Klbrs Security
  • Inicio
  • Servicios
    • Solicita presupuesto
    • PenTest
      • PenTest Web
      • PenTest Red
      • PenTest Móviles
      • PenTest API
      • PenTest AWS
    • A. Vulnerabilidades
      • Vulns Web
      • Vulns Red
      • Vulns AWS
    • Training
      • Arquitectura
      • Concienciación
      • Ciberseguridad
    • Hacking Ético
    • Seguridad FinTech
  • Contacto
  • Nosotros

Servicios de Pruebas de Penetración en España

Nuestra experiencia en grandes corporaciones puesta a disposición de las PyMEs

Pruebas de Penetración Photo by Photo by Science in HD on Unplash

La seguridad de tu organización es nuestra prioridad

Como en cada uno de nuestros servicios, nuestro propósito es convertirnos en una parte de tu organización, queremos que tu inversión sea aprovechada al máximo, primero nos esforzamos por entender tus necesidades, conocer a tu empresa, sus objetivos y motivaciones, de esta forma entregamos el mejor servicio. Aunque somos estrictos en emplear las mejores prácticas de calidad dentro de la industria, todos nuestros servicios son personalizados con base en las necesidades particulares de cada cliente, dando soluciones a la medida de cada organización.

¿Qué es una prueba de penetración o pentest?

¿En qué consiste una prueba de penetración o PenTest?

El servicio de prueba de penetración (Penetration Testing o PenTest) que proporcionamos en España, consiste en realizar ataques con las herramientas y métodos empleados por los crackers (atacantes reales, erróneamente llamados hackers), para evaluar que tan efectivas son las defensas de las organizaciones.

Básicamente es "hackear" con autorización del dueño el sistema o aplicación.

Las metodologías empleadas por nuestros consultores son metodologías reconocidas a nivel mundial como NIST, OWASP, PTES, Mitre ATT&CK, experiencia generada internamente y experiencia de cada ingeniero, así como otras metodologías y métodos underground que atacan las 7 capas del modelo OSI y la llamada octava capa: el usuario. Estas metodologías mezcladas en la apropiada dosis, proveen una evaluación completa a la infraestructura y/o aplicaciones.

Lo que nos diferencia de otras empresas que también se especializan en pruebas de penetración en España es que nuestro trabajo va más allá de entregar el informe, realizar el cobro y marcharse para continuar con la siguiente empresa. A nosotros nos interesa que tanto el personal ejecutivo como el personal operativo entienda los riesgos a los que se enfrentan, sepa como minimizarlos y aprenda con cada prueba la mejor forma de continuar protegiendo su infraestructura. Además te mantenemos informado sobre los nuevos ataques y amenazas.

¿Cuál es la diferencia entre una Prueba de Penetración, Hackeo Ético y Análisis de Vulnerabilidades?

Comencemos con una definición de cada uno y posteriormente analizaremos las diferencias:

Análisis de Vulnerabilidades:
También conocido como Escaneo de Vulnerabilidades, Vulnerability Assessment, Vulnerability Scan, Vulnerability Test, Prueba de Vulnerabilidades.

Es un método mayormente automatizado para identificar vulnerabilidades en las redes o aplicaciones web de las organizaciones, las herramientas identifican y asignan un nivel de severidad que puede ser crítico, alto, medio o bajo, por ejemplo.

Regularmente este tipo de pruebas se ejecutan como un primer paso, en organizaciones donde se sabe que existen vulnerabilidades y requieren ayuda para que de manera rápida sean identificados y se les dé prioridad.

Otras organizaciones realizan escaneos de vulnerabilidades de manera recurrente (cada 3 meses por ejemplo) para mantener las vulnerabilidades al mínimo e identificarlas lo más rápido posible, está es una práctica muy recomendable.

