Penetration testing

CREST LogoSomos un proveedor aprobado por CREST para penetration testing. Nuestros hackers éticos expertos están formados para copiar la mente de un atacante malicioso y utilizar un conjunto completo de herramientas para imitar esta mentalidad.

Ofrecemos una amplia gama de servicios de penetration testing que cubre todos los aspectos de seguridad organizacional, como infraestructuras, aplicaciones web, ingeniería social y, por supuesto, móvil.

Utilizamos un método basado en el riesgo para evaluar sistemas desde el punto de vista de un atacante, además de implementar las mejores prácticas del sector.


Nuestros servicios de pruebas de penetración

Ofrecemos diferentes servicios de pruebas de penetración, desde aplicaciones móviles y web a pruebas de infraestructuras externas o redes internas, a revisiones de componentes dentro de las infraestructuras de empresas, como servidores, estaciones de trabajo o dispositivos en red.

Trabajamos con usted para identificar los servicios de pruebas de penetración adecuados. Esto le garantizará cumplir con sus necesidades comerciales y le ofrecerá una garantía respecto a la posición de riesgo y seguridad de su empresa.

Tras la prueba de penetración, ofreceremos un informe de nivel técnico detallando conclusiones y recomendando resoluciones en un resumen de dirección.

Consulte a continuación un resumen completo de nuestros servicios.


Los objetivos de una prueba de penetración

  1. Determinar la viabilidad de un conjunto particular de vectores de ataques
  2. Identificar cualquier vulnerabilidad que exista, incluída cualquiera que sea de alto riesgo debido a una combinación de vulnerabilidades de bajo riesgo explotadas en secuencia
  3. Identificar vulnerabilidades que puedan ser difíciles o imposible de detectar con una red automática o un software de escaneo de vulnerabilidades en aplicación
  4. Evaluar los posibles impactos comerciales y operativos de ataques exitosos
  5. Testar la capacidad de los defensores de red para detectar y responder a ataques
  6. Justificar una inversión mayor en personal y tecnología de seguridad

Las pruebas de penetración son una parte importante de una auditoría exhaustiva de seguridad. Por ejemplo, el Estándar de Seguridad de Datos del Sector de los Pagos con Tarjeta (PCI DSS, por sus siglas en inglés) requiere una prueba de penetración siguiendo un programa regular y después de cualquier cambio en el sistema.


Pruebas en infraestructuras

Creemos que una infraestructura segura es la base de una organización resistente contra ciberataques.

Nuestros especialistas en penetration testing llevan a cabo pruebas de infraestructuras internas y externas para comprobar servidores, estaciones de trabajo, dominios, entornos virtuales, dispositivos en red y controles de segregación de redes. 


Pruebas de aplicaciones

Muchas organizaciones dependen extensamente de aplicaciones para dirigir sus negocios. A menudo son el escaparate digital de una organización al cual se puede acceder desde cualquier parte del mundo. Por lo general, esto incluye presentar información, ofrecer funcionalidad para personal o clientes, o proporcionar la conexión principal para todas las necesidades de procesamiento de datos de la empresa

Por tanto, la seguridad de dichas aplicaciones es muy importante. Nuestro equipo de pruebas de penetración cuentan con gran experiencia evaluando aplicaciones de muchos tipos, como aplicaciones web, servicios web, aplicación binaria (cliente de gran tamaño) y servidor.


Revisiones

Además de infraestructura y aplicaciones, la seguridad de los servidores subyacentes es clave a la hora de evitar un compromiso.

No obstante, si hubiera un compromiso, la creación de solidez es importante para garantizar que cualquier violación se pueda contener y que un atacante no se pueda mover fácilmente por el sistema o infraestructura. Ofrecemos un servicio de revisión de servidor para todos los sistemas operativos incluidos Windows, Linux y Solaris, y AIX además de componentes comunes como una base de datos y servidores web. También realizamos revisiones en dispositivos de usuarios finales, como estaciones de trabajo y ordenadores portátiles para imitar usuarios internos maliciosos o dispositivos robados.

Al utilizar estándares de índices comunes como CIS, NIST o NCSC, nuestras revisiones ofrecen la tranquilidad que exigen los clientes.


Dispositivos y aplicaciones móviles

Cada vez es más frecuente que las organizaciones creen y utilicen aplicaciones móviles para interactuar con clientes y trabajadores. Es importante que las aplicaciones ofrezcan el mismo nivel de seguridad que las aplicaciones web tradicionales y por ello, ofrecemos un amplio servicio de pruebas de penetración en aplicaciones móviles de todas las plataformas más comunes, como Android, Apple, Windows Phone y BlackBerry.

Si sus trabajadores utilizan dispositivos móviles, se puede llevar a cabo una evaluación para revisar el bloqueo de configuración de dispositivos móviles y el entorno de gestión de dispositivos móviles (MDM).


