¿En qué consiste el Hacking Ético?
El hacking ético o hackeo ético retoma desde donde se queda el PenTest, ya que el PenTest por lo general es enfocado a un área en particular
(por ejemplo, un PenTest a una página web o PenTest a la infraestructura o a una aplicación móvil, etc.). Por su parte en el hacking ético
probamos todo lo que se pueda probar, atacaremos web, infraestructura, IoT, móviles, ingeniería social, en fin, todos los métodos y vectores de ataque
como lo haría un atacante real que quiere conseguir algún tipo de información o causar daño a la empresa.
Debido a la amplitud de las pruebas solo realizamos este ejercicio a cierto tipo de empresas que ya han pasado por múltiples PenTest y
desean pasar al siguiente nivel de seguridad.
Pregunta a nuestros profesionales sobre cómo podemos presupuestar este servicio.
¿Cuál es la diferencia entre un Hackeo Ético y un PenTest?
Cómo mencionamos en el párrafo anterior la diferencia es el alcance. Podríamos decir que un hackeo ético se compone de varias pruebas de penetración. Los PenTest en cambio suelen ser enfocados a algún sistema en particular. Para más información sobre PenTest haz click aquíPongamos el siguiente ejemplo: por un lado tenemos Klbrs Security, una organización que se dedica a dar consultoría a otras empresas, ofrece productos que se adaptan a las necesidades de sus clientes y está a punto de sacar un nuevo servicio web que va a revolucionar la industria.
El sitio web lo realizó llevando a cabo las mejores prácticas de desarrollo, realizó su respectivo PenTest y además cuenta con un WAF y monitoreo 24/7. Del otro lado tenemos a un atacante que está financiado por una compañía rival y decide que quiere robar el código fuente de dicha aplicación, hacer un defacement o cuando menos una denegación de servicio, lo que sea para darle mala publicidad y que sus clientes dejen de consumir su servicio, lo cual pondrá contento a sus patrocinadores.
Los pasos que el atacante tomará son más o menos los siguientes:
Primero intentará atacar el sitio web directamente, pero al ver que el sitio web está muy protegido y no es posible atacarlo directamente recurrirá a otros vectores que pueden ser muy variados, por ejemplo:
Ingeniería social a los empleados, ya sea a través de phishing, vishing, o incluso físicamente, tratará de hackear otros servidores y/o servicios de la organización que estén menos protegidos, redes Wifi, incluso tratar de hackear a un tercero que brinde algún servicio y por medio de este tercero entrar a la organización. También pueden conseguir trabajo dentro de la organización o enviar a alguien que pueda ser contratado y pueda ayudar desde dentro.
Todo lo anterior dependerá de la motivación y los recursos con los que cuentan y lo harán tras meses de investigación, pruebas pasivas y activas, etc. lo cual tiene muchas ventajas frente a un PenTest ya que los PenTesters solo tienen algunas semanas para encontrar vulnerabilidades y solamente en ciertas aplicaciones. Desde aquí podemos ver los beneficios de realizar ejercicios más amplios que un PenTest.
¿Cuánto tiempo dura un Hackeo Ético?
El tiempo lo definimos con cada cliente dependiendo del tamaño de su organización y objetivos particulares. Hay clientes que nos piden
realizar pruebas durante todo el año, donde continuamente nuestros ingenieros prueban sus defensas, los mantenemos informados de cualquier riesgo que encontremos y les damos recomendaciones para protegerse de nuevos vectores de ataque.
¿Contamos con algún tipo de certificación?
En el área de pruebas de penetración como en casi todas las áreas profesionales, lo más importante es la experiencia. La experiencia es lo que más valoramos en Klbrs, pero sabemos que muchas organizaciones al no conocernos requieren contar con algún soporte que les de tranquilidad sobre la capacidad de quienes van a verificar su infraestructura. Es aquí donde entran las certificaciones y nuestros ingenieros cuentan con una o más de las siguientes certificaciones:
- GPEN - GIAC Penetration Tester
- GWAPT - GIAC Web Application Penetration Tester
- CEH - Certfied Ethical Hacker
- CISSP - Certified Information Systems Security Professional
- OSCP - Offensive Security Certified Professional
- AWS Security Specialty
¿Cuánto cuesta un Hacking Ético?
Es difícil dar una respuesta concreta, por que en realidad depende del alcance y del tamaño de la organización, pero como siempre en todos nuestros servicios, contamos con precios muy competitivos y con alto valor agregado.
¿Qué informes entregamos después de un Hacking Ético?
Los informes son diferentes en este tipo de pruebas pues se entregan varios dependiendo de la duración del ejercicio, pero siempre están enfocados a proporcionar valor y estar actualizados con los nuevos vectores de ataque. Los informes también son personalizados de acuerdo con las necesidades y requerimientos de cada organización.
¿En qué provincias de España prestamos servicio?
A pesar de estar basados en Madrid podemos presentar servicio en cualquier provincia del país, siempre y cuando puedan descargar una máquina virtual y darnos el acceso de manera remota para poder conectarnos y realizar las pruebas necesarias.
¿Podemos realizar pruebas fuera de España?
Sí claro, hemos realizado pruebas en diversos países de Latinoamérica, Estados Unidos, Asia y Europa.
