Pentest

Introducción

¿Requiere de pentest?

¡Lo solucionaremos!

Todos los sistemas tienen vulnerabilidades. Vulnerabilidades que podrían aumentar el riesgo de filtraciones de datos si no se abordan. Un test de penetración, o pentest, encuentra las vulnerabilidades e identifica cuáles son las más críticas. Si tiene una idea de las vulnerabilidades del sistema, podrá priorizar más fácilmente los recursos para solucionarlas.

Contáctenos

¿Quieres saber más sobre nuestro servicio y nuestras soluciones? Contáctanos y te ayudaremos.

Contáctenos

esto es lo que obtienes

El mejor soporte en pentest

Además del hecho de que todos los sistemas tienen vulnerabilidades que es necesario identificar y eliminar, el trasfondo de la necesidad de una prueba de penetración puede provenir de requisitos externos de inversores, clientes, proveedores o como requisito para, por ejemplo, certificaciones. No importa de dónde provenga la necesidad, entendemos el requisito y podemos brindarle el mejor soporte para su pentest.

Contamos con sólida experiencia en diversos tipos de pruebas de penetración para empresas y organizaciones donde los encargos van desde pruebas en entornos más simples hasta otros muy complejos. Llevamos a cabo nuestras tareas con especialistas altamente experimentados de acuerdo con una metodología bien probada y diversas prácticas de la industria. Realizar pentests es un oficio y nuestros evaluadores asumen una gran responsabilidad personal para ofrecer siempre la más alta calidad.

Nuestro paquete estándar incluye reexámenes como parte de nuestra oferta. Hacemos esto para garantizar que las vulnerabilidades identificadas realmente se aborden. Una vez completada la prueba de penetración, presentamos un informe con resultados y recomendaciones que revisamos junto con usted.

Algunos de nuestros clientes

podemos testear esto

Nuestros pentest

Ningún entorno de TI de una empresa es igual. Por lo tanto, es importante que analicemos las condiciones y métodos junto con usted para llegar a una buena solución. Todos nuestros pentest tienen en común que seguimos los estándares y métodos de la industria de OSSTMM, OWISAM, OWASP, OASAM, ISSAF, NIST, ISACA, SANS, MITRE ATT&CK®. Realizamos pentest en aplicaciones web, aplicaciones móviles, infraestructura y API, pero también tenemos la opción de personalizar un pentest según sus necesidades.

Pentest para aplicación web

Una aplicación web, como un sitio de comercio electrónico, un sistema de reservas o un portal de clientes y proveedores, a menudo almacena y maneja información confidencial.

Al realizar un pentest en la aplicación, podemos encontrar vulnerabilidades que en muchos casos pueden explotarse para acceder a información confidencial o para obtener acceso de administrador a los sistemas subyacentes.

Beneficios de los pentest de aplicaciones móviles

Identifica formas de manipular el sistema.
Encuentra problemas de seguridad relacionados con las cookies
Encuentra configuraciones de seguridad mal configuradas
Probando la protección contra ataques de inyección

Pentest para aplicación móvil

Las vulnerabilidades en las aplicaciones móviles pueden dañar potencialmente tanto a las empresas como a los usuarios de dispositivos móviles.

Los ciberdelincuentes utilizan las vulnerabilidades de la aplicación móvil para obtener acceso a los activos de información de la empresa o como herramienta para difundir códigos maliciosos al usuario. Nuestra prueba de aplicaciones móviles proporciona información valiosa sobre las vulnerabilidades y los problemas de las aplicaciones. Estos conocimientos se utilizan principalmente para tapar agujeros de seguridad y así proteger la información del cliente y de la empresa.

Beneficios de las pruebas de penetración de aplicaciones móviles

Encuentra almacenamiento inadecuado de información confidencial
Encuentra configuraciones de seguridad mal configuradas
Identifica comunicación incorrecta o no cifrada
Identifica problemas con la autenticación.
Probando la protección contra ataques de inyección

Pentest para la infraestructura (Red)

Un pentest realizado en la infraestructura puede revelar qué partes de la red son vulnerables y pueden usarse como paso para acceder a un sistema subyacente.

Aquí podemos probar, entre otras cosas, servidores SQL, servidores y conexiones VPN, servidores de correo electrónico, firewalls, servidores de archivos y FTP, sistemas de terceros interconectados y otras entradas a la red y sistemas internos de la organización. Además, también podemos probar el sistema operativo del sistema informático e investigar y asesorar para configurarlo de forma segura (hardening).

