Servicios de Pruebas de Penetración en México

La seguridad de tu organización es nuestra prioridad

Como en cada uno de nuestros servicios, nuestro propósito es convertirnos en una parte de tu organización, queremos que tu inversión sea aprovechada al máximo, primero nos esforzamos por entender tus necesidades, conocer a tu empresa, sus objetivos y motivaciones, de esta forma entregamos el mejor servicio. Aunque somos estrictos en emplear las mejores prácticas de calidad dentro de la industria, todos nuestros servicios son personalizados con base en las necesidades particulares de cada cliente, damos soluciones a la medida de cada organización.

¿Qué es una Prueba de Penetración o PenTest?
¿En qué consiste una prueba de penetración o PenTest?

El servicio de Prueba de Penetración (Penetration Testing o PenTest) que proporcionamos en México, consiste en realizar ataques con las herramientas y métodos empleados por los crackers (atacantes reales, erróneamente llamados hackers), para evaluar que tan efectivas son las defensas de las organizaciones.

Básicamente es "hackear" con autorización del dueño el sistema o aplicación.

Las metodologías empleadas por nuestros consultores son metodologías reconocidas a nivel mundial como NIST, OWASP, PTES, Mitre ATT&CK, experiencia generada internamente, experiencia de cada ingeniero, así como otras metodologías y métodos underground que atacan las 7 capas del modelo OSI y la llamada octava capa: el usuario. Estas metodologías mezcladas en la apropiada dosis proveen una evaluación completa a la infraestructura y/o aplicaciones.

Lo que nos diferencia de otras empresas que también se especializan en Pruebas de Penetración en México es que nuestro trabajo va más allá de entregar el reporte, recoger el cheque y salir para ir con la siguiente empresa. A nosotros nos interesa que tanto el personal ejecutivo como el personal operativo entienda los riesgos a los que se enfrentan, sepa como minimizarlos y aprenda con cada prueba la mejor forma de continuar protegiendo su infraestructura. Además te mantenemos informado sobre los nuevos ataques y amenazas.

¿Cuál es la diferencia entre una Prueba de Penetración, Hackeo Ético y Análisis de Vulnerabilidades?

Comencemos con una definición de cada uno y posteriormente analizaremos las diferencias:

Análisis de Vulnerabilidades:
También conocido como Escaneo de Vulnerabilidades, Vulnerability Assessment, Vulnerability Scan, Vulnerability Test, Prueba de Vulnerabilidades.

Es un método mayormente automatizado para identificar vulnerabilidades en las redes o aplicaciones Web de las organizaciones, las herramientas identifican y asignan un nivel de severidad que puede ser Crítico, Alto, Medio o Bajo, por ejemplo.

Regularmente este tipo de pruebas se ejecutan como un primer paso, en organizaciones donde se sabe que existen vulnerabilidades y requieren ayuda para que de manera rápida sean identificados y se les dé prioridad.

Otras organizaciones realizan escaneos de vulnerabilidades de manera recurrente (cada 3 meses por ejemplo) para mantener las vulnerabilidades al mínimo e identificarlas lo más rápido posible, está es una práctica muy recomendable.

En general en un análisis de vulnerabilidades no se realiza la explotación de éstas, lo que puede traducirse en falsos positivos. He aquí la diferencia entre un Análisis de Vulnerabilidades (Vulnerability Assessment) y un PenTest o Prueba de Penetración. Mientras en el Vulnerability Assessment, el proceso se realiza con herramientas automatizadas y se toman los resultados encontrados como el valor absoluto, en un PenTest este es uno de los primeros pasos del proceso, es decir, ya encontradas las vulnerabilidades en el análisis automatizado, se realiza la explotación de éstas con el objetivo de brindar una mayor certeza sobre el estado de riesgo en los activos de la organización, esto ayuda a confirmar si es que dichas vulnerabilidades realmente existen y así evitar los falsos positivos o a encontrar algunas más que las herramientas no hayan detectado.
Hay situaciones en que puede resultar conveniente para la organización realizar un Análisis de Vulnerabilidades, por ejemplo:

• Previo a realizar un PenTest, se realiza un AV para reducir las vulnerabilidades a la menor cantidad posible
• Cuando nunca se ha realizado un PenTest.
• Cuando se tiene un presupuesto reducido.
• También es recomendable ejecutar AV interno frecuentemente para mantener las vulnerabilidades básicas bajo control.

Ambas pruebas tienen sus casos de uso, pero para una prueba más completa se recomienda un PenTest o incluso si se desea ir al siguiente nivel un Hackeo Ético.

