Preguntas frecuentes

A continuación algunas de las preguntas que se nos planteen con regularidad. Para cualquier otra pregunta o precisión, póngase en contacto con nosotros.

PREGUNTAS
Comprobamos todo tipo de aplicación web, incluyendo sitios internet/intranet, aplicaciones móviles, software SaaS y API (interfaz de programación de aplicaciones).
Por aplicación, entendemos todo lo que concierne la capa de aplicación. Por lo tanto, no se trata únicamente de seguridad de aplicaciones móviles.
Es esencial que su servidor esté securizado, pero por desgracia esto no es suficiente para asegurar la seguridad de su plataforma. Fallos en el código de su aplicación dejan la puerta abierta a múltiples ataques, lo que puede resultar en interrupciones de servicio, apropiación indebida de contenido y hasta robo de datos. Actualmente, estimamos que el 80% de las aplicaciones web tienen por lo menos un fallo crítico.
Todos los sitios web son objetivos de ciberataques, incluyendo los que no alojan ningún dato sensible.
Los motivos de los hackers pueden ser de entrenarse, tomar control de su servidor para alojar un sitio web malicioso, o simplemente de divertirse.
Los sitios creados con Wordpress, por ejemplo, pertenecen al grupo más pirateado.
Ciertos ataques son automatizados a gran escala en decenas de miles de sitios web.
Los software de análisis permiten realizar análisis automáticos de seguridad y detectar un cierto numero de fallos establecidos. Se trata de un primer nivel de seguridad.

Una auditoría de seguridad se basa en pruebas manuales y semi-automatizadas de penetración. Cada auditoría se realiza a medida, en función de su arquitectura técnica y funcional. Las pruebas manuales de penetración permiten detectar fallos invisibles para los programas de análisis (por ejemplo los fallos lógicos). También permite un análisis más detallado utilizando las vulnerabilidades descubiertas para evaluar su impacto.
Los cortafuegos (WAF) protegen sus aplicaciones actuando como un escudo, sin corregir los fallos de seguridad. Por lo tanto, pueden ser esquivados por un hacker experimentado. Las pruebas de penetración le permiten corregir fallos presentes en la capa de aplicación de su sitio web o software.

Para un nivel optimo de seguridad, puede combinar estas dos estrategias.
Los atacantes internos constituyen una amenaza importante cuyo impacto figura entre los más costosos para una organización. Se puede tratar de empleados maliciosos expresando su desagrado o deseo de reconocimiento.

Además, ciertos atacantes externos a la empresa pueden usar técnicas de manipulación para obtener identificadores de conexión. En este caso, es importante que la accesibilidad a las funciones de aplicación esté controlada para limitar el alcance de los daños.
Los ciberataques sofisticados combinan con regularidad técnicas de hacking con otras de la ingeniería social. La ingeniería social consiste en usar la impostura para recuperar información a través de correos de phishing, llamadas telefónicas fraudulentas, e intrusiones físicas en sus locales.

Comprobar la reacción de sus equipos frente a estas técnicas de impostura permite implementar acciones de seguridad más eficaces, que integren el factor humano.
Utilizamos la referencia del OWASP, que ofrece recomendaciones en materia de seguridad web. Nos apoyamos en una metodología en 4 fases: reconocimiento, mapeado, descubrimiento, explotación. Nuestros expertos están certificados según el GWAPT, pero sobre todo se apasionan por aprender continuamente y mantenerse al día.

En el ámbito del hacking, la innovación es constante, y es por esto que consagramos una gran parte de nuestro tiempo a la búsqueda de nuevos fallos y nuevas técnicas de ataque más sofisticadas.
La única respuesta honesta es no. Un riesgo de cero jamás se puede alcanzar.

Es más, las medidas de seguridad a implementar dependen del nivel de riesgo al que están expuestos sus aplicaciones. Le aconsejamos implementar un nivel de seguridad adecuado tomando en cuenta sus objetivos y presupuesto.
Le entregamos un informe completo de auditoría indicando lo que hemos comprobado, como lo hemos comprobado, que fallos hemos encontrado, y como explotarlos. Nuestro informe contiene capturas de pantalla, extractos de datos robados, así como escenarios para reproducir ataques.

Nuestro objetivo es también el de mejorar las competencias de sus equipos técnicos, educándolos sobre la seguridad a través de nuestros servicios.
Nuestro informe contiene sugerencias técnicas correctivas. Las correcciones a aplicar se detallan fallo por fallo, lo que constituye un resultado directamente explotable por los desarrolladores.

Sin embargo, no corregimos nosotros mismos el código de su aplicación.
El termino “hacking” es genérico; designa un conjunto de técnicas para detectar fallos y vulnerabilidades materiales o humanas en el ámbito de la informática. El hacking puede ser usado para fines benévolos o malévolos.

Más allá de declaraciones de intención, nuestra actividad se rige por un marco legal. Solo intervenimos a petición suya, después de firmar un contrato y una autorización para realizar pruebas. Su servidor es informado de nuestras pruebas, que se realizan a partir de una sola dirección IP, permitiendo identificar su procedencia. Todos nuestros trabajos están cubiertos por nuestro seguro, y podemos elegir realizar pruebas en una aplicación en producción o en una plataforma de ensayo, según el grado de criticidad de los desafíos de su plataforma.
GLOSARIO
Open Web Application Security Project. Comunidad libre que trabaja sobre la seguridad de aplicaciones web. Publica el OWASP Top 10, que enumera los fallos de seguridad principales presentes en las aplicaciones web.
Penetration Test o Prueba de penetración. Método de evaluación de seguridad que consiste en simular ataques maliciosos para detectar las vulnerabilidades de una aplicación o sistema.
Técnica de ataque tipo inyección, destinada a interactuar con la base de datos de la aplicación web a través de las funciones de la aplicación.
Ataque que consiste en insertar contenido peligroso en un sitio web objetivo. Puede resultar en una modificación completa del contenido del sitio, o en el robo de datos.
Técnicas de manipulación destinadas a influir en el comportamiento de sus interlocutores para obtener informaciones confidenciales o realizar acciones, dentro del contexto de un ciberataque.
Hackers éticos. Personas con competencias en la seguridad informática que actúan de una manera completamente legal, por ejemplo para realizar auditorias de seguridad.
Hackers que actúan ilícitamente. Piratas informáticos.

Web Application Firewall o Cortafuegos de Aplicación. Mecanismo de protección que filtra peticiones destinados a un servidor web, y que detecta ataques. Bloquea las peticiones peligrosas y también puede controlar las respuestas devueltas por el servidor.