Ciberseguridad
Seguridad
Ofensiva
La Seguridad Ofensiva, toma como premisa la frase “La mejor defensa es un buen ataque”. Esta rama de la ciberseguridad consiste en implementar medidas de seguridad, aplicando técnicas de hacking que permitan la detección de vulnerabilidades previas a un ciberataque real.
En otras palabras, la seguridad ofensiva hace uso de las herramientas, técnicas y metodologías que utilizaría un cibercriminal, con el fin de detectar vulnerabilidades estando un paso por delante a un intento de intrusión futuro y en caso de sufrir una intrusión disponer de un plan de contingencia, saber como responder y mantener bajo control la situación.
Nuestro equipo de Auditores pondrá a prueba la seguridad de las organizaciones simulando un ataque real desde diferentes ámbitos.
En la Seguridad Ofensiva existen 3 modalidades de auditoria según alcance que permita el proyecto:
”Los verdaderos hackers siguen un cierto conjunto de reglas éticas, que les impiden lucrarse o causar daño en sus actividades
- Kevin Mitnick
Análisis de Vulnerabilidades
Este tipo de auditoria tiene como objetivo evaluar las debilidades que puedan existir en un determinado sistema, aplicación o software que pudiera afectar a su integridad durante su vida útil. Con este servicio se determina el nivel de seguridad en el que se encuentra la empresa y como puede llegar a afectar estas vulnerabilidades a la continuidad de negocio.
Según entorno
El análisis variará dependiendo del entorno donde realicemos las pruebas.
Interno
El análisis de Vulnerabilidades interno, es el que se realiza desde la red interna del cliente, su propia intranet, en sus oficinas o mediante una VPN.
Externo
El análisis de Vulnerabilidades externo, es el que se realiza desde el exterior de la red, desde internet.




Pentesting
El pentesting está enfocado a la realización de pruebas de penetración, atacando a los sistemas de información o a la propia organización.
Estas pruebas tienen la finalidad de descubrir cualquier tipo de vulnerabilidad que pudiera afectar al entorno y tener las bases que permitan prevenir este tipo de ataques.
Para la realización de este tipo de auditorías, nos apoyamos en metodologías entre las que destacamos OWASP, OWASP Mobile, OWISAM, OpenSAMM, OSSTMM, OSINT, entre otras. Adicionalmente, nos basamos en el framework CVSS con el que establecemos las métricas de las características, impacto y severidad de las vulnerabilidades detectadas.
SEGÚN INFORMACIÓN
El auditor conoce información sobre la infraestructura, aplicación o sistemas que debe atacar, se dispone de un usuario con permisos limitados y, en algunos casos, se tendría acceso al código fuente. Se realiza en las oficinas del cliente o mediante VPN proporcionada por el cliente.
Ej: Empleado desleal, empleado que quiere dañar la reputación de la empresa.
SEGÚN ENTORNO
El pentesting al igual que el análisis de vulnerabilidades, variará dependiendo del entorno donde realicemos las pruebas.
Hacking Ético / Red Team
Cuando hablamos de realizar un “Hacking ético” nos referimos a realizar un pentesting que abarca absolutamente TODO. O, dicho de otro modo, no hay un objetivo determinado, todo es explotable y no hay limitación más allá de la pactada con el cliente para la realización de las pruebas, en la que se pueden excluir algún tipo de pruebas.
En ejercicios de este tipo se simula el comportamiento de un ataque real realizado por un grupo cibercriminal que tiene el objetivo de comprometer la organización en su totalidad haciendo uso de técnicas propias de bandas cibercriminales organizadas.
Este tipo de pruebas son los que están más a la vanguardia en cuanto a seguridad ofensiva, haciendo uso de vectores de ataque poco conocidos o incluso diseñando nuevos vectores para poner a prueba las defensas de las mejores organizaciones.
La duración de estos ejercicios suele variar entre unas pocas semanas y varios meses y son pactados en el alcance del proyecto. En resumidas cuentas, un Hacking ético aporta el mayor valor para el cliente en cuestiones de auditoria de seguridad técnica, teniendo como objetivo la toma del control de la organización bajo cualquier concepto e incluso persistiendo en la red hasta la finalización del ejercicio.

TIPOLOGÍA
ANÁLISIS DE VULNERABILIDADES
PENTESTING
ETHICAL HACKING / RED TEAM
OBJETIVO PRINCIPAL
METODOLOGÍA
REALIZADO POR
VALOR PRINCIPAL
INFORME
SAST y DAST
Las pruebas de seguridad de aplicaciones estáticas son un conjunto de tecnologías enfocadas al análisis del código fuente de la aplicación y los binarios para las condiciones de codificación y diseño que son indicativas de vulnerabilidades de seguridad. Las soluciones SAST analizan una aplicación desde el código fuente en un estado que no se ejecuta.
En este servicio el cliente nos proporciona el código fuente a analizar y se realizan tanto pruebas manuales (revisando el código, línea por línea manualmente) como automatizadas.
Mediante el uso de software especializado en análisis estático de código, se detectan debilidades en el código fuente aportado. Una vez finalizado, se entrega un informe al cliente con los defectos encontrados en él código y recomendaciones de mejora.
Como plus adicional nuestro equipo de desarrollo y calidad examinará la calidad y fiabilidad del código fuente proporcionado, aportando las recomendaciones necesarias.
