demasiadas empresas cuando alguien señala un problema: en lugar de solucionar el fallo, solucionan al mensajero.
Antonio fue despedido. Después de 4 meses currando, después de más de 3 semanas insistiendo —encargado, inversor, informático, jefe del jefe—, después de ofrecer su ayuda gratuitamente para proteger los datos de millones de clientes... le dieron la patada.
Él solo quería ayudar. No pidió dinero. No pidió reconocimiento. Solo quería evitar lo que sabía que iba a pasar. Y por eso le echaron.
Este es el patrón real del mundo corporativo. No es Hollywood donde el héroe es escuchado y aplaudido. En la vida real, al que advierte le echan. Al que señala el agujero le culpan del agujero. Y luego, cuando los datos aparecen en Twitter, se hacen los sorprendidos.
El Caos que Nadie Contó: Pedidos Sin Entregar, Cero Comunicación
Pero la filtración de datos no fue lo único que pasó. Durante días, los pedidos dejaron de llegar a los clientes. El sistema logístico de Druni colapsó. Los proveedores no recibían notificaciones. Los clientes esperaban sus perfumes, sus cosméticos, sus productos de higiene... y no llegaba nada.
¿La razón? Druni no notificó a nadie. Ni a los proveedores, que seguían sin saber por qué sus envíos no se procesaban. Ni a los clientes, que se quedaban sin sus pedidos y sin explicación. Ni a los trabajadores —los mismos que estaban allí cada día— de que sus datos personales, los que la empresa tenía en sus sistemas de RRHH, también se habían filtrado.
Ni una sola comunicación. Ni un correo. Ni un comunicado interno. Ni una llamada. Los trabajadores de Druni se enteraron de que sus datos estaban expuestos por Twitter. Igual que los clientes. Igual que todo el mundo.
Esto no es solo un fallo de seguridad. Es una violación del RGPD. El Reglamento General de Protección de Datos obliga a cualquier empresa que sufre una brecha de datos personales a notificarlo a la autoridad de control (la AEPD en España) en un plazo máximo de 72 horas. Y si la brecha supone un alto riesgo para los afectados, también están obligados a comunicárselo a ellos.
Druni no hizo ni una cosa ni la otra.
El Desenlace: Lo que Todos Vimos en Twitter
Días después del despido de Antonio, la bomba estalló. Exactamente como él había advertido durante semanas:
🐦 @EnemigoAnonimo_ en X:
"Si eres cliente de Druni, esta gente ha robado tu nombre, apellidos, DNI, dirección, teléfono..."
Nombre. Apellidos. DNI. Dirección. Teléfono. Los datos más sensibles que un ciudadano puede confiar a una empresa. Expuestos. Circulando. Porque durante más de 3 semanas, nadie en Druni fue capaz de escuchar al tipo de la ETT que —oh, casualidad— resultó ser fundador y CEO de una consultora de ciberseguridad ofensiva. Y cuando más insistió, le despidieron.
El Patrón: De Druni a Orange, la Misma Ceguera
Lo de Druni no es un caso aislado. Es un comportamiento sistémico que hemos visto repetirse en empresas de todos los tamaños. El caso de Orange España es el ejemplo más brutal a escala nacional:
Orange España (3 Enero 2024): Cómo Tumbar un Gigante con Una Contraseña
A las 15:20 de la tarde, Orange España —segundo operador móvil del país— se quedó sin Internet a nivel nacional. Millones de clientes sin servicio durante más de 4 horas. ¿El motivo? Alguien encontró la contraseña ripeadmin en una filtración pública de credenciales y entró en el panel de RIPE NCC, el registrador europeo de recursos IP.
Una vez dentro, el atacante manipuló los ROA (Route Origin Authorization) del sistema RPKI —la herramienta diseñada precisamente para proteger el enrutamiento de Internet— y la convirtió en un arma. Publicó ROA maliciosos con un ASN falso (AS49581) para bloques masivos de direcciones IP de Orange. Los operadores de backbone que aplican validación RPKI rechazaron las rutas. La red nacional se desplomó.
# Vector de entrada:
Contraseña
ripeadmin encontrada en brechas de datos públicas.Sin autenticación de dos factores (2FA/MFA).
Orange nunca había creado un solo ROA propio antes del ataque.
# Secuencia del ataque:
09:28 UTC — Acceso al panel RIPE con credenciales filtradas
09:42 UTC — Publicación de ROA maliciosos (
AS49581 → origen falso)14:20 UTC — Escalada: ROA para dos bloques
/12~1.800 rutas BGP invalidadas
Tráfico cae >50%
14:20-18:00 UTC — Caída masiva a nivel nacional
18:00 UTC — Orange recupera control. Restauración progresiva.
# Impacto:
Millones de usuarios sin Internet durante 4+ horas.
Daño reputacional irreversible.
ROA falsos persistieron días después del ataque.
