Prueba de Penetración (pen test) y hacking ético

En la actualidad, el cyberterrorismo y los ataques cibernéticos a empresas, gobierno e instituciones financieras alrededor del mundo es una realidad. Desde páginas web, hurto de bases de datos de información financiera, hurto de passwords de emails o redes sociales, chats de celulares, fotos, hasta robo de identidad, son todas realidades del día a día.

El daño que le puede causar un “hackeo” a su red, a nivel monetario, podría ascender a los miles de dólares (o más dependiendo de su organización), sin contar el bochorno público y la falta de confianza que esto podría generar en sus clientes. Estos ataques pueden provenir desde otros países, grupos de cibercriminales, cyberterroristas, que tienen motivaciones (grandes) económicas o de un joven de 15 años con muchos conocimientos y tiempo en sus manos; también es común que los ataques se originen dentro de la misma red corporativa o institucional, en muchas ocasiones por sus propios colaboradores.

¿Cómo se puede saber?

La forma más efectiva de contrarrestar ataques informáticos es haciendo pruebas de vulnerabilidad periódicamente, en donde profesionales certificados hacen de todo tipo de pruebas y ataques (sin dañar) a la red, equipos informáticos, telefonía voz sobre IP y dispositivos móviles y reportan de forma confidencial al cliente todas las vulnerabilidades encontradas. De esta forma, se pueden corregir las fallas de seguridad existentes y prevenir futuros ataques y robo de información.

Con el aumento de los ataques electrónicos, no solo en frecuencia sino también en ingenio, cada día se vuelve más importante probar la efectividad de su seguridad informática.

White hat

Las pruebas de penetración que ofrecemos le ayudarán a:
•Identificar amenazas tanto externas como internas
•Evaluar y priorizar el riesgo de cada vulnerabilidad identificada
•Examinar los ambientes aplicados y de bases de datos además de redes
•Hallar métodos no-técnicos de acceder a sus activos informáticos sin autorización

Usualmente las características generales de la infraestructura a analizar son:

1. Computadoras de escritorio y laptops.
2. Servidores.
3. Conectividad entre sucursales.
4. Las redes inalámbricas.
5. Firewalls, switches y routers.
6. Telefonía Voz Sobre IP (VoIP).
7. Portal web de la empresa o institución.

Identificar vulnerabilidades

Las pruebas de vulnerabilidad se pueden comparar con buscar las puertas abiertas en un edificio, y es la primera etapa en cualquier estrategia para verificar la seguridad informática de una red corporativa.

Nuestros especialistas utilizan una combinación comprobada de herramientas reconocidas en la industria, en conjunto con nuestras propias técnicas para examinar detalladamente e identificar las vulnerabilidades en sus sistemas informáticos. Distinto a otros servicios automatizados que solo proveen un listado generado por computadora de cada vulnerabilidad que exista en su red, nuestro servicio incluye la priorización de las vulnerabilidades que son más relevantes a su infraestructura, además de ofrecerle consejos prácticos para reducirlas.

Nuestro personal también utiliza equipos especializados para realizar pruebas inalámbricas. Estos tipos de pruebas ayudan en detectar puntos de acceso o equipos ‘sniffer’ que podrían estar intentando entrar sin autorización a sus sistemas. Las pruebas inalámbricas también sirven para identificar redes inalámbricas o dispositivos inalámbricos (como laptops o celulares) que están siendo utilizados por usuarios legítimos pero que no conformen a las políticas de seguridad de su organización.

Abrir puertas

El segundo nivel de servicio va más profundo explotando las debilidades encontradas para simular un ataque real. Utilizando los mismos métodos como los hackers, nuestros técnicos realizarán actividades como la recolección de información, la recolección de las huellas impresas en la red e intentar pasar los controles de acceso. Con uno de los equipos más grandes de pruebas de penetración tenemos la habilidad de revisar todas las plataformas de operación además de investigar las áreas de invadir código HTML peligroso de distintos orígenes (XSS), problemas con el hackeo de código, inyección SQL, servicios XML y web.

La amenaza interna

Nuestro nivel de servicio más profundo toma en cuenta que una cantidad significante de ataques tienen origen dentro de la misma organización y para afrontarlos utilizamos técnicas de pruebas avanzadas tanto internamente como remotamente. Nuestros técnicos revisarán su arquitectura de seguridad para identificar que accesos tienen sus colaboradores a información de la empresa.

Ataques simulados

Podemos trabajar con su departamento de IT para simular ataques de rechazo de servicio, probar sus respuestas (del sistema y personal) frente a intentos de intrusión, hacer intentos de acceder a redes inalámbricas o utilizar técnicas de ingeniería social para identificar puntos de entrada no-técnicos a tu organización y sus activos.

Chequeos regulares

Adicionalmente ofrecemos un servicio anual de pruebas de penetración en donde realizaremos regularmente pruebas a su infraestructura según una agenda previamente establecida.

Entregables

Sin importar la magnitud del contrato siempre desarrollaremos un informe exhaustivo que detallará los puntos identificados en nuestro análisis, una explicación de sus posibles repercusiones, y más importante, recomendaciones para reducir o eliminar los riesgos implícitos.

Entregamos dos informes:

➢ Resumen ejecutivo de los resultados: Informe con un enfoque no técnico en el cual se presentan a los directivos de la empresa los resultados del proyecto

➢ Informe Técnico:
o Detalle de todas las pruebas realizadas especificando su objetivo.
o Resultados obtenidos en las diferentes pruebas que se han realizado.
o Clasificación de los problemas de seguridad según su nivel de peligro
o Recomendaciones
o Memoria USB de evidencias recolectadas para cada una de las pruebas

En SOLUTECSA tenemos la experiencia en la realización de decenas de pruebas de penetración y hacking ético, tanto a empresas privadas como instituciones Gubernamentales de miles de usuarios. Contamos con certificaciones internacionales como CEH y CISSP, para brindar un servicio de calidad, confidencial y de primer nivel.

Hacking etico
Estamos certificados en:
VCP-DCVITIL     Certified Ethical Hacker      CISSPDocuWare