Artículos

Auditorías
_
de
_
seguridad:
_
conoce
_
las
_
vulnerabilidades
_
de
_
tu
_
organización
_
antes
_
que
_
los
_
atacantes

Auditoría de seguridad  ·  Ciberseguridad

A través de técnicas de hacking, los equipos técnicos analizan el estado actual de la seguridad de una organización para detectar brechas antes de que lo hagan los ciberdelincuentes. Es una parte esencial de la estrategia de ciberseguridad de una compañía, junto a la monitorización continua y la respuesta rápida a incidentes.

Conseguir hacer una transferencia en nombre de otro cliente en la app móvil de una financiera. Descubrir un fallo que podría llegar a romper una página web o hacerla inacessible a través de una denegación de servicio (DoS). Detectar brechas en la validación de los roles de usuario de una aplicación de gestión hospitalaria. O lograr acceder físicamente a una oficina y llevarse documentos de una impresora. Son algunos ejemplos de la larga lista de vulnerabilidades y riesgos que pueden identificarse a través de una auditoría de seguridad.

Se trata de examinar exhaustivamente los riesgos y vulnerabilidades de una aplicación, una infraestructura o un sistema para evaluar