Beneficios de la infraestructura de pentest

Encuentra y prueba vulnerabilidades CVE
Identifica fallas en las configuraciones del firewall
Identifica lo que puede hacer un atacante si está en la red interna o ingresa a la red a través de una conexión VPN

Pentest para API

Se utiliza una API (interfaz de programación de aplicaciones) para permitir que las aplicaciones se comuniquen entre sí.

Ejemplos de este tipo de conexiones son entre el sitio web de la empresa y el sistema CRM, la herramienta de análisis, el sistema de pago o el formulario externo. Nuestro pentest de API prueba si la API tiene vulnerabilidades que puedan ser aprovechadas por un atacante. Por ejemplo, al fortalecer los puntos finales de la API, se puede evitar que la información del cliente quede expuesta al atacante.

Ventajas de los pentest de API

Identifica si la conexión API expone datos confidenciales.
Identifica configuraciones de seguridad y estructuras de permisos incorrectas.
Probando la protección contra ataques de inyección.

configuración de nuestros pentest

Diferentes formas de testear

Una vez que haya decidido qué objetivo se someterá al pentest, el siguiente paso es decidir cómo se debe realizar la prueba. En nuestro servicio nos basamos en pentest de Black, Grey and White.

White Box

Obtenemos acceso completo al código fuente y la documentación del software y también tenemos acceso al entorno.

Con eso, el pentest puede centrarse en analizar la estructura del sistema, la estructura del código y el diseño. Se podría decir que un pentest de White box prueba de adentro hacia afuera, a diferencia de un Black box que prueba de afuera hacia adentro.

Los pentest de White Box identifican posibles debilidades en el software y se utilizan principalmente como paso final en el desarrollo de aplicaciones y sistemas para encontrar y prevenir posibles vulnerabilidades que podrían provocar filtraciones e intrusiones de datos.

Ejemplo: El pentester tiene acceso completo a toda la información e identifica amenazas y riesgos analizando el código fuente y la documentación.

Grey Box

Esto es algo entre Black Box y White Box donde tenemos información sobre cómo funciona el sistema.

Grey Box simula un atacante que ya ha traspasado la protección externa y tiene algún tipo de acceso interno a la red. Este pentest es más eficiente en términos de tiempo, ya que omite el intento de penetración inicial y se centra en detectar errores en una sola aplicación o encontrar vulnerabilidades en sistemas internos sensibles a la información a los que es posible acceder.

Ejemplo: El atacante ha encontrado una cuenta de usuario y con ella intenta escalar sus permisos en el sistema.

Black Box

No sabemos nada sobre el sistema o el entorno que se va a atacar y no tenemos ninguna autoridad.

Las condiciones son las mismas que para un atacante externo. La atención se centra principalmente en atacar la protección externa, pero también en los sistemas que se encuentran detrás. El Black box requiere mucho tiempo pero también ofrece una imagen general clara de qué tan bien está protegido el sistema en caso de un posible intento de intrusión.

Ejemplo: El atacante ataca una web, o dirección IP para usurpar información o causar daños.

ASÍ ES COMO FUNCIONA

Implementación y proceso de pentest.

La metodología utilizada para realizar los pentest parece un poco diferente según el alcance y las condiciones externas. A menudo se trata de cuatro a seis pasos que se pueden repetir como un ciclo. A continuación se describe un escenario de ejemplo para un pentest de Black Box.

Recopilación de información sobre el objetivoAdemás del objetivo principal, ¿existen objetivos secundarios con menor seguridad? ¿Qué sistemas subyacentes se puede esperar que tenga el objetivo? ¿Existe información abierta sobre el objetivo, qué direcciones IP pueden ser relevantes para un ataque y cuáles se pueden obtener?
Escaneando el objetivo¿Qué puertos abiertos tiene el objetivo y cómo se ven las vulnerabilidades durante un escaneo de vulnerabilidades ?
Ataque:Aproveche las vulnerabilidades e intente obtener acceso a los sistemas, por ejemplo, abriendo puertos, campos de inicio de sesión, vulnerabilidades en los sistemas, etc.
Terminar:Terminar el ataque, reunir pruebas, preparar informes de vulnerabilidad y recomendaciones.

Como describimos anteriormente, los pentesters suelen utilizar una herramienta de escaneo de vulnerabilidades para escanear el objetivo en busca de posibles vulnerabilidades del sistema. Luego se prueba cada vulnerabilidad descubierta para ver si se puede utilizar para penetrar el sistema. Validar que la posible vulnerabilidad se puede explotar en la práctica es la gran diferencia entre un escaneo de vulnerabilidades y un pentest.

Preguntas y respuestas

Aquí encontrará respuestas a las preguntas más comunes sobre los pentests. ¿Tiene alguna pregunta que no aparece en la lista? Utilice el formulario de contacto más abajo en la página.

