Pentests:
proteja su empresa
contra los ciberataques
Con las pruebas de penetración, también llamadas pentests, nuestros expertos en seguridad simulan ciberataques a la infraestructura informática de las empresas. De este modo, le mostramos las formas prácticas y realistas en las que los hackers penetran en los sistemas, y así usted puede cerrar las vulnerabilidades en una etapa temprana y prevenir una emergencia.
Para una protección informática integral, el pentesting deberá, idealmente, combinarse con otras medidas de seguridad informática, como la formación en materia de seguridad y nuestra herramienta de seguridad informática cyberscan.io®. En el marco de nuestras alianzas de ciberseguridad, esto es especialmente eficaz: con paquetes de soluciones personalizadas y nuestros propios productos, atendemos las necesidades de su empresa y garantizamos los más altos estándares de seguridad.
¿Para qué sirven los Pentests?
Como prueba de resistencia para la infraestructura informática, el pentesting ayuda a probar la propia ciberseguridad y a descubrir posibles puntos de ataque. Las empresas reciben información experta e imparcial sobre sus procesos de seguridad y, por tanto, una importante ayuda en la toma de decisiones para una mayor optimización.
Las auditorías de seguridad pueden costar tiempo y dinero, pero el esfuerzo es desproporcionado comparado con un incidente de seguridad real, que generalmente resulta en costos considerables, así como un daño a la reputación de la empresa. Los ataques simulados de hackers dan resultado: cuanto antes se conozcan los daños, menor será el impacto.
Las pruebas de penetración periódicas también permiten a las empresas cumplir con los requisitos de las cada vez más importantes certificaciones de seguridad.
Sus principales ventajas
Claridad sobre su propia situación de seguridad informática
Detección temprana y cierre de vulnerabilidades
Ayuda en la toma de decisiones sobre la optimización de la estrategia de seguridad
Cumplimiento de las normas de certificación en el ámbito de seguridad informática
Implementación profesional y realista gracias a una larga experiencia
Posible combinación con otros módulos de nuestras alianzas de ciberseguridad
Los 3 tipos de Pentests que debería conocer
DGC ofrece diferentes tipos de Pentest para verificar la seguridad de la infraestructura informática: caja blanca, caja gris y caja negra. Estos términos establecidos por la industria describen el nivel de conocimiento previo del pentester y el acceso otorgado para analizar los sistemas. En función de los objetivos y requisitos definidos por su empresa, actuaremos de manera abierta o encubierta. Al hacerlo procederemos de forma tan dinámica y oportunista como lo harían los ciberdelincuentes profesionales.
Pentest de caja blanca
En una prueba de penetración de caja blanca, usted proporciona a nuestros expertos en seguridad informática toda la información necesaria sobre las estructuras informáticas de su empresa por adelantado. Sus empleados son informados proactivamente sobre la ejecución del pentest.
Pentest de caja negra
En cambio, la prueba de penetración de caja negra se realiza sin información previa sobre los sistemas informáticos que se van a probar. El objetivo es simular el método de ataque de un hacker de la forma más realista posible. Nuestros expertos en seguridad informática intentan primero, recopilar ellos mismos la información que usted revelaría para una prueba de penetración de caja blanca.
Pentest de caja gris
La prueba de penetración de caja gris combina las dos variantes anteriores y presenta un escenario de hacker particularmente auténtico. Nuestros expertos sólo reciben información fragmentaria sobre los sistemas informáticos del cliente y ellos mismos determinan el resto de los datos. Sólo después, los encargados de los pentests recibirán información detallada sobre la infraestructura informática, así como los datos de acceso seleccionados. El enfoque combinado resulta especialmente eficaz en comparación con la variante de caja negra, solicitada con frecuencia.
Nuestra oferta de Pentest
Prueba de penetración interna o externa, pentest en aplicaciones web o análisis único de vulnerabilidades: para garantizar que no quede ninguna brecha de seguridad sin descubrir, nuestra oferta incluye varios tipos de pruebas de penetración. Éstas pueden combinarse en función del proyecto y de las necesidades. Nos encantará asesorarle.
¿Quiere poner a prueba la seguridad de sus sistemas y aplicaciones informáticas internas? En este caso, realizamos una prueba de penetración interna en su empresa (o a distancia). Nuestros expertos simulan un ciberataque para identificar los sistemas informáticos internos y sus vulnerabilidades.
La infraestructura interna incluye todos los activos que se encuentran en la red interna, incluidas las cámaras, los clientes, los servidores y los dispositivos periféricos. Estos activos son analizados en busca de vulnerabilidades y brechas de seguridad, en relación a protocolos, componentes de red, sistemas operativos y aplicaciones.
Como resultado, usted recibe a manera de informe de seguridad informática, todas las vulnerabilidades identificadas y su criticidad, así como las medidas de protección adecuadas. Si lo desea, podemos presentarle los resultados en persona.
¿Tiene una visión general de la seguridad de sus aplicaciones web? Si no es así, le convendría realizar un pentest de aplicaciones web. El enfoque es similar a una prueba de penetración externa y tiene como objetivo penetrar en su aplicación web como un ciberdelincuente.