Revisiones de dispositivos en red

Los dispositivos en red dentro de una organización ofrecen la conexión principal de comunicación dentro de la infraestructura. Si uno se lo propone, esto podría tener un efecto devastador en la seguridad general de la organización.

Nuestro servicio de revisión de dispositivos en red trata de ofrecer garantías sobre dichos dispositivos, evaluando la configuración operativa, la versión de firmware y las reglas firewall de dispositivos de una gran variedad de fabricantes como Cisco, Checkpoint, HP, Juniper, Palo Alto, Brocade, SonicWall y Fortigate.


Pruebas de penetración inalámbricas

Los puntos de acceso inalámbrico pueden ofrecer a los atacantes un medio para atacar una infraestructura desde una distancia de seguridad, a menudo sin ser detectados.

Nuestro servicio de revisión de configuración y pruebas de red inalámbricas trata de garantizar que esas redes inalámbricas estén incorporadas de forma segura y ofrezcan un alto nivel de seguridad.

El servicio incluye revisiones de punto de acceso inalámbrico, controlador WLAN y revisiones de dispositivos de clientes, encuestas de sitios y barridos de puntos de acceso fraudulentos.


Pruebas SCADA e ICS

La Adquisición de Datos y Control de Supervisión (ICS), conocido como Sistemas de Control Industrial (ICS), se suele utilizar dentro de una serie de sectores como producción de energía, fabricación, tratamiento de aguas, gas y petróleo.

Nuestro equipo experto en pruebas de penetración SCADA ofrece una revisión exhaustiva de su sistema SCADA/ICS. Esta evaluación puede adoptar diversas formas, incluidas revisiones de políticas y procedimientos relevantes, revisión de arquitectura, evaluación de seguridad física, pruebas de penetración de infraestructura, pruebas de segregación y ejercicios de revisión

Al evaluar sistemas desde múltiples puntos de vista, podemos conseguir una visión integral de la posición de seguridad de sus sistemas SCADA/ICS.


Revisión de códigos de Seguridad

Para garantizar un método de «defensa en profundidad» para la seguridad de las aplicaciones, llevamos a cabo una revisión de códigos de seguridad.

Un servicio de revisión de códigos fuentes es un examen sistemático del código fuente de una aplicación desde un punto de vista manual y automático. Este método «white box» tiene la intención de encontrar y resolver fallos que se pasaron por alto en la fase de desarrollo inicial, que no siempre es posible de encontrar con métodos de pruebas «grey box» o «black box», mejorando tanto la calidad general del software como la capacidad del desarrollador.

Ofrecemos este servicio en una amplia gama de lenguajes, incluido C#, Java, Python y PHP entre otros.


Pruebas de virtualización

Cada vez es más frecuente que las organizaciones trasladen sus infraestructuras a entornos virtualizados, tanto en la misma empresa como en la nube. A menudo, esos entornos ofrecen un medio sin restricciones para atravesar a entornos corporativos. Por lo tanto, la posición de seguridad de los entornos virtualizados no puede pasarse por alto.

Llevamos a cabo una combinación de revisiones y pruebas de infraestructuras en entornos virtualizados o nubes privadas, tanto en redes comerciales como restringidas. Nuestra experiencia incluye productos clave como VMware y Hyper-V, además de proveedores de servicios en la nube como Skyscape o Amazon EC2.


Revisión de ordenadores portátiles robados

Al haber tantos robos de dispositivos móviles y portátiles, revisamos dispositivos para identificar qué información puede obtenerse en caso de caer en las manos equivocadas.

Esto incluye evaluar si el portátil puede verse comprometido a través de métodos de inicio, bypassing de encriptado y cualquier información que se pueda utilizar para realizar un ataque posterior a la empresa.


Revisión de imágenes oro (gold image)

Podemos realizar una revisión exhaustiva forense y de malware de cualquier imagen oro (gold image) maestra que se utilice para implementar servidores dentro del entorno.

Esto garantizará que la imagen maestra no haya sido infectada o falsificada antes de lanzarla y utilizarla.


Revisión de base de datos

Podemos realizar una revisión detallada de servidores de base de datos centrándonos en permisos, versiones y configuraciones en todas las versiones principales como Microsoft SQL, MySQL, PostgreSQL, Oracle y MongoDB.


Escape de entornos (breakout)

Para permitir un acceso restringido a servicios, redes o aplicaciones específicas, una organización puede implementar un entorno bloqueado, como Citrix, servicios de terminal (RDP), ordenador de usuario restringido o entorno quiosco.

Nuestro servicio de escape de control de entornos trata de garantizar que el usuario final de bajo nivel no pueda salir del ordenador controlado y pasar a otros programas, niveles de privilegio u otras áreas restringidas de la infraestructura conectada.