📎 Fuente: LACNIC — Análisis del ataque a Orange España
Y al igual que Druni, Orange seguramente tenía a alguien que "se encargaba de eso". El problema no es no tener a nadie. El problema es creer que con tener a alguien ya estás protegido.
La Lista de la Vergüenza: Más Casos, el Mismo Patrón
Uber (2016)
Hacker adolescente accede a sistemas internos de Uber con credenciales encontradas en GitHub. Avisa por Slack a los empleados de que tienen un agujero de seguridad. Uber le paga 100.000 dólares para ocultarlo. En 2018 se hace público. Multa: 148 millones.
Equifax (2017)
Parche para Apache Struts (CVE-2017-5638) disponible desde marzo. Equifax no lo aplica. Mayo: atacantes explotan la vulnerabilidad. 147 millones de personas con sus datos expuestos. Multa: 700 millones de dólares.
INCIBE / Altos Cargos (Febrero 2026)
La ironía definitiva: el propio instituto nacional de ciberseguridad español sufre un ataque de doxing que expone datos de sus altos cargos. Febrero 2026.
Lo que Druni —y Cientos de Empresas como Ellas— Siguen sin Entender
Nuestro CEO no necesitaba ese trabajo de ETT. InnovaIA ya estaba facturando, los proyectos de IA crecían, la consultora se expandía a ambos lados del Atlántico. Aceptó ese puesto porque quería entender los engranajes reales de una operación logística, no la versión de PowerPoint. Su cerebro funciona así: si va a diseñar sistemas de IA para empresas, primero se mete dentro de una para verla desde las trincheras.
Lo que encontró fue un desprecio absoluto por la ciberseguridad que va mucho más allá de Druni. Es un problema cultural:
- El estigma de la ETT: Si entras por trabajo temporal, no importa lo que sepas. Eres "el de la ETT". Tu opinión no cuenta. El logo en tu camiseta vale más que tu máster.
- El ego del IT corporativo: "Si alguien de fuera —y encima un temporal— encuentra un fallo que yo no vi, quedo en evidencia." Defender el puesto por encima de defender la empresa.
- La falsa seguridad de "ya tenemos a alguien": Tener un departamento de IT no es tener seguridad. Es tener a alguien que mantiene las impresoras funcionando. La ciberseguridad ofensiva es otra disciplina completamente distinta.
- El prejuicio de la apariencia: Nuestro CEO llegó en vaqueros y camiseta de ETT, no en traje con maletín. Y por eso no le escucharon. Las apariencias engañan.
El Problema No Es Solo Druni: Es Sistémico
Cada semana recibimos consultas de empresas que han sido hackeadas. Y en la mayoría de los casos, la conversación empieza igual: "Ojalá os hubiéramos hecho caso antes."
No es casualidad. Es un problema estructural de cómo las empresas españolas —y por extensión, muchas empresas en todo el mundo— entienden la ciberseguridad:
- La ven como un gasto, no como una inversión.
- Confían en que "a mí no me va a pasar" hasta que pasa.
- Desprecian las alertas externas porque vienen de fuera —y si vienen de un trabajador temporal, el desprecio se multiplica.
- No entienden que un hacker ético no es una amenaza, es un aliado.
Antonio Postiguillo Moscardó —ToniPostis— estuvo 4 meses dentro de Druni, de los cuales pasó más de 3 semanas diciéndoles exactamente lo que iba a pasar. Habló con el encargado. Con el inversor. Con el informático. Con el jefe del jefe. Cuatro niveles jerárquicos. Cero acción. Y al final, despedido.
Días después, los datos de sus clientes circulando por Twitter.
Guía para Empresas: Cómo No Ser la Próxima Druni
Si eres responsable de una empresa y estás leyendo esto, no necesitas un máster en ciberseguridad. Necesitas sentido común y humildad:
- ✅ Escucha a quien te alerta: No importa si viene por ETT, por LinkedIn o por paloma mensajera. Evalúa lo que dice, no quién lo dice.
- ✅ Implementa MFA (autenticación multifactor) en TODO: Orange cayó por una contraseña. El 99% de los ataques de acceso inicial se evitarían con MFA.
- ✅ Segmenta tus redes: Los servidores con datos de clientes no pueden estar en la misma red que los terminales del almacén. Es de primero de seguridad.
- ✅ Restringe el acceso a Internet y USB: Si un trabajador de almacén puede descargar lo que quiera y conectar pendrives, la superficie de ataque es infinita.
- ✅ Pentesting externo periódico: No sirve hacerlo una vez. Los entornos cambian. Hazlo de forma continua.
- ✅ Programa de Bug Bounty o Responsible Disclosure: Publica un canal oficial para que investigadores de seguridad te reporten fallos sin miedo a represalias.
- ✅ No juzgues por la camiseta: El próximo trabajador temporal podría ser un CEO infiltrado, un investigador de seguridad, o simplemente alguien que ve algo que tú no ves. Escucha.