En general en un análisis de vulnerabilidades no se realiza la explotación de éstas, lo que puede traducirse en falsos positivos. He aquí la diferencia entre un Análisis de Vulnerabilidades (Vulnerability Assessment) y un PenTest o prueba de penetración. Mientras en el Vulnerability Assessment, el proceso se realiza con herramientas automatizadas y se toman los resultados encontrados como el valor absoluto, en un PenTest este es uno de los primeros pasos del proceso, es decir, ya encontradas las vulnerabilidades en el análisis automatizado, se realiza la explotación de éstas con el objetivo de brindar una mayor certeza sobre el estado de riesgo en los activos de la organización, esto ayuda a confirmar si es que dichas vulnerabilidades realmente existen y así evitar los falsos positivos o a encontrar algunas más que las herramientas no hayan detectado.

Hay situaciones en que puede resultar conveniente para la organización realizar un Análisis de Vulnerabilidades, por ejemplo:

  • Previo a realizar un PenTest, se realiza un AV para reducir las vulnerabilidades a la menor cantidad posible
  • Cuando nunca se ha realizado un PenTest.
  • Cuando se tiene un presupuesto reducido.
  • También es recomendable ejecutar AV interno frecuentemente para mantener las vulnerabilidades básicas bajo control.
Ambas pruebas tienen sus casos de uso, pero para una prueba más completa se recomienda un PenTest o incluso si se desea ir al siguiente nivel un Hackeo Ético.

Nuestra diferencia

Nuestra misión en Klbrs Security es incrementar la seguridad de los ciudadanos y de las micro, pequeñas y medianas empresas de España. Así que hemos diseñado un esquema que nos permite ofrecer costes accesibles y al mismo tiempo ofrecer servicios de calidad, pues creemos que la seguridad debe ser para todos, no solo para quien pueda pagarla.

Nosotros probamos una vez, te decimos como corregir las vulnerabilidades encontradas, si antes de tres meses nos comunicas que han sido resueltas, probamos nuevamente para asegurarnos que las medidas propuestas fueron implementadas de forma correcta, si es necesario ajustar o incluso detectamos si se abrieron nuevas vulnerabilidades después de la mitigación.

Te acompañamos durante todo el proceso de asegurar tu aplicación o tu red, no nos detenemos solo en el informe y en las vulnerabilidades de OWASP Top 10 o cualquier otro estándar de vulnerabilidades. Te apoyamos a identificar vulnerabilidades que van más allá de los estándares antes mencionados, y te recomendamos medidas para mitigar y optimizar tus aplicaciones. Nuestro objetivo es mejorar la postura de seguridad de tu organización y ayudarlos a cumplir e ir más allá de sus objetivos.

Coste aproximado de una prueba de penetración o PenTest.

El coste de una prueba de penetración varía mucho dependiendo básicamente del tamaño, tecnologías, plataformas, complejidad, etc. de la infraestructura o aplicación a probar. Puesto que nuestro mercado objetivo son las PyMEs, hemos desarrollado diversos planes con diferentes metas, que sin duda se ajustarán a su presupuesto, pregunte a nuestros profesionales aquí.

Podemos hacer pruebas de penetración o PenTest a sitios web
Más información en: Pruebas de Penetración Web


Y a la infraestructura interna, externa o ambos
Más información en: Pruebas de Penetración Red

coste aproximado de un Análisis de Vulnerabilidades.

El coste varía de acuerdo al tamaño, tecnologías y complejidad de la aplicación.
Más información aquí: Análisis de Vulnerabildades Web

Más información en: Análisis de Vulnerabilidades Red

¿Qué tipos de PenTest hay?

Se habla de tres tipos básicos de PenTest:

  • Black Box Pentest - Caja Negra
  • White Box PenTest - Caja Blanca
  • Grey Box PenTest - Caja Gris

Black Box PenTest (Caja Negra)

En un evento real, el atacante no conoce nada o conoce muy poco acerca de la infraestructura de la organización, este buscará varias formas de obtener la información que necesita para vulnerar su objetivo.

