El documento describe los riesgos de ciberseguridad asociados con la actividad en Internet y las técnicas de pentesting. Explica que cualquier dirección IP o sistema conectado a Internet está expuesto a ataques y vulnerabilidades que pueden ser explotadas por hackers. Además, describe las capacidades del pentesting ético para auditar entornos de forma remota, identificar vulnerabilidades y evaluar el riesgo real de ciberataques para una compañía.

1. Cybersecurity
Santiago Toribio
Tfno: 669 373 358
s.toribio@almatech.es

2. www.andanzatechnologies.com
Riesgos actuales asociados a Internet. Ciberiesgos
Ciberiesgos asociados a la actividad en Internet.
• Cualquier dirección IP pública asociada nuestros elementos de red y/o sistemas es una
ventana expuesta a Internet que debe contar con las medidas adecuadas de protección.
• Cualquier vulnerabilidad en estos elementos está expuesta a Internet y puede ser
identificada y utilizada para realizar ataques maliciosos.
• Existen dos grandes tipos de vulnerabilidades asociados a los elementos expuestos a
Internet:
• Entornos web y aplicaciones. SQL Inyection, Cross-Site Scripting (XSS), Buffer
Overflow, , Authentication Bypass or File Inclusion, errores de programación, etc. son
técnicas utilizadas con éxito por los hackers.
• Infraestructuras. Mala parametrización, credenciales débiles, ausencia de parches
de seguridad, versiones obsoletas, seguridad perimetral insuficiente (FW, IDS…) mala
segmentación de red y arquitecturas de sistemas y aplicaciones deficientes hacen
posible la realización de ciberataques con éxito.
 El Hacking se ha “democratizado”. Existen infinidad de herramientas en Internet como
SQLmap, Hajiv, etc. que permiten perpetrar ataques exitosos de forma sencilla y amigable
sin necesidad de tener conocimientos técnicos avanzados.
Técnicas de Pentesting

3. www.andanzatechnologies.com
El HE es una herramienta excelente para calibrar con precisión el nivel de Ciberiesgo:
 Sus principales capacidades al servicios de la Ciberseguridad son:
 Auditoría remota de entornos complejos en cualquier ubicación.
 Identificación e inventario de las vulnerabilidades asociadas a cada elemento de red y/o sistema.
 Identificación de los vectores de ataque mas factible y evaluación del riesgo real que suponen para la
compañía.
 Identificación de los activos expuestos a internet y las correspondientes evidencias.
 Seguimiento ágil y efectivo de los planes de remediación mediante la realización de un retesting que
permita evaluar la efectividad de las medidas adoptadas.
 Análisis forense de los incidentes de seguridad para identificar los vectores de ataque utilizados, la
profundidad del ataque, sus efectos y los activos alcanzados.
 Otras capacidades adicionales. Alerta temprana y Ciberinteligencia:
 Identificación proactiva de ataques Zero-Day.
 Seguimiento, investigación e infiltración en los foros “underground” y Deep Web para:
 Identificar robos de información y acciones ilegales/fraudulentas contra la compañía.
 Definición de mecanismos de alerta temprana para prevenir ataques.
Técnicas de Pentesting

4. www.andanzatechnologies.com
Cómo lo hacemos?
Aplicamos dos esquemas de trabajo:
 Fase 1. Pentest de Caja Negra.
 Este trabajo se realiza exclusivamente desde Internet y permite calibrar con precisión el nivel exposición a Internet.
 Creación de un inventario de los elementos expuestos a Internet y sus vulnerabilidades asociadas.
 Aplicación de técnicas de HE a los vectores de ataque mas factibles y generación de las evidencias de los resultados
obtenidos.
 Fase 2. Pentest de Caja Blanca.
 Este fase del trabajo se realiza desde el interior de la red y es un complemento esencial a la Fase 1 ya que una vez que se ha
penetrado el perímetro exterior, los Hackers utilizan estas vulnerabilidades internas para profundizar en sus ataques hacia
los activos más sensibles y valiosos.
 Se analiza en detalle la topología de la red y la arquitectura de los sistemas desde una perspectiva de seguridad.
 Se audita el nivel de hardening de los elementos y sistemas críticos.
 Se analiza el nivel de resiliencia frente ataques externos e internos. Un empleado desleal (insider) puede ser muy peligroso
ya que conoce cuáles son y donde se encuentran los datos mas sensibles de la compañía.
Para la realización de estos trabajos utilizamos técnicas herramientas específicas expresamente parametrizadas para la ejecución de
forma segura de este tipo de actividades. Nuestra metodología tiene un componente manual altamente especializado que nos permite
obtener un inventario muy preciso de las vulnerabilidades y el riesgo real que suponen. Este nivel de precisión es imposible de alcanzar
solo con herramientas automáticas.
Técnicas de Pentesting

