CiberSeguridad y Pentesting

En los últimos 50 años, hemos asistido a una revolución digital cuyos efectos y consecuencias todavía no podemos cuantificar. La era digital ha supuesto la creación de una red universal de comunicaciones, llamada Internet, que permite el acceso a individuos, empresas y estados a la mayor base de datos de conocimiento e información jamás vista, materializada en millones de sitios web, aplicativos y repositorios de contenidos. Para medir hoy el almacenamiento de toda la información presente en Internet ha sido necesario crear una nueva medida de almacenamiento: el Zettabyte, que equivale a 10⁹ Terabytes. Se estima que para finales de 2021 se alcancen los 3,3 Zettabytes.

Estas cifras indican que el uso y dependencia que tenemos de los datos es creciente y universal y que cualquier circunstancia que impida el acceso a los datos puede tener consecuencias devastadoras en el funcionamiento de los servicios públicos, como hospitales, redes de energía, telefonía, centros enseñanza, transporte, suministro de gas y un largo etcétera.

También las empresas, instituciones e individuos tenemos, para las operaciones del día a día, una dependencia cada vez mayor. Operaciones tan simples y cotidianas como emitir una factura, un albarán, emitir pagos, realizar transferencias, consultar un informe académico, ver los saldos bancarios, conocer los contactos de tus proveedores o clientes; todo esto requiere el acceso a fuentes de datos presentes en tu máquina local o en máquinas remotas a través de Internet.

Por esto, no es de extrañar que delincuentes de todo tipo traten de hallar vulnerabilidades que, explotadas, les permitan obtener beneficios económicos, políticos, propagandísticos o crear sensaciones de inseguridad entre la ciudadanía. En el GlobalRiskReport 2019 del World Economics Forum, la CiberSeguridad figurase como el quinto riesgo en probabilidad de ocurrencia y el octavo por su impacto de un total de 30 riesgos contemplados.

Podemos clasificar las vulnerabilidades según el vector de ataque

Vulnerabilidades en sistemas operativos: Backdoors, escalado de privilegios, denegación de servicios
Vulnerabilidades en aplicaciones: falta de validación en campos de entrada, violación de segmento, Cross SiteScripting o inyección de SQL.
Vulnerabilidades en la red de comunicaciones: Ausencia de firewall y de políticas de seguridad, ausencia de IPS (Sistemas de prevención de Intrusiones) y de IDS (Sistemas de detección de intrusiones), tráfico no cifrado, técnicas de Man in the middle.
Vulnerabilidades por el factor humano: A través de técnicas de ingeniería social un usuario hace vulnerable el sistema por engaño. Phishing por correo electrónico, Phishing por sitio web, Vishing, Smishing, Phishing por redes sociales, etc.

De todos los vectores expuestos, el del factor humano, solo puede ser resuelto si las empresas e instituciones implantan políticas de formación e información, y estableciendo protocolos de actuación que prevengan estas técnicas maliciosas.

Con respecto a los otros tres vectores expuestos, existen técnicas de análisis de vulnerabilidades, o Pentesting, cuyas fases se exponen en el siguiente grafico:

Para poder evaluar el nivel de riesgo que presenta un servidor o un segmento de red, hay que desplegar una metodología de análisis que permita identificar cada una de la vulnerabilidades existentes así como cuantificar el nivel de riesgo que supone para la seguridad o disponibilidad de los datos.

Una vez realizado el pentesting, Integra podrá indicar las medidas de seguridad necesarias para la correcta protección de los datos y servidores y podrá realizar las tareas concretas de salvaguarda necesarias para garantizar un funcionamiento robusto, fiable y seguro de la infraestructuras.

La datos no solo deben ser protegidos para cumplir con las obligaciones legales emanadas por el RGPD o por el cumplimiento normativo, sino que, según hemos visto, son el corazón de toda actividad económica y personal.

Si desea más información sobre este tema, en Integra estaremos encantados de atenderle.

En Madrid, a día 26 de enero de 2021

Diego Echeverri Uribe
Director Tecnológico
Integra Información y Comunicación, S.L.

Cookie	Duración	Descripción
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookie	Duración	Descripción
fr	3 months	Facebook sets this cookie to show relevant advertisements to users by tracking user behaviour across the web, on sites that have Facebook pixel or Facebook social plugin.
NID	6 months	NID cookie, set by Google, is used for advertising purposes; to limit the number of times the user sees an ad, to mute unwanted ads, and to measure the effectiveness of ads.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Cookie	Duración	Descripción
wp_api	past	No description
wp_api_sec	past	No description

CiberSeguridad y Pentesting

Artículos relacionados

eCiber PicoEmpresa Filter: Monitorización de la red y filtrado de contenidos para colegios con pocos recursos

Balance 2023 y Plan para 2024

eCanal: La gestión de tu Canal de Denuncias en tu bolsillo

La influencia de las Redes Sociales en la Educación y las Empresas

Dónde estamos

Contacta