El Black Box es un tipo de prueba que va un poco más apegado a la realidad, ya que el atacante (en este caso el tester) sabe muy poco sobre la infraestructura que va a atacar, el objetivo de este tipo de pruebas es ver que tan fuertes son las protecciones de la organización para un atacante real, pero en este escenario hay una gran desventaja para el Pentester, porque un atacante real tiene mucho tiempo para hacer investigación del objetivo y se puede tomar el tiempo de realizar prueba y error, mientras descubre las distintas vulnerabilidades, o bien puede ser un atacante interno que ya cuenta con cierto tipo de información y tienen una ventaja significativa, por otro lado, el Pentester solo tiene un tiempo limitado (regularmente una semana) para conseguir vulnerar la organización, para que este tipo de prueba realmente tenga éxito requiere de más tiempo y es más costoso. Muchas organizaciones eligen este tipo de prueba para conocer qué tan fuertes son las defensas de la organización, aunque deben tener en cuenta la cuestión del tiempo, un atacante real siempre lleva la ventaja contra un Black Box.

White Box PenTest (Caja Blanca)

En una prueba White Box el Pentester tiene un acceso total a la infraestructura de la organización, contraseñas de administrador e incluso al código fuente de alguna aplicación web, móvil, etc. Este tipo de prueba es ideal para un PenTest ya que al tener acceso a la infraestructura y conocimiento interno de diversos sistemas, es más rápido encontrar brechas ya que el Pentester puede enfocar su tiempo en las áreas que generalmente tienen vulnerabilidades y puede abarcar más áreas de prueba ya que no desperdiciará tiempo en encontrar información que fácilmente se las puede compartir el administrador de la infraestructura o aplicación.

Grey Box PenTest (Caja Gris)

Como lo puede deducir este tipo de prueba es una combinación de las anteriores donde no se le da toda la información al Pentester, solo ciertas partes que son importantes para aprovechar el tiempo de la prueba, entre los administradores y el Pentester podrán decidir qué tipo de información se comparte dependiendo de los objetivos específicos de cada organización, por ejemplo podrían compartirse los diagramas de red, los rangos, inventario, tipos de aplicaciones, etc. de este modo se aprovechará mejor la prueba, de acuerdo a los requerimientos específicos de cada organización.

Este es el tipo de prueba más común debido a que comparte varias ventajas de un Black Box y White Box.

¿Contamos con algún tipo de certificación?

En el área de pruebas de penetración como en casi todas las áreas profesionales, lo más importante es la experiencia, la experiencia y el nivel de conocimientos es lo que más valoramos en Klbrs, pero sabemos que muchas organizaciones al no conocernos requieren contar con algún soporte que les de tranquilidad sobre la capacidad de quienes van a verificar su infraestructura, algo que es muy válido y se debe solicitar. Es aquí donde entran las certificaciones y nuestros ingenieros cuentan con una o más de las siguientes certificaciones:

  • GPEN - GIAC Penetration Tester
  • GWAPT - GIAC Web Application Penetration Tester
  • CEH - Certfied Ethical Hacker
  • CISSP - Certified Information Systems Security Professional
  • OSCP - Offensive Security Certified Professional
  • AWS - Certified Security Specialty
Las certificaciones pueden variar dependiendo del proyecto, coste, tiempo.

¿Por qué nuestros costes son más económicos?

Tratamos de mantener nuestros costes accesibles para las micro, pequeñas y medianas Empresas (MiPyMEs), organizaciones civiles y sin fines de lucro, hospitales pequeños y entidades gubernamentales con poco presupuesto, entre muchas más, para que este tipo de servicios de seguridad estén al alcance de todos, no solo para los que puedan pagarlo y no se queden desprotegidas. Los servicios para grandes corporaciones son diferentes ya que estos están en posibilidad de pagar el precio real de los servicios, pero aún para las corporaciones nuestros precios son bastante competitivos ya que nuestra experiencia, procesos y la motivación de nuestros colaboradores optimizan los servicios.