Nuestra diferencia

Nuestra misión en Kolibërs Group es incrementar la seguridad de los ciudadanos y de las Micro, Pequeñas y Medianas empresas de México. Más información sobre nuestra misión aquí: Nuesto ADN Así que hemos diseñado un esquema que nos permite ofrecer costos accesibles y al mismo tiempo ofrecer servicios de calidad pues creemos que la seguridad debe ser para todos no solo para quien pueda pagarla.

Nosotros probamos una vez, te decimos como corregir las vulnerabilidades encontradas, si antes de tres meses nos comunicas que han sido resueltas probamos nuevamente para asegurarnos que las medidas propuestas fueron implementadas de forma correcta, si es necesario ajustar o incluso detectamos si se abrieron nuevas vulnerabilidades después de la mitigación

Te acompañamos durante todo el proceso de asegurar tu aplicación o tu red, no nos detenemos solo en el reporte y en las vulnerabilidades de OWASP Top 10 o cualquier otro estándar de vulnerabilidades. Te apoyamos a identificar vulnerabilidades que van más allá de los estándares antes mencionados, y te recomendamos medidas para mitigar y optimizar tus aplicaciones. Nuestro objetivo es mejorar la postura de seguridad de tu organización y ayudarlos a cumplir e ir más allá de sus objetivos.

Costo aproximado de una prueba de penetración o PenTest.

El costo de una Prueba de Penetración varía mucho dependiendo básicamente del tamaño, tecnologías, plataformas, complejidad, etc. de la infraestructura o aplicación a probar. Nosotros contamos con PenTest desde $30,000.00 pesos para Micro Pequeñas y Medianas Empresas (MiPyMEs), puesto que nuestro mercado objetivo son las PyMEs, hemos desarrollado diversos planes con diferentes metas, que sin duda se ajustarán a su presupuesto, contamos con planes y paquetes para PyMEs que van desde los $30,000.00 pesos proporcionarán una solución muy completa, pregunte a nuestros profesionales aquí.

Podemos hacer Pruebas de Penetración o PenTest a Sitios Web
Más información en: Pruebas de Penetración Web


Y a la infraestructura interna, externa o ambos
Más información en: Pruebas de Penetración Red

Costo aproximado de un Análisis de Vulnerabilidades.

Para Análisis de Vulnerabilidades Web semi-automátizados y de forma remota contamos con paquetes desde $3,000.00 MXN (Pesos mexicanos) a una aplicación web pequeña.
Más información aquí: Análisis de Vulnerabildades Web

Para redes e infraestructura interna un análisis de vulnerabilidades semi-automátizado y remoto desde: $5,000.00 MXN (Pesos mexicanos) Hasta 20 IPs sin incluir aplicaciones web.
Más información en: Análisis de Vulnerabilidades Red

¿Qué tipos de PenTest hay?

Se habla de tres tipos básicos de PenTest:

• Black Box Pentest - Caja Negra
• White Box PenTest - Caja Blanca
• Grey Box PenTest - Caja Gris

Black Box PenTest (Caja Negra)

En un evento real, el atacante no conoce nada o conoce muy poco acerca de la infraestructura de la organización, este buscará varias formas de obtener la información que necesita para vulnerar su objetivo.

El Black Box es un tipo de prueba que va un poco más apegado a la realidad, ya que el atacante (en este caso el tester) sabe muy poco sobre la infraestructura que va a atacar, el objetivo de este tipo de pruebas es ver que tan fuertes son las protecciones de la organización para un atacante real, pero en este escenario hay una desventaja para el Pentester porque un atacante real tiene mucho tiempo para hacer investigación del objetivo y se puede tomar el tiempo de realizar prueba y error, mientras descubre las distintas vulnerabilidades, o bien puede ser un atacante interno que ya cuenta con cierto tipo de información y tienen una ventaja significativa, por otro lado, el Pentester solo tiene un tiempo limitado (regularmente una semana) para conseguir vulnerar la organización, para que este tipo de prueba realmente tenga éxito requiere de más tiempo y es más costoso. Muchas organizaciones eligen este tipo de prueba para conocer qué tan fuertes son las defensas de la organización, aunque deben tener en cuenta la cuestión del tiempo, un atacante real siempre lleva la ventaja contra un Black Box.

