Conseguir hacer una transferencia en nombre de otro cliente en la app móvil de una financiera. Descubrir un fallo que podría llegar a romper una página web o hacerla inacessible a través de una denegación de servicio (DoS). Detectar brechas en la validación de los roles de usuario de una aplicación de gestión hospitalaria. O lograr acceder físicamente a una oficina y llevarse documentos de una impresora. Son algunos ejemplos de la larga lista de vulnerabilidades y riesgos que pueden identificarse a través de una auditoría de seguridad.
Además de identificar brechas de seguridad y determinar el nivel de madurez, las auditorías ayudan a garantizar la protección de activos y datos, asegurar el cumplimiento normativo, mejorar los protocolos de respuesta a incidentes para minimizar el impacto y reforzar las estrategias de ciberseguridad. Este tipo de análisis de seguridad y evaluación de riesgos realizados por equipos profesionales especializados permiten hacer una foto fija que revela en qué punto se encuentra la seguridad de una organización, de una aplicación o un sistema informático.
¿Qué tipo de auditorías existen?
Footprinting. Es una de las primeras prácticas de hacking que consiste en recopilar toda la información sobre un sistema u organización. Básicamente se trata de conocer la huella digital que está dejando una compañía a través de los datos públicos disponibles en línea y que van desde el nombre del dominio y subdominios a las direcciones IP y los perfiles de los empleados en Linkedin. El objetivo es tener una visión general de la superficien de ataque de una organización, para detectar posibles vulnerabilidades y fortalecer medidas de seguridad, sin interactuar directamente con los activos de la entidad.
Seguridad en entornos cloud. Los equipos especializados examinan la seguridad de los sistemas, datos, aplicaciones y recursos que se encuentran alojados en la nube. En este tipo de análisis se revisa la configuración de los servicios cloud para comprobar que no hay ninguna brecha que pueda ser explotada y se valida que se adecúa a los estándares normativos. Además, se verifica que los logs o registros se guardan correctamente. Con una demanda creciente del software como servicio (SaaS), estas auditorías son un elemento indispensable para garantizar la integridad, confidencialidad y disponibilidad de los datos y recursos en la nube.
Ingeniería social. Detrás del 74% de las brechas de seguridad se encuentra el elemento humano, según el último informe Data Breach Investigations de Verizon. Una de las vías más comunes para explotar esos fallos es la ingeniería social que busca, a través del engaño o manipulación de los trabajadores, conseguir acceso no autorizado a sistemas, redes o aplicaciones. Para medir los riesgos de una organización ante este tipo de amenazas, se simulan ataques de phishing con el correo electrónico o de vishing con llamadas telefónicas. Estas técnicas no sólo se centran en el mundo digital para descubrir hasta dónde podría acceder un atacante, también se pueden hacer pruebas como el envío de un ramo de flores a una persona trabajadora con un USB malicioso para ver cómo actúa y comprobar si cumple con las medidas de seguridad de la organización.
Seguridad en infraestructuras IT. Este tipo de auditorías se centra en la seguridad de los activos de una compañía que están expuestos a una red, tanto en internet como en las propias redes internas de la organización. Se trata de evaluar la información que podría obtener un atacante externo y que podría comprometer los sistemas, a través de servicios desactualizados, errores de configuración, credenciales por defecto, filtrado incorrecto de puertos o sistemas afectados por vulnerabilidades conocidas, entre otros. En definitiva, es un análisis exhaustivo de los sistemas y procesos de seguridad para comprobar que están alineados tanto a la normativa como a la política de seguridad.
Seguridad app web. Los equipos técnicos especializados revisan la seguridad de una aplicación web para identificar posibles brechas tanto en el código como en su arquitectura y configuración. Algunas de las pruebas más comunes consisten en testear la autenticación e inicio de sesión, verificar que no se puede inyectar código malicioso o evaluar la seguridad relacionada con los datos sensibles y la carga y descarga de archivos. El objetivo final es identificar todos los fallos y operativas en la implementación que pueden afectar a las aplicaciones.
Seguridad de código fuente. Este tipo de auditorías se focalizan en el código fuente del software que se utiliza o desarrolla en una compañía, para identificar posibles vulnerabilidades, errores de programación o prácticas inseguras que abrieran la puerta a ataques o robos de información. Estos análisis permiten conocer en detalle el estado actual de las aplicaciones tanto a nivel de seguridad como de calidad y rendimiento.
Seguridad de dispositivos de hardware. Se revisa la configuración, actualización y uso de credenciales de todos los dispositivos que están conectados a la red de una organización. Y eso pasa por analizar tanto impresoras y fotocopiadoras, como cámaras de videovigilancia, cajeros automáticos, cerraduras digitales, servidores de almacenamiento NAS o termoestatos de gestión energética. Los dispositivos IoT, conectados a la red interna corporativa, pueden llegar a ser un punto de entrada para atacar otros elementos de la misma red.