5. www.andanzatechnologies.com
A la hora de identificar las vulnerabilidades y calibrar los riesgos aplicamos los principales
estándares internacionales
 OSSTMM. Open Source Security Testing Methodology Manual.
 Es uno de los estándares profesionales más completos y comúnmente utilizados en Auditorías de Seguridad para
revisar la Seguridad de los Sistemas desde Internet.
 Incluye un marco de trabajo que describe las fases que habría de realizar para la ejecución de la auditoría. Se ha
logrado gracias a un consenso entre cientos de expertos internacionales sobre el tema, que colaboran entre sí
mediante Internet.
http://osstmm.org
 CVSS. Common Vulnerability Scoring System.
 Con el objetivo de valorar de forma objetiva las vulnerabilidades utilizamos la metodología CVSS que es el
estándar internacional de facto.
 La elección de esta métrica se basa en la necesidad de tener un sistema de valoración independiente de los
fabricantes y respaldada por un organismo de referencia a nivel mundial como el FIRST.
http://first.org/cvss/
Técnicas de Pentesting

6. www.andanzatechnologies.com
Técnicas de Pentesting
NIVEL DE RIESGO AMENAZA
Bajo
Se consigue información pública de la compañía, pero que supone un daño mínimo o nulo al negocio;
o bien se consigue información sobre el sistema analizado pero no se consigue utilizarla para explotar
nuevas vulnerabilidades.
Medio
Se consigue información sensible de la compañía: información financiera básica (facturaciones,
beneficios), detalles de proyectos, información básica sobre clientes (nombres y etc.), datos de carácter
personal de nivel bajo (nombre, apellidos, direcciones de contacto, teléfonos, números de Cuentas
corrientes).
Alto
Acceso a datos de carácter privado: historiales de trabajo (Curriculum Vitae, datos de la Seguridad
Social), datos de carácter personal de nivel medio (datos relativos a infracciones administrativas o
penales, de hacienda pública, servicios financieros, solvencia patrimonial o crédito); o bien se logra
explotar una vulnerabilidad que permite ejecución de comandos o shell directamente en la máquina
como usuario; obtención de credenciales de acceso a sistemas, bases de datos o aplicaciones; acceso
masivo a datos de la base de datos.
Crítico
Acceso a datos de carácter confidencial: secretos comerciales, datos de carácter personal de nivel alto
(ideología, religión, creencias, origen racial, salud, vida sexual, datos con fines policiales sin
consentimiento del interesado), código fuente de aplicaciones, información útil para la competencia; o
bien se consigue ejecución de comandos o Shell como usuario de administración del sistema.
Criterios de valoración de vulnerabilidades del estándar CVSS:

7. www.andanzatechnologies.com
Desarrollamos nuestras propias herramientas
We have a platform for conducting remote penetration tests for our clients and monitoring their level of cyber risk. The platform is
composed of 3 main components:
Disponemos de nuestra propia plataforma para la realización de test de penetración y la monitorización de su nivel de ciberiesgo. La
plataforma se compone de tres elementos principales:
 Plataforma de Pentest:
 Está optimizada para la realización de test de penetración de forma ágil y segura según nuestra propia metodología
desarrollada durante años.
 Permite la realización de retesting de forma inmediata para verificar la efectividad de los planes de remediación.
 Permite la planificación de nuevos test de penetración, totales o parciales, para calibrar la evolución del nivel de ciberiesgo
del cliente.
 Sondas de HE.
 Esta sonda basada en tecnología Raspberry y un sistema operativo altamente securizado basado en NetBSD actúa como
pasarela segura para la realización remota de test de caja blanca y recopilación de evidencias.
 Muy pequeña y fácil de instalar. Solo hay que conectarla al segmento de red a auditar y ella sola se autoconfigura para la
realización de los test de forma segura en la venta de servicio especificada.
 Una vez conectada a al red la sonda establece un túnel seguro con nuestra plataforma.
 Toda la actividad realizada por la sonda genera un log de actividad para permitir al cliente auditar7trazar toda la actividad
realizada
 Cyberintelligence Platform.
 Posee elevadas capacidades de búsqueda de contenidos/información perteneciente a la compañía en Internet y redes
sociales que permiten identificar fugas de información.
 Permite el seguimiento de determinados foros y redes underground para identificar y prevenir acciones maliciosas contra la
compañía.
Herramientas de Pentesting