El objetivo es identificar tantas vulnerabilidades como sea posible y explotarlas. Para ello, se analizan las distintas áreas de la aplicación web o la API en busca de las vulnerabilidades más comunes, como las inyecciones de SQL, el cross-site scripting (XSS) o el secuestro de sesión, mediante procedimientos de prueba manuales y semiautomatizados.
Como resultado, usted recibe a manera de informe de seguridad informática, todas las vulnerabilidades identificadas y su criticidad, así como las medidas de protección adecuadas. Si lo desea, podemos presentarle los resultados en persona.
Para nuestras pruebas de penetración de aplicaciones web, seguimos las directrices para las pruebas de seguridad de aplicaciones web de OWASP (Open Web Application Security Project), una reconocida organización independiente que promueve la seguridad de las aplicaciones web.
Si se quiere comprobar la seguridad de los sistemas de acceso público, se recomienda realizar un pentest externo. Nuestros expertos simulan un ataque cibernético desde el exterior e intentan penetrar en el sistema. Los posibles tipos de ataques simulados incluyen inyecciones de SQL, ataques XSS, suplantación de IP, sniffing, secuestro de sesión y ataques por desbordamiento de búfer.
A lo largo del pentest externo, se identificarán sus sistemas informáticos externos y sus vulnerabilidades. La infraestructura externa incluye todos los activos a los que se puede acceder desde Internet, como sitios web, cortafuegos y routers, así como servidores de correo, servidores FTP y sistemas de redes especialmente controlados (DMZ). Los activos revelados se analizan en busca de vulnerabilidades y brechas de seguridad, en relación a los protocolos, componentes de red, sistemas operativos y aplicaciones utilizados.
Como resultado, usted recibe a manera de informe de seguridad informática, todas las vulnerabilidades identificadas y su criticidad, así como las medidas de protección adecuadas. Si lo desea, podemos presentarle los resultados en persona.
Para obtener una visión rápida de las normas de seguridad informática existentes, DGC también ofrece exploraciones de vulnerabilidad únicas. Se trata de escaneos automatizados basados en direcciones IP, puertos y aplicaciones web. Los resultados son evaluados individualmente por nuestros expertos y, si es necesario, adaptados a su empresa en la evaluación de riesgos.
Como resultado, usted recibirá, en base a la herramienta, una visión general de todas las vulnerabilidades identificadas, incluyendo la clasificación de riesgos – una victoria rápida para optimizar su ciberseguridad actual.
Sin embargo, dado que los métodos de piratería informática evolucionan constantemente y que una sola prueba de penetración difícilmente permite hacer aseveraciones fiables sobre la seguridad informática a largo plazo, recomendamos programar una prueba de seguimiento. Nuestra herramienta de seguridad informática cyberscan.io® también puede utilizarse para analizar continuamente la infraestructura informática.
Pentest remoto
Si lo desea, las pruebas de penetración internas también se pueden llevar a cabo de forma remota, rentable y sostenible gracias a nuestro DGCBOX. Si está interesado, ¡póngase en contacto con nosotros!
Procedimiento de una prueba de seguridad de DGC
Desde la definición de los objetivos y requisitos básicos hasta el análisis final, una prueba de penetración en DGC se desarrolla generalmente en cinco fases. Seguimos las normas de la Oficina Federal Alemana de Seguridad de la Información (BSI). Además, ofrecemos la repenetración como un paso estratégico más para proteger sus sistemas a largo plazo.
De acuerdo a sus necesidades, simulamos diferentes escenarios y procedimientos para su prueba de seguridad informática: tanto las pruebas de penetración de caja blanca, como las de caja negra y caja gris son posibles.
Por ejemplo, se puede planificar una prueba de penetración junto con su equipo interno. Una alternativa sería el llamado «escenario del aprendiz» donde uno de nuestros analistas de sistemas informáticos realiza la prueba de penetración de forma encubierta, sin que los empleados sean informados. De este modo, también se puede comprobar el componente humano de la seguridad informática, la llamada ingeniería social.
Pentesting – el proceso explicado en 5 pasos
Fase 1: Preparación
En la primera fase de una prueba de penetración, se definen los objetivos y requerimientos individuales de su empresa, el procedimiento previsto y las técnicas utilizadas. También se tienen en cuenta los requisitos legales y organizativos pertinentes, así como los posibles acuerdos contractuales de su empresa, para evitar posibles riesgos. A fin de tener una visión general común, nuestros expertos registran por escrito todos los detalles de la prueba de penetración.
Fase 2: Recopilación de información y evaluación
En la fase 2, se recopila toda la información accesible sobre el objetivo. Para analizar la infraestructura informática externa, se examinan todos los componentes del sistema a los que se puede acceder. En el caso de la infraestructura informática interna, se hace un inventario de todos los activos accesibles para sacar conclusiones sobre las zonas de red, los dispositivos y los servidores disponibles.