White Box PenTest (Caja Blanca)

En una prueba White Box el Pentester tiene un acceso total a la infraestructura de la organización contraseñas de administrador e incluso al código fuente de alguna aplicación Web, móvil, etc. Este tipo de prueba es ideal para un PenTest ya que al tener acceso a la infraestructura y conocimiento interno de diversos sistemas, es más rápido encontrar brechas ya que el Pentester puede enfocar su tiempo en las áreas que generalmente tienen vulnerabilidades y puede abarcar más áreas de prueba ya que no desperdiciará tiempo en encontrar información que fácilmente se las puede compartir el administrador de la infraestructura o aplicación.

Grey Box PenTest (Caja Gris)

Como lo puede deducir este tipo de prueba es una combinación de las anteriores donde no se le da toda la información al Pentester, solo ciertas partes que son importantes para aprovechar el tiempo de la prueba, entre los administradores y el Pentester podrán decidir qué tipo de información se comparte dependiendo de los objetivos específicos de cada organización, por ejemplo podrían compartirse los diagramas de red, los rangos, inventario, tipos de aplicaciones, etc. de este modo se aprovechará mejor la prueba, de acuerdo a los requerimientos específicos de cada organización.

Este es el tipo de prueba más común debido a que comparte varias ventajas de un Black Box y White Box.

¿Cuentan con algún tipo de certificación?

En el área de Pruebas de Penetración como en casi todas las áreas profesionales, lo más importante es la experiencia, la experiencia y el nivel de conocimientos es lo que más valoramos en Kolibërs, pero sabemos que muchas organizaciones al no conocernos requieren contar con algún soporte que les de tranquilidad sobre la capacidad de quienes van a verificar su infraestructura, algo que es muy válido y se debe solicitar. Es aquí donde entran las certificaciones y nuestros ingenieros cuentan con una o más de las siguientes certificaciones:

• GPEN - GIAC Penetration Tester
• GWAPT - GIAC Web Application Penetration Tester
• CEH - Certfied Ethical Hacker
• CISSP - Certified Information Systems Security Professional
• OSCP - Offensive Security Certified Professional
• AWS - Certified Security Specialty

Las certificaciones pueden variar dependiendo del proyecto, costo, tiempo.

¿Por qué sus costos son más económicos?

Tratamos de mantener nuestros costos accesibles para las Micro, Pequeñas y Medianas Empresas (MiPyMEs), organizaciones civiles y sin fines de lucro, hospitales pequeños y entidades gubernamentales con poco presupuesto, entre muchas más, para que este tipo de servicios de seguridad estén a su alcance para todos, no solo para los que puedan pagarlo y no se queden desprotegidas. Los servicios para grandes corporativos son diferentes ya que estos están en posibilidad de pagar el precio real de los servicios, pero aún para los corporativos nuestros precios son bastante competitivos ya que nuestra experiencia, procesos y la motivación de nuestros colaboradores optimizan los servicios.

¿Cuáles son los entregables de un PenTest?

Kolibërs entrega dos reportes uno ejecutivo y uno técnico. Los cuales se entregan de preferencia en dos sesiones distintas, pues cada uno tiene diferente audiencia y propósito:

Reporte Ejecutivo:
Cómo se puede intuir en el nombre, este reporte se entrega a los ejecutivos de la organización y se explica en lenguaje no técnico los riesgos identificados y la mejor forma de solucionarlos, de esta forma la alta dirección podrá tomar decisiones informadas y aplicar sus presupuestos basado en riesgos.

Reporte Técnico:
El reporte técnico se entrega al área de sistemas de la organización, donde se explica a detalle cada vulnerabilidad identificada, cómo se identificó y cuál es la mejor manera de solucionarlas. Con esta información la parte técnica podrá resolver los riesgos con base en la retroalimentación que brindan nuestros ingenieros, la alta dirección y sus objetivos y experiencia propia para que la organización saque el máximo provecho de las pruebas.

Siempre tratamos de ir más allá de una simple recomendación de libro, nos tomamos el tiempo de conocer a la organización, su tecnología y los retos a los que se enfrentan para recomendar las mejores soluciones y damos seguimiento a las vulnerabilidades encontradas, además tienes acceso a nuestro boletín mensual de clientes donde damos más consejos de seguridad, cursos de concientización, cursos prácticos de herramientas, descuentos con nuestros socios, etc.

¿En qué estados de México pueden dar servicio?

A pesar de estar basados en la Ciudad de México podemos presentar servicios a cualquier estado del país, siempre y cuando puedan descargar una máquina virtual y darnos el acceso para podernos conectar y realizar las pruebas necesarias.

¿Pueden realizar pruebas fuera de México?

Sí claro, hemos realizado Pruebas en diversos países de Latinoamérica, USA, Asia y Europa.