8. www.andanzatechnologies.com
Somos Partner tecnológicos de compañías innovadoras en materia de Ciberseguridad
Herramientas de Seguridad
Randed. Tecnología de Isolation Cloud capaz de
convertir cualquier sesión de usuario en un ‘stream’ de
video. Basada en el concepto Air Gap, permite que
toda aplicación necesaria para el usuario puede ser
accedida y gestionada desde cualquier PC o dispositivo
dentro de un entorno controlado, seguro e
independiente, manteniendo el mismo formato de
interfaz a través, simplemente, de un navegador web.
Buguroo. Su producto bugFraud es una solución
antifraude que combina tecnologías de Deep Learning
y Analíticas Cognitivas, aplicadas al comportamiento
del usuario, para la detección y prevención de
amenazas que atenten contra la seguridad de las
sesiones de usuarios de portales de banca online,
comercio online, etc…
Smartfense. Desarrolla una plataforma de capacitación
y concienciación en Seguridad de la Información que
genera hábitos seguros en los usuarios finales. La
plataforma de SMARTFENSE, distribuida por Lidera,
permite la gestión del programa de capacitación y
concienciación, con métricas que dan a conocer de
forma objetiva el grado de efectividad de sus acciones.
CounterCraft. La solución de CounterCraft despliega
campañas basadas en el engaño, ofrece un monitoreo
en detalle y acciones de respuesta complejas. La
plataforma de engaño distribuido, premiada por
relevantes organizaciones, es utilizada actualmente
por gobiernos, organismos de seguridad y defensa, y
compañías del índice Fortune500

9. www.andanzatechnologies.com
Sistema
Intermedio
Audited
System
1- Loader
instalation
2- Actualización
del script (si es
necesario)
3- Loader
control scripts
execution
4- Envío de
resultados
5- Recepción y
análisis de
resultados
Consol
6- Configuration
evidences
sending
Log
repository
7- Envío de
Logs
Ethical Hacking Platform

10. www.andanzatechnologies.com
Cybersecurity Governance Model
10
Security standars: OWASP….
System Risk Analysis
Controls access to data
Audit and traceability
Source code analysis and
Penetration Test
App
Middleware
BBDD
SO
COMM
CPD
Seguridad en el Desarrollo
Seguridad en las Infraestructuras
Log&configurationanalysis
Security Rq´s: Design, hardening, access control, resiliance, polit. BCK, audit y traceability, standars compliance…
Controles de Ciberseguridad sobre todas las capas tecnológicas

11. www.andanzatechnologies.com
Protocolo de conexión:
 Los mecanismos de conexión entre la plataforma y la sonda se hacen mediante mecanismos avanzados de
criptografía
• La conexión se establece desde la sonda
hacia la dirección IP de la plataforma
mediante un túnel seguro por lo que la red
del cliente nunca se expone a internet.
 La persistencia de la conexión es revisada de
forma permanente. En caso de caída se
restablece de forma automática y autónoma.
 El uso del ancho de banda es autolimitado
para optimizar el uso de recursos de red.
 A la sonda se le asigna una IP fija de la red
para que pueda ser monitorizada por parte
de las áreas de red/seguridad.
 Toda la actividad de la sonda se registra en
log para permitir tracear y auditar su
actividad.
Ethical Hacking Platform

12. www.andanzatechnologies.com
Sondas de HE
¿Qué es?:
 Dispositivo físico que se conecta a la red local de la OB
para facilitar la auditoría de Ciberseguridad a
distancia.
 Contiene las herramientas básicas necesarias para un
análisis de seguridad y actúa de pasarela con la
plataforma de Hacking Ético.
 Bastionada a conciencia para garantizar los máximos
niveles seguridad. Las comunicaciones van cifradas y el
acceso se realiza mediante certificados.
 El cliente tiene la posibilidad de desconectar/conectar
la sonda según sus necesidades/criterio.
 La sonda es autónoma. Una vez encendida y
conectada a la red se autoconfigura para conectarse a
la plataforma de Hacking Ético.
 Basada en tecnología Raspberry permite un
despliegue de múltiples sondas low-cost adecuarse a
la topología de la red del cliente.
BENEFICIOS
Solución plug &play que permite el inicio
inmediato de las auditorías.
Permite automatizar las tareas de
seguimiento (retesting) de las
vulnerabilidades identificadas
Permite el despliegue en diferentes puntos
para adecuarse a la topología y las
particularidades de la red y los sistemas del
cliente
Permite la actualización y/o potenciación de
las capacidades de monitorización y control
de la red y los sistmas del cliente

13. s.Toribio@almatech.es
Valentín Beato, 23 - 28037 Madrid , España
Tel. +34 669 373 358