¿Qué informes se entregan después de un PenTest?

Klbrs entrega dos informes, uno ejecutivo y uno técnico. Los cuales se entregan preferiblemente en dos sesiones distintas, pues cada uno tiene diferente audiencia y propósito:

Informe Ejecutivo:
Cómo se puede intuir en el nombre, este informe se entrega a los ejecutivos de la organización y se explica en lenguaje no técnico los riesgos identificados y la mejor forma de solucionarlos. De esta forma la alta dirección podrá tomar decisiones informadas y aplicar sus presupuestos basado en riesgos.

Informe Técnico:
El informe técnico se entrega al área de sistemas de la organización, donde se explica en detalle cada vulnerabilidad identificada, cómo se identificó y cuál es la mejor manera de solucionarlas. Con esta información la parte técnica podrá resolver los riesgos con base en la retroalimentación que brindan nuestros ingenieros, la alta dirección y sus objetivos y experiencia propia para que la organización saque el máximo provecho de las pruebas.

Siempre tratamos de ir más allá de una simple recomendación de libro, nos tomamos el tiempo de conocer a la organización, su tecnología y los retos a los que se enfrentan para recomendar las mejores soluciones y damos seguimiento a las vulnerabilidades encontradas. Además tienes acceso a nuestro boletín mensual de clientes donde damos más consejos de seguridad, cursos de concienciación, cursos prácticos de herramientas, descuentos con nuestros socios, etc.

¿En qué provincias de España prestamos servicio?

A pesar de estar basados en Madrid podemos presentar servicio en cualquier provincia del país, siempre y cuando puedan descargar una máquina virtual y darnos el acceso para podernos conectar y realizar las pruebas necesarias.

Madrid
Barcelona
Valencia
Sevilla
Alicante
Málaga
Murcia
Cádiz
Vizcaya
Baleares
A Coruña
Las Palmas
Asturias
Santa Cruz de Tenerife
Zaragoza
Pontevedra
Granada
Tarragona
Córdoba
Girona
Gipuzkoa
Almería
Toledo
Badajoz
Navarra
Jaén
Cantabria
Castellón
Huelva
Valladolid
Ciudad Real
León
Lleida
Cáceres
Albacete
Burgos
Salamanca
Lugo
Álava
La Rioja
Ourense
Guadalajara
Huesca
Cuenca
Zamora
Palencia
Ávila
Segovia
Teruel
Soria
Melilla
Ceuta

¿Podemos realizar pruebas fuera de España?

Sí claro, hemos realizado pruebas en diversos países de Latinoamérica, Estados Unidos, Asia y Europa.

PenTest a Infraestructura

PenTest a Infraestructura

Conoce nuestro servicio de PenTest de Red. Probamos tu infraestructura de forma interna o externa con o sin credenciales para ayudarte a identificar vulnerabilidades en cualquier dispositivo en tu red.

  • Conocer más

Entrenamiento en seguridad

Entrenamiento en seguridad

Contamos con un programa de entrenamiento tanto para personal IT como para personas interesadas en el mundo de la ciberseguridad. Nuestros planes de estudio están enfocados en situaciones reales con una orientación practica y didáctica, impartidos por profesionales altamente calificados y experiencia en la vida real.

  • Conocer más

VEN A CONOCERNOS

Visítanos o síguenos en nuestras redes sociales para que estes informado sobre cuestiones de seguridad y como proteger a tu organización.

  • Dirección:

    Calle Velázquez 27
    1 Ext. Izda. 28001
    Madrid
  • Teléfono

    (34) 9154 13110

  • Email

    ventas@klbrs.es







© Klbrs Security Services S.L. Todos los derechos reservados.
Términos de uso |Política de Cookies | Política de privacidad | Contacto

Política de Cookies

Utilizamos cookies propias y de terceros para analizar la interacción en el sitio y mejorar la experiencia del usuario. Leer más.