Seguridad app móvil. Es un tipo de auditoría similar a la de la aplicación web, pero centrada en plataformas móviles. Se revisa, por ejemplo, la conexión con el servidor, el cumplimiento de las políticas de seguridad de las app stores y se comprueba que no están guardando información sensible, entre otras cuestiones.
Otras auditorías complementarias
Aunque estas son las auditorías más frecuentes, existen otros tipos de pentest que ayudan a completar el análisis de seguridad de una empresa o administración pública. Existen por ejemplo auditorías wifi para identificar puntos de entrada y configuraciones deficientes y saber si esas conexiones están bien protegidas y adecuadamente aisladas para evitar que intrusos puedan acceder a ellas y hacerse con información sensible. Es, precisamente, lo que pasó en diversos hoteles asiáticos o en la red wifi gratuita del metro de la ciudad de México. En ambos casos los ciberdelincuentes se hicieron con datos de los usuarios.
También se contemplan auditorías de infraestructuras blockchain para verificar que los contratos inteligentes y las aplicaciones descentralizadas no tienen ninguna brecha.
Y en empresas con mayor madurez de ciberseguridad, se utilizan otras prácticas más sofisticadas. Una es la conocida como red team, en la que equipos externos actúan como si fueran atacantes para poner a prueba la defensa de una organización. Buscan un punto de acceso e intentan llegar lo más lejos posible. La simulación de malware es otra de estas técnicas de evaluación de riesgos que consiste en diseñar un malware personalizado para conocer qué impacto podría tener. Sería, por ejemplo, fingir un ataque ransomware cifrando los datos y enviando incluso una nota de rescate para medir la capacidad de detección y respuesta de una organización.
«Una auditoría de seguridad ayuda a detectar los puntos de mejora en una compañía para implementar otras medidas y tener una robusta estrategia de ciberseguridad»
¿Cómo se realiza una auditoría?
Recopilar información
Analizar
Identificar vulnerabilidades
Reportar hallazgos y recomendaciones
Vulnerabilidades más frecuentes
Fallos en el control de acceso. Se detectan errores en la autenticación de los usuarios a la hora de acceder al sistema o aplicación, de manera que no diferencia entre un tipo de usuario y otro. Una auditoría reveló, por ejemplo, que una aplicación de gestión hospitalaria no comprobaba el rol del usuario y no discriminaba si era médico o paciente, de manera que todos los usuarios podían realizar funciones restringidas al personal sanitario, como acceder a la información de los pacientes.
Cifrados débiles. En las auditorías pueden aflorar cifrados débiles u obsoletos que se utilizan en sistemas abriendo la puerta a vulnerabilidades que pueden permitir incluso interceptar comunicaciones. En algunos casos, se han detectado sistemas de cifrado “a medida” que permitían desencriptar los datos en menos de un segundo usando un ordenador común.
Fallos de configuración. Debido a la gran cantidad de sistemas involucrados en ofrecer un servicio y la gran cantidad de opciones de configuración, suele ser común que algunas opciones se pasen por alto y puedan afectar de forma negativa a los sistemas. Un servicio con su configuración por defecto, por ejemplo, puede permitir a un atacante usar credenciales conocidas para acceder a los paneles de administración. O simplemente un servicio puede mostrar sus versiones, allanando el camino a un atacante en la identificación de vulnerabilidades.
Fallos de validación. Son errores que suceden cuando no se valida el formato de los datos que introduce una persona usuaria ni se codifica bien su salida. De esta forma, se pueden producir fallos que permitan inyectar código en la base de datos, pudiendo obtener un volcado de toda su información o incluso haciéndose con el control del servidor que aloja las aplicaciones mediante la inyección de comandos en el sistema.
Phishing. Una de las pruebas más comunes que se realizan en el marco de las auditorías de seguridad son la simulación de ataques de phishing. Se lanza una campaña con un correo electrónico con un enlace engañoso o que solicita credenciales para conocer el nivel de seguridad de la organización. En definitiva, se trata de una acción de evaluación de riesgos, pero también de formación y concienciación del personal.
Informe de tendencias en ciberseguridad 2024
¿Qué impacto tiene una auditoría de seguridad?
Desde Sofistic, la unidad de ciberseguridad de Cuatroochenta, contamos con profesionales altamente cualificados y especializados en analizar y conocer el estado actual de cualquier elemento del entorno de tu organización. A través de una auditoría de seguridad obtendrás un informe con las vulnerabilidaes y riesgos hallados y las recomendaciones para fortalecer la estrategia de seguridad. Y es que este tipo de análisis son una herramienta básica de prevención, pero no pueden ser una intervención puntual e individual, sino que debe ir acompañada de una estrategia de seguridad reactiva y robusta.