ETAPAS DEL PENTESTING

NUESTRAS SOLUCIONES

Web Application Penetration Testing (WAPT)

El servicio de Web Application Penetration Testin se enfoca en la evaluación extensiva de vulnerabilidades relacionadas a posibles puntos de entrada que puedan permitir el acceso no autorizado a bases de datos y/o ejecución de comandos en la plataforma. Las pruebas son ejecutadas bajo los lineamientos de OWASP (Open Web Application Security Project) y la metodología PTES. Se realiza la búsqueda, enumeración y explotación (en el caso) de vulnerabilidades en  con el fin de determinar riesgos, fugas de información o problemas en su funcionamiento.

Con el presente servicio podrá:

  • Identificar vulnerabilidades resultado de errores de diseño y programación de aplicaciones Web
  • Conocer las debilidades de sus aplicaciones Web , cuya vulneración puede ocasionar daños de alto impacto para su negocio.
  • Obtener un plan de acción para la remediación de sus vulnerabilidades, clasificadas según su nivel de riesgo.
  • Obtener informes técnicos libres de falsos positivos, sustentados con la evidencia obtenida durante el proceso de evaluación mediante pruebas manuales.
  • Certificar el pase a producción de sus activos digitales de forma segura.
Mobile Application Penetration Testing (MASVS)

Estándar de Verificación de Seguridad de Aplicaciones Móviles (MASVS, en inglés Mobile Application Security Verification Standard) de OWASP, un esfuerzo comunitario para establecer un marco de requisitos de seguridad necesarios para diseñar, desarrollar y probar aplicaciones móviles seguras en iOS y Android.

El MASVS se puede utilizar para establecer un nivel de confianza en la seguridad de las aplicaciones móviles. Los requerimientos fueron desarrollados con los siguientes objetivos en mente:

  • Proporcionar requisitos para los arquitectos y desarrolladores de software que deseen desarrollar aplicaciones móviles seguras;
  • Ofrecer un estándar de la industria que pueda ser probado en las revisiones de seguridad de las aplicaciones móviles;
  • Proporcionar recomendaciones específicas sobre el nivel de seguridad recomendado para los distintos casos de uso.
Network Penetration Testing (APT)

En este servicio se realiza la identificación de vulnerabilidades en todo tipo de dispositivos de red mediante el uso de herramientas especializadas y de forma manual. Se puede realizar de forma autenticada para poder determinar con mayor certeza la existencia de puntos de entrada o malas configuraciones. Los resultados obtenidos son clasificados y analizados para determinar la exposición de riesgo actual tanto por vulnerabilidad como por dispositivo. La información entregada incluye las posibles opciones de remediación para las vulnerabilidades encontradas.El objetivo principal de la prueba de pentesting interno es mejorar la seguridad de la red y proporcionar protección a toda la infraestructura y a los dispositivos conectados contra futuros ataques. Los expertos en seguridad simulan las tácticas, técnicas y procedimientos (TTP) de los atacantes del mundo real que apuntan a sus activos cibernéticos de alto riesgo.

Nuestro profundo conocimiento del comportamiento de los atacantes de amenazas persistentes avanzadas (APT) puede ayudarle:

  • Determinar si sus datos críticos están realmente en riesgo
  • Identificar y mitigar las vulnerabilidades complejas de seguridad antes de que un atacante las explote
  • Obtener información sobre las motivaciones y objetivos del atacante
  • Obtener resultados cuantitativos que ayuden a medir el riesgo asociado a sus activos críticos
  • Identificar y mitigar las vulnerabilidades y las malas configuraciones que podrían conducir a futuros compromisos
Social Engineering Testing (TSS)

En este servicio se realiza el test con correos electrónicos de suplantación de identidad (Phishing) con esquemas de ingeniería social convincentes, los cuales pueden provocar fugas de información confidencial y pérdidas financieras potencialmente enormes.Los correos electrónicos de Phishing son una seria amenaza para las empresas hoy en día; son responsables del 94% del Ransomware y USD $132.000 por compromiso de correos electrónicos corporativos.El servicio de Phishing es una herramienta de concientización y está pensado para apoyar a las organizaciones a resistir las estafas o fraudes en línea, intrusiones a la red o cualquier amenaza que ponga en peligro la seguridad de la información. Este tipo de ejercicios, permite probar y educar a los colaboradores de la empresa. Las pruebas de penetración de la ingeniería social proporcionan una base sobre la que se pueden destacar las cuestiones relativas a los procedimientos operativos y desarrollar una capacitación de concienciación del personal con objetivos específicos.

Una prueba de penetración de ingeniería social le ayudará:

  • Establecer la información disponible públicamente que un atacante podría obtener sobre su organización;
  • Evaluar cuán susceptibles son sus empleados a los ataques de ingeniería social;
  • Determinar la efectividad de su política de seguridad de la información y sus controles de seguridad cibernética para identificar y prevenir los ataques de ingeniería social; y
  • Elaborar un programa de capacitación para la sensibilización con fines específicos.
Open Source Intelligence - (OSINT)

¿Conoces cuanto informacion existe de tu organización expuesta en internet? La solución que ofrecemos te entregara la visibilidad de tu informacion que se encuentra expuesta por medio de una técnica llamada OSINT (Open Source Intelligence Gathering) (recolección de información de fuentes abiertas). Con esto vino el surgimiento de las herramientas dedicadas a la recolección de datos en sus diversas formas; textos, archivos, imágenes, imágenes satelitales, etc. De acuerdo con el Informe de RSC para el Congreso, el OSINT se ha producido a partir de la información pública que se difunde correctamente, se recoge y se explota de forma eficaz. Esta información está a disposición de los usuarios para atender a necesidades específicas de inteligencia.

En su mayor parte, cumplen tres funciones, aunque algunas tienden a concentrarse enáreas específicas.

  • Descubrir los bienes públicos.
  • Descubrir información relevante fuera de la organización.
  • Recopilar la información descubierta en una forma procesable.
Data Encryption

¿Por qué debería cifrar mis datos? Cifrar una información significa ocultar el contenido de un mensaje a simple vista, de manera que haga falta una interacción concreta para poder desvelar ese contenido. El contenido de este mensaje pueden ser archivos, datos, mensajes o cualquier tipo de información que se te ocurra. En el contexto de Internet, cualquier contenido que envíes desde tu ordenador a la red puede ser cifrado. Hoy en dia el robo de informacion es un acto que cada vez afecta mas a las medianas y grandes empresa, es por ello que tener nuestros equipos informáticos o datos encriptados ayuda a la confidencialidad e integridad de nuestros datos.

Esta soluciones le permitirá:

  • Proteger su informacion en caso de robos o perdidas de la misma.
  • Encriptado de datos en la nube para mayor seguridad.
  • Uso de claves maestra para evitar la reutilización de contraseñas debiles.