¿Qué obtienes después de la prueba de seguridad (pentest)?Henrik Petterson2023-09-04T12:24:17+02:00

¿Qué obtienes después de la prueba de seguridad (pentest)?

Después de completar una prueba de seguridad (pentest), recibirá un informe que revisaremos junto con usted. También recibirá una prueba en forma de certificado después de completar el examen.

¿Estás protegido después de un pentest?Henrik Petterson2023-09-04T12:30:32+02:00

¿Estás protegido después de un pentest?

En 2021, cada día se identificaron 55 nuevas vulnerabilidades. Esto significa que un sistema nunca puede estar completamente libre de vulnerabilidades. Dicho esto, estará más protegido si implementa las medidas después de un pentest. Si tiene una buena protección básica y realiza pruebas y acciones de penetración con regularidad, los atacantes generalmente no intentarán ingresar cuando hay objetivos más simples que no realizan pruebas o acciones de penetración.

¿Sobre qué se puede realizar el pentest?Henrik Petterson2023-09-04T12:34:49+02:00

¿Sobre qué se puede realizar el pentest?

Lo más común es realizar un pentest en un sistema que es crítico para el negocio, pero una prueba de penetración se puede realizar básicamente en todo, desde nuevos productos hasta conexiones entre empresas. El propósito del pentest es encontrar y probar agujeros de seguridad para aumentar la seguridad, y la seguridad se puede aumentar en muchos tipos diferentes de objetivos.

¿Cuál es el trabajo del Red Team y Blue Team y por qué se lleva a cabo?Henrik Petterson2023-09-04T12:47:49+02:00

¿Cuál es el trabajo del Red Team y Blue Team y por qué se lleva a cabo?

Se lleva a cabo un ejercicio del Red Team y Blue Team para simular un ciberataque. El Blue Team trabaja en las medidas de defensa y protección mientras que el Red Team es el equipo que realiza el ataque. Se llevan a cabo ejercicios de Red Team y de Blue Team para probar la capacidad de defenderse y prepararse contra ataques externos.

¿Cuál es la diferencia entre una prueba de Blackbox y Greybox?Henrik Petterson2023-09-04T12:47:25+02:00

¿Cuál es la diferencia entre una prueba de Blackbox y Greybox?

En una prueba de Blackbox, no sabes nada sobre el sistema o el entorno que se va a atacar y no tienes ninguna autoridad. En una prueba de Greybox, tienes acceso a una cuenta de usuario y cierta información sobre cómo funciona el sistema.

¿Cuál es el pentest más común?Henrik Petterson2023-09-04T12:49:19+02:00

¿Cuál es el pentest más común?

Un Blackbox es la forma más común de pentest. El punto de partida del probador de penetración es el mismo que el del atacante. Existe una completa falta de información sobre la estructura y el sistema de la red subyacente.

¿Qué debes tener en cuenta para contratar un pentest?Henrik Petterson2023-09-04T12:51:49+02:00

¿Qué debes tener en cuenta para contratar un pentest?

Antes de comprar un pentest, es bueno mapear sus sistemas. Esto se hace para identificar qué activos y sistemas de información críticos tiene y en qué parte de la red se encuentran. Cuando tenga esa imagen frente a usted, sabrá qué es lo que más vale la pena proteger y qué sistema o parte de la red debe probarse. Al elegir un proveedor, siempre debe asegurarse de que los probadores de penetración sean probadores certificados que sigan los métodos y marcos que se aplican en el mercado, como OWASP y OSSTMM.

¿Con qué frecuencia deberías realizar un pentest?Henrik Petterson2023-09-04T12:54:09+02:00

¿Con qué frecuencia deberías realizar un pentest?

La frecuencia con la que prueba de pentest depende completamente de lo que está probando y de la frecuencia con la que se actualizan los sistemas y entornos. Una regla general es realizar pruebas al menos una vez al año en los casos en los que no se realicen versiones importantes o cambios en lo que se va a probar.

¿Qué se debe hacer después del pentest?Henrik Petterson2023-09-04T12:54:59+02:00

¿Qué se debe hacer después del pentest?

Después del pentest, obtienes un informe que muestra cuáles son las vulnerabilidades y la mejor manera de solucionarlas. Después de que el ingeniero de seguridad o el ingeniero de sistemas hayan analizado el informe, priorizarán y corregirán aquellos que sean relevantes para tapar los agujeros de seguridad.

¿Quién realiza el pentest?Henrik Petterson2023-09-04T12:57:06+02:00

¿Quién realiza el pentest?

Un pentester es una persona que, con sus propios conocimientos y experiencia, prueba sistemas con el objetivo de revelar fallos de seguridad. Al pentester se le suele llamar hacker ético que, a diferencia del hacker, piratea sistemas con un buen propósito.