Los resultados se utilizan para comprobar la infraestructura informática. Esto se hace a través del fingerprinting, también llamado footprinting: con la ayuda de la información, los registros de datos se correlacionan para identificar la versión y el estado de los parches de los servicios de red, los sistemas operativos, las aplicaciones de software y las bases de datos. El procedimiento también permite sacar conclusiones sobre las configuraciones actuales. Los resultados del fingerprinting se utilizan para identificar vulnerabilidades en los sistemas y aplicaciones. En DGC, esto se hace con la ayuda de nuestro escáner de vulnerabilidad cyberscan.io®, entre otras cosas. También se utiliza información de bases de datos de libre acceso en Internet, en las que se catalogan las vulnerabilidades.
En resumen, en la fase 2 nuestros expertos obtienen una visión lo más completa posible del entorno del sistema que se va a comprobar, así como las probables vulnerabilidades y puntos de ataque.
Fase 3: Evaluación de la información/análisis de riesgos
La información obtenida sobre los sistemas que se van a probar se analiza y evalúa en detalle en la fase 3. Esta evaluación también incluye los objetivos acordados en la prueba de penetración, los riesgos potenciales para los sistemas y el esfuerzo estimado necesario para identificar posibles vulnerabilidades de seguridad en los próximos intentos de intrusión. A partir del análisis, nuestros expertos definen los objetivos de ataque concretos para la fase 4.
Fase 4: Intento de intrusión activa
En la fase 4, las vulnerabilidades identificadas se explotan específicamente para obtener acceso a su infraestructura. Si nuestros analistas de sistemas informáticos consiguen penetrar en los sistemas, se recogen los llamados artefactos. Éstos sirven de base para la presentación posterior, así como para el informe de seguridad informática de la fase 5. Por supuesto, la información altamente sensible sólo se documentará en consulta con su empresa y se tratará de forma estrictamente confidencial. La fase 4 sólo se lleva a cabo, por lo general, a petición del cliente, ya que en determinadas circunstancias, los sistemas críticos podrían verse afectados. Si se acuerda, se atacarán sistemáticamente sistemas seleccionados o representativos (exploit).
Fase 5: Análisis final
A lo largo de las fases anteriores, se crea una visión detallada de todos los sistemas identificados, las brechas de seguridad reveladas y las posibles soluciones. Estos resultados de la pentest, así como los riesgos resultantes para su empresa, le serán presentados en un informe final escrito, en el que también explicaremos cada uno de los pasos de la prueba. Si se llevaron a cabo actividades durante la fase 4, los artefactos podrían serle presentados en una reunión personal si lo desea. También se explicarán las explotaciones que se utilizaron.
Fase 6: Repenetración (opcional)
Un solo pentest es sólo una visión instantánea, y difícilmente permite hacer aseveraciones fiables sobre el nivel de seguridad a largo plazo de los sistemas analizados. Esto se debe a que las técnicas de los posibles atacantes evolucionan rápidamente: casi a diario se informa de nuevas vulnerabilidades en las aplicaciones y sistemas informáticos actuales. En casos extremos, un ciberataque puede incluso producirse inmediatamente después de la realización de una prueba de penetración, debido a una nueva vulnerabilidad de seguridad. Por lo tanto, recomendamos realizar una nueva prueba después de un período de tiempo definido. Nuestro software, cyberscan.io®, también puede utilizarse para realizar pruebas continuas de la infraestructura informática.
¿Cuánto cuesta una prueba de penetración?
Las pruebas de seguridad en forma de pentests cuestan menos de lo que se piensa y son muy flexibles en su alcance.
FAQ
¿Qué hace un Pentester?
Las empresas contratan a un pentester para que realice análisis de seguridad de sistemas y redes desde la perspectiva de un atacante. Para burlar las medidas de seguridad existentes, recurre a tácticas y técnicas reales utilizadas por los ciberdelincuentes. El objetivo es revelar las vulnerabilidades no descubiertas en la infraestructura informática y mostrar cómo se pueden solucionar. El procedimiento de un pentester en este tipo de auditoría de seguridad informática se realiza siempre en estrecha coordinación con la empresa contratante y en escenarios y fases predefinidos.
¿Qué es un informe de pentest?
Los resultados de una prueba de penetración se resumen en un informe de pentest. En general, el informe consta de dos secciones. El informe principal contiene los resultados más relevantes de un pentest, categorizados y evaluados individualmente. Además de una visión general y un perfil de riesgo, la información técnica sobre las vulnerabilidades encontradas se resume de forma específica para cada tema y, si se considera útil, se enriquece con tácticas aplicadas. Adicionalmente, se describen lineamientos de acción para las distintas vulnerabilidades. Las medidas recomendadas pretenden mostrar cómo solucionar los problemas de seguridad.
Una segunda parte del informe enumera los datos generales, es decir, todos los sistemas y vulnerabilidades encontrados en la prueba. Gracias a la visión general y a las descripciones detalladas de las vulnerabilidades, las empresas recibirán un apoyo bien fundado para optimizar su propia ciberseguridad.
¿Quiere saber más sobre las pruebas de penetración?
Contáctenos – Será un placer asesorarle.
"*" señala los campos obligatorios