Desde 2019 el 60% de las empresas en Latinoamérica tuvo incidentes de ciberseguridad. Se registró una disminución de ataques masivos y una transición hacia ataques dirigidos, cuyo objetivo es la posibilidad de cobro de rescates económicos, mejor conocido como ransomware. Este informe recopila información de empresas ubicadas en 14 países de la región, incluyendo Argentina, Brasil, México, Colombia, Chile y Guatemala.

¿Qué nos indican este tipo de estadísticas? Marcan la pauta de múltiples riesgos que puede correr la seguridad de la información en las organizaciones.

Cómo el hacking puede dañar en la seguridad cibernética

Robo de información

Ataques de secuestro de información (Ransomware)

Hackeo empresarial

Ataques dirigidos (APT)

¿Qué es una prueba de penetración?

Es una evaluación integral de tu infraestructura o aplicaciones, cuyos resultados proporcionan una estrategia que evitará que tu organización sea parte de las estadísticas.

La prueba de penetración es una actividad que evalúa la seguridad de las organizaciones desde un punto de vista digital. Se utilizan pruebas de hackeo para identificar estos fallos y mitigarlos antes de que se materialicen y causen un daño a la organización.

Las pruebas van más allá del análisis del código, se enfocan en el hackeo de la aplicación y/o la infraestructura digital. De esta manera se amplía la superficie de análisis para detectar mayor número de vulnerabilidades.

Algunos beneficios

  • Validar si los controles actuales de seguridad como firewall, control de accesos, métodos de cifrado, almacenamiento de información, entre otros, han sido diseñados e implementados acorde con lo planeado.

  • Identificar las vulnerabilidades técnicas que no puedan ser detectadas por un análisis de vulnerabilidad organizacional.

  • Identificar y clasificar los hallazgos de acuerdo con estándares internacionales de gestión de riesgos como lo es CVSSv3.1

  • Realizar un plan de solución a los hallazgos y de mejora continua.

Las pruebas de penetración además permiten clasificar las vulnerabilidades de acuerdo con su tipo: aplicación o infraestructura y nivel de riesgo (Crítico, Alto, Medio, Bajo, Informativo). Proporcionan evidencias de la explotación y el impacto que genera en la organización. Brindan lo necesario para recomendar los controles que fortalezcan la defensa en el entorno digital con un enfoque de gestión de riesgos.

Es necesario identificar qué tipo de prueba se realizarán, si se trata de un aplicativo o su infraestructura de nube. Estas dos opciones contemplan alcances y metodologías distintas, por lo que es recomendable definirlas. No obstante pueden realizarse ambas pruebas sobre el sistema a auditar.

El tipo de prueba define la manera cómo se realizará la evaluación de seguridad con respecto al punto donde el atacante esté situado.

Pruebas internas

Son pruebas que se hacen dentro del ambiente en el que la aplicación converge con infraestructura de nube y en algunos casos en sitio. Generalmente evalúan servicios que no se encuentran publicados en internet. Se pueden realizar en aplicaciones, servidores, bases de datos o la red corporativa.

Pruebas externas

Se realizan sobre los servicios accesibles solo desde internet, tal y como lo haría un atacante ajeno a la organización. Generalmente no se evalúan algunos servicios de la infraestructura, que solo están disponible si la prueba fuera interna.

El tipo de caja definirá el contexto de la prueba, estipulando si se realizarán pruebas estáticas, dinámicas, con credenciales de acceso al aplicativo o servidor.

¿Cómo hacemos que suceda?

Para definir este servicio, Itera asesora y explica las características de cada una de las cajas. Operamos con metodologías avaladas de manera internacional por distintos organismos, cada metodología está orientada a un tipo específico de evaluación. Entre las más importantes destacan:

OWASP: nos provee de un marco abierto para realizar pruebas de Intrusión a sitios web.

OSSTMM: metodología realizada por la comunidad para estandarizar las pruebas de Seguridad. Este modelo es genérico para cualquier prueba de seguridad (no solo pentest).

NIST 800-115: provee de procesos repetibles para la conducción de evaluaciones de seguridad, incluyendo metodología para Pentesting.

La ciberseguridad no es una misión imposible

Itera está conformada por expertos que evalúan y clasifican riesgos de acuerdo con el impacto de vulnerabilidades de ciberseguridad en aplicaciones e infraestructura. De esta manera diseñamos una estrategia integral de ciberseguridad vinculada con los objetivos de negocio de tu organización.