¿Puede realizar el pentest usted mismo?Henrik Petterson2023-09-04T12:59:15+02:00

¿Puede realizar el pentest usted mismo?

Es absolutamente posible realizar un pentest usted mismo, en su propio entorno. Pero para que el pentest sea relevante, debe ser realizado por una persona que tenga amplia experiencia y/o amplio conocimiento de metodología, vulnerabilidades y violaciones de datos. De lo contrario, existe un gran riesgo de que las acciones posteriores al pentest se realicen en cosas equivocadas. Si desea realizar pruebas de penetración de sus sistemas usted mismo, le recomendamos que compre un análisis de vulnerabilidades.

¿Existe algún riesgo con el pentest?Henrik Petterson2023-09-04T13:00:20+02:00

¿Existe algún riesgo con el pentest?

Sí, hay riesgos. Los sistemas más antiguos que carecen de actualizaciones o que fallan con frecuencia bajo carga suelen tener más probabilidades de fallar también durante un pentest. Lo que hay que recordar es que ese fallo es siempre un signo de una vulnerabilidad en el sistema, que la prueba de penetración puede encontrar y que puedes solucionar después.

¿Por qué deberías hacer un pentest?Henrik Petterson2023-09-04T13:01:52+02:00

¿Por qué deberías hacer un pentest?

Además del hecho de que todos los sistemas tienen vulnerabilidades que es necesario identificar y eliminar, el trasfondo de la necesidad de un pentest puede provenir de requisitos externos de inversores, clientes, proveedores o como requisito para, por ejemplo, certificaciones.

Cookie	Duración	Descripción
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	1 year	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
JSESSIONID	session	The JSESSIONID cookie is used by New Relic to store a session identifier so that New Relic can monitor session counts for an application.

Cookie	Duración	Descripción
_zcsr_tmp	session	Zoho sets this cookie for the login function on the website.
_zcsr_tmp		Zoho sets this cookie for the login function on the website.
1e5a17c8ab	session	This cookie is set in relation to Zoho Campaigns
AnalyticsSyncHistory	1 month	No description
bscookie	1 year	LinkedIn sets this cookie to store performed actions on the website.
lang	session	LinkedIn sets this cookie to remember a user's language setting.
li_gc	5 months 27 days	Used to store consent of guests regarding the use of cookies for non-essential purposes

Cookie	Duración	Descripción
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_ga_X8W3VDVR14	2 years	This cookie is installed by Google Analytics.
_gat_UA-112487526-1	1 minute	A variation of the _gat cookie set by Google Analytics and Google Tag Manager to allow website owners to track visitor behaviour and measure site performance. The pattern element in the name contains the unique identity number of the account or website it relates to.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
utm_source	7 days	This cookie is used to record from where the visitor came to the website orginally. This information is used by the website operator to know the efficiency of their marketing.

Cookie	Duración	Descripción
_fbp	3 months	This cookie is set by Facebook to display advertisements when either on Facebook or on a digital platform powered by Facebook advertising, after visiting the website.
_gcl_au	3 months	Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
_gcl_au		Provided by Google Tag Manager to experiment advertisement efficiency of websites using their services.
bcookie	1 year	LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser ID.
bcookie		LinkedIn sets this cookie from LinkedIn share buttons and ad tags to recognize browser ID.
d18efd344f	session	Collects information on user preferences and international with erb content. Used to promote relevant events or products. Session.
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
IDE	1 year 24 days	Google DoubleClick IDE cookies are used to store information about how the user uses the website to present them with relevant ads and according to the user profile.
lidc	1 day	LinkedIn sets the lidc cookie to facilitate data center selection.
lidc		LinkedIn sets the lidc cookie to facilitate data center selection.
test_cookie	15 minutes	The test_cookie is set by doubleclick.net and is used to determine if the user's browser supports cookies.
UserMatchHistory	1 month	LinkedIn sets this cookie for LinkedIn Ads ID syncing.
UserMatchHistory		LinkedIn sets this cookie for LinkedIn Ads ID syncing.
utm_medium	7 days	This cookie is used to record from where the visitor came to the website orginally. This information is used by the website operator to know the efficiency of their marketing.
ZCAMPAIGN_CSRF_TOKEN	session	No description available.
ZMEET_CSRF_TOKEN	session	No description available.

Cookie	Duración	Descripción
50878ba340	session	No description
ppwp_wp_session	30 minutes	ppwp_wp_session is a cookie is native to PHP applications. The cookie is used to store and identify a users' unique session ID for the purpose of managing the user's session on the website. The cookie is a session cookie and is deleted when all browser windows are closed.