Pero la realidad es tozuda: el 60% de las pymes que sufren un ciberataque grave cierran en los 6 meses siguientes. El coste medio de una filtración de datos en España supera los 3 millones de euros. Y el tiempo medio para detectar una brecha es de 207 días — más de medio año con un atacante campando a sus anchas por tu red.
La diferencia entre una empresa segura y una empresa hackeada no es el presupuesto. Es la humildad de reconocer que eres vulnerable.
La Política de InnovaIA: Ayudamos por Respeto. Si No Escuchan, Denunciamos.
Después de lo de Druni, en InnovaIA tomamos una decisión. Ya no nos limitamos a advertir. Ahora, si una empresa hace oídos sordos a vulnerabilidades críticas que ponen en riesgo datos de ciudadanos, denunciamos.
No es venganza. Es responsabilidad. Si una empresa no quiere escuchar cuando le decimos que los datos de sus clientes están expuestos, entonces que escuche a la Agencia Española de Protección de Datos (AEPD). Las multas por no proteger datos personales pueden alcanzar los 20 millones de euros o el 4% de la facturación anual. Y por no notificar una brecha, otros 10 millones adicionales.
Nosotros ayudamos. Muchas veces gratis. Sí, gratis. Por respeto a los dueños de las empresas que conocemos el esfuerzo y sacrificio que hay detrás de cada negocio. Sabemos lo que cuesta levantar una empresa desde cero porque nosotros lo hemos hecho. No te cobramos por señalarte un fallo. Te cobramos por arreglarlo. Y si no puedes pagar, igual te ayudamos. Porque preferimos un ecosistema digital seguro a una factura.
Pero si nos tratas como Druni trató a nuestro CEO —con desprecio, con prepotencia, con un "eso ya lo lleva nuestro departamento de IT" mientras los datos de tus clientes están a punto de aparecer en Twitter—, entonces la próxima conversación la tendrás con la AEPD.
✅ Ayudamos a empresas que quieren protegerse — gratis si hace falta.
✅ Respetamos el esfuerzo de cada emprendedor que ha construido su negocio.
✅ Detectamos, informamos y solucionamos.
❌ Pero si nos ignoras y pones en riesgo a tus clientes... denunciamos.
La ciberseguridad no es un lujo. Es una obligación legal y moral.
¿Tú Qué Harías?
Pongámonos en situación. Eres el responsable de una empresa. Un trabajador temporal —con camiseta de ETT y todo— te dice que ha encontrado fallos graves de seguridad en tus sistemas. Te explica que es experto en ciberseguridad, que tiene un máster en IA, que es CEO de una consultora tecnológica. Te dice que te puede ayudar.
¿Le escuchas? ¿O haces como Druni?
Porque la respuesta a esa pregunta define lo que va a pasar después. Si le escuchas, quizás descubras que tienes un problema y lo soluciones a tiempo. Si le ignoras —y peor aún, si le despides—, quizás dentro de unas semanas seas tú el que aparece en Twitter. O en la AEPD. O en ambos sitios.
Antonio Postiguillo Moscardó solo quería ayudar. Terminó despedido. Los datos de los clientes de Druni terminaron filtrados. Tú decides qué final quieres para tu historia.
Hoy Druni sigue operando. Sus tiendas siguen abiertas. Pero los datos de sus clientes —nombre, DNI, dirección, teléfono— ya no les pertenecen. Están en manos de quien sabe quién. Y todo porque durante 4 meses, cuatro niveles jerárquicos distintos fueron incapaces de escuchar al tipo de la ETT. Y cuando este insistió demasiado, lo despidieron.
A veces las apariencias engañan. Detrás de una camiseta de trabajo temporal puede estar el CEO de una consultora de ciberseguridad con máster en inteligencia artificial. Y si esa persona te dice que algo va mal en tus sistemas, quizás —solo quizás— deberías escucharle.
Porque como demuestra esta historia, el precio de no hacerlo se mide en datos de clientes filtrados, en millones de euros en pérdidas, y en una reputación que ya no se recupera.
¿Crees que tu empresa está realmente protegida?
No esperes a ser la próxima Druni. No esperes a que tus datos aparezcan en Twitter.
Solicita una Auditoría de Seguridad →
📚 Referencias y fuentes:
🐦 @EnemigoAnonimo_ — Filtración de datos de clientes de Druni →
🔬 LACNIC — Análisis forense del ataque BGP/RPKI a Orange España →
📰 El País — Orange sufre caída de Internet en toda España →
🛡️ Vumetric — BGP Havoc: Orange Spain RIPE Account Hijack →
🏛️ Digital Perito — Hackeo y doxing a altos cargos de INCIBE (2026) →
📊 INCIBE — El 54% de pymes españolas ha sufrido un ciberataque →
