CiberSeguridad y Pentesting

En los últimos 50 años, hemos asistido a una revolución digital cuyos efectos y consecuencias todavía no podemos cuantificar. La era digital ha supuesto la creación de una red universal de comunicaciones, llamada Internet, que permite el acceso a individuos, empresas y estados a la mayor base de datos de conocimiento e información jamás vista, materializada en millones de sitios web, aplicativos y repositorios de contenidos. Para medir hoy el almacenamiento de toda la información presente en Internet ha sido necesario crear una nueva medida de almacenamiento: el Zettabyte, que equivale a 109 Terabytes. Se estima que para finales de 2021 se alcancen los 3,3 Zettabytes.

Estas cifras indican que el uso y dependencia que tenemos de los datos es creciente y universal y que cualquier circunstancia que impida el acceso a los datos puede tener consecuencias devastadoras en el funcionamiento de los servicios públicos, como hospitales, redes de energía, telefonía, centros enseñanza, transporte, suministro de gas y un largo etcétera.

También las empresas, instituciones e individuos tenemos, para las operaciones del día a día, una dependencia cada vez mayor. Operaciones tan simples y cotidianas como emitir una factura, un albarán, emitir pagos, realizar transferencias, consultar un informe académico, ver los saldos bancarios, conocer los contactos de tus proveedores o clientes; todo esto requiere el acceso a fuentes de datos presentes en tu máquina local o en máquinas remotas a través de Internet.

Por esto, no es de extrañar que delincuentes de todo tipo traten de hallar vulnerabilidades que, explotadas, les permitan obtener beneficios económicos, políticos, propagandísticos o crear sensaciones de inseguridad entre la ciudadanía. En el GlobalRiskReport 2019 del World Economics Forum, la CiberSeguridad figurase como el quinto riesgo en probabilidad de ocurrencia y el octavo por su impacto de un total de 30 riesgos contemplados.

Podemos clasificar las vulnerabilidades según el vector de ataque

  • Vulnerabilidades en sistemas operativos: Backdoors, escalado de privilegios, denegación de servicios
  • Vulnerabilidades en aplicaciones: falta de validación en campos de entrada, violación de segmento, Cross SiteScripting o inyección de SQL.
  •  Vulnerabilidades en la red de comunicaciones: Ausencia de firewall y de políticas de seguridad, ausencia de IPS (Sistemas de prevención de Intrusiones) y de IDS (Sistemas de detección de intrusiones), tráfico no cifrado, técnicas de Man in the middle.
  • Vulnerabilidades por el factor humano: A través de técnicas de ingeniería social un usuario hace vulnerable el sistema por engaño. Phishing por correo electrónico, Phishing por sitio web, Vishing, Smishing, Phishing por redes sociales, etc.

De todos los vectores expuestos, el del factor humano, solo puede ser resuelto si las empresas e instituciones implantan políticas de formación e información, y estableciendo protocolos de actuación que prevengan estas técnicas maliciosas.

Con respecto a los otros tres vectores expuestos, existen técnicas de análisis de vulnerabilidades, o Pentesting, cuyas fases  se exponen en el siguiente grafico:

Para poder evaluar el nivel de riesgo que presenta un servidor o un segmento de red, hay que desplegar una metodología de análisis que permita identificar cada una de la vulnerabilidades existentes así como cuantificar el nivel de riesgo que supone para la seguridad o disponibilidad de los datos.

Una vez realizado el pentesting, Integra podrá indicar las medidas de seguridad necesarias para la correcta protección de los datos y servidores y podrá realizar las tareas concretas de salvaguarda necesarias para garantizar un funcionamiento robusto, fiable y seguro de la infraestructuras.

La datos no solo deben ser protegidos para cumplir con las obligaciones  legales  emanadas por el RGPD o por el cumplimiento normativo, sino que, según hemos visto, son el corazón de toda actividad económica y personal.

 

Si desea más información sobre este tema, en Integra estaremos encantados de atenderle.

 

En Madrid, a día 26 de enero de 2021

Diego Echeverri Uribe
Director Tecnológico
Integra Información y Comunicación, S.L.