Pentests:
proteja su empresa
contra los ciberataques

Con las pruebas de penetración, también llamadas pentests, nuestros expertos en seguridad simulan ciberataques a la infraestructura informática de las empresas. De este modo, le mostramos las formas prácticas y realistas en las que los hackers penetran en los sistemas, y así usted puede cerrar las vulnerabilidades en una etapa temprana y prevenir una emergencia.

¿Para qué sirven los Pentests?

Como prueba de resistencia para la infraestructura informática, el pentesting ayuda a probar la propia ciberseguridad y a descubrir posibles puntos de ataque. Las empresas reciben información experta e imparcial sobre sus procesos de seguridad y, por tanto, una importante ayuda en la toma de decisiones para una mayor optimización.

Las auditorías de seguridad pueden costar tiempo y dinero, pero el esfuerzo es desproporcionado comparado con un incidente de seguridad real, que generalmente resulta en costos considerables, así como un daño a la reputación de la empresa. Los ataques simulados de hackers dan resultado: cuanto antes se conozcan los daños, menor será el impacto.

Las pruebas de penetración periódicas también permiten a las empresas cumplir con los requisitos de las cada vez más importantes certificaciones de seguridad.

Sus principales ventajas

Claridad sobre su propia situación de seguridad informática

Detección temprana y cierre de vulnerabilidades

Ayuda en la toma de decisiones sobre la optimización de la estrategia de seguridad

Cumplimiento de las normas de certificación en el ámbito de seguridad informática

Implementación profesional y realista gracias a una larga experiencia

Posible combinación con otros módulos de nuestras alianzas de ciberseguridad

Los 3 tipos de Pentests que debería conocer

Pentest de caja blanca

En una prueba de penetración de caja blanca, usted proporciona a nuestros expertos en seguridad informática toda la información necesaria sobre las estructuras informáticas de su empresa por adelantado. Sus empleados son informados proactivamente sobre la ejecución del pentest.

Pentest de caja negra

En cambio, la prueba de penetración de caja negra se realiza sin información previa sobre los sistemas informáticos que se van a probar. El objetivo es simular el método de ataque de un hacker de la forma más realista posible. Nuestros expertos en seguridad informática intentan primero, recopilar ellos mismos la información que usted revelaría para una prueba de penetración de caja blanca.

Pentest de caja gris

La prueba de penetración de caja gris combina las dos variantes anteriores y presenta un escenario de hacker particularmente auténtico. Nuestros expertos sólo reciben información fragmentaria sobre los sistemas informáticos del cliente y ellos mismos determinan el resto de los datos. Sólo después, los encargados de los pentests recibirán información detallada sobre la infraestructura informática, así como los datos de acceso seleccionados. El enfoque combinado resulta especialmente eficaz en comparación con la variante de caja negra, solicitada con frecuencia.

Alcances de una prueba de penetración

Desde la recopilación de información hasta la verificación, una prueba de penetración en la DGC se lleva a cabo en seis fases. Antes del inicio y como parte del lanzamiento, se definirán los requisitos y objetivos básicos del Pentest.

En función de sus necesidades, simularemos diferentes escenarios y procedimientos. Por ejemplo, se puede planificar una prueba de penetración junto con su equipo interno. Una alternativa sería el llamado «escenario del aprendiz», donde uno de nuestros analistas de sistemas informáticos realiza una prueba de penetración de forma encubierta en su empresa, sin que los empleados sean informados. De esta forma, también se puede comprobar el componente humano de la seguridad informática, la llamada ingeniería social.

Pentesting – el proceso explicado en 6 pasos

Fase 1: recopilación de la información

En la primera fase del pentest, se recopilará información accesible sobre la empresa, tanto interna como externa. Para comprobar la infraestructura externa, se examinan todos los componentes del sistema a los que se puede acceder desde internet. Entre éstos se encuentran: dominios, rangos de direcciones IP, servidores de correo, firewalls, routers, servidores FTP y otros servicios accesibles desde la red. En el caso de la infraestructura informática interna, el tráfico de datos se analiza con la ayuda de software de „sniffing“ para sacar conclusiones sobre las zonas de red, los dispositivos y los servidores disponibles.

Fase 2: prueba activa de la infraestructura informática

Los conocimientos obtenidos en la fase 1 serán utilizados para comprobar activamente la infraestructura informática. Esto se hace a través del llamado Fingerprinting, también conocido como Footprinting: con la ayuda de la información, los registros de datos se correlacionan para identificar -con un alto grado de probabilidad- la versión y el estado de los parches de los servicios de red, los sistemas operativos, las aplicaciones de software y las bases de datos. El procedimiento también permite sacar conclusiones sobre las configuraciones actuales.

Fase 3: análisis de vulnerabilidades

Los resultados del Fingerprinting se utilizarán específicamente para identificar vulnerabilidades en los sistemas y aplicaciones de la empresa contratante. En la DGC, lo hacemos utilizando nuestro propio escáner de vulnerabilidades cyberscan.io®. Además, se consulta información de bases de datos de libre acceso en internet, en las que se catalogan vulnerabilidades.

Fase 4: explotación de las vulnerabilidades de seguridad

Las vulnerabilidades identificadas se explotarán, específicamente, para obtener acceso a los sistemas de la empresa. Si el pentester penetra en los sistemas, se recogerán los llamados artefactos. Éstos sirven de base para la presentación posterior, así como para el informe de seguridad informática. Por supuesto, la información altamente sensible sólo se documentará en consulta con el cliente y se tratará de forma estrictamente confidencial. La fase 4 sólo se realiza, por lo general, a petición del cliente, ya que en determinadas circunstancias los sistemas críticos podrían verse afectados. Si se acuerda, se atacarán sistemáticamente sistemas seleccionados o representativos (exploit).

Fase 5: presentación de las brechas y soluciones

A lo largo de las fases anteriores, se crea una visión detallada de todos los sistemas identificados, incluyendo las brechas de seguridad y las posibles soluciones. Si se llevaron a cabo actividades durante la fase 4, los artefactos serán presentados al cliente durante una reunión. También se explicará la explotación de las vulnerabilidades de seguridad que se realizó. Además, el cliente recibirá un informe de pentest en el que se documentarán y resumirán, por escrito, los resultados y todo el proceso.

Fase 6: repenetración

Un solo pentest no basta para poder hacer aseveraciones válidas sobre el nivel de seguridad a largo plazo de los sistemas probados. Esto se debe a que las técnicas de los posibles atacantes evolucionan rápidamente: casi a diario se informa de nuevas vulnerabilidades en las aplicaciones y sistemas informáticos actuales. En casos extremos, debido a una nueva vulnerabilidad de seguridad, un ciberataque puede ocurrir inmediatamente después de la realización de una prueba de penetración. Por lo tanto, recomendamos realizar una nueva prueba después de un período de tiempo definido. Nuestro software cyberscan.io® también puede utilizarse para realizar pruebas continuas de la infraestructura informática.

¿Cuánto cuesta una prueba de penetración?

Menos de lo que se imagina

Pentest remoto

Si lo desea, las pruebas de penetración internas también se pueden llevar a cabo de forma remota, rentable y sostenible gracias a nuestro DGCBOX. Si está interesado, ¡póngase en contacto con nosotros!

FAQ

FAQ Pentests

¿Qué hace un Pentester?

Las empresas contratan a un pentester para que realice análisis de seguridad de sistemas y redes desde la perspectiva de un atacante. Para burlar las medidas de seguridad existentes, recurre a tácticas y técnicas reales utilizadas por los ciberdelincuentes. El objetivo es revelar las vulnerabilidades no descubiertas en la infraestructura informática y mostrar cómo se pueden solucionar. El procedimiento de un pentester en este tipo de auditoría de seguridad informática se realiza siempre en estrecha coordinación con la empresa contratante y en escenarios y fases predefinidos.

¿Qué es un informe de pentest?

Los resultados de una prueba de penetración se resumen en un informe de pentest. En general, el informe consta de dos secciones. El informe principal contiene los resultados más relevantes de un pentest, categorizados y evaluados individualmente.  Además de una visión general y un perfil de riesgo, la información técnica sobre las vulnerabilidades encontradas se resume de forma específica para cada tema y, si se considera útil, se enriquece con tácticas aplicadas. Adicionalmente, se describen lineamientos de acción para las distintas vulnerabilidades. Las medidas recomendadas pretenden mostrar cómo solucionar los problemas de seguridad.

Una segunda parte del informe enumera los datos generales, es decir, todos los sistemas y vulnerabilidades encontrados en la prueba. Gracias a la visión general y a las descripciones detalladas de las vulnerabilidades, las empresas recibirán un apoyo bien fundado para optimizar su propia ciberseguridad.

¿Quiere saber más sobre las pruebas de penetración?

Contáctenos – Será un placer asesorarle.

Su género*
Consentimiento*
Este campo es un campo de validación y debe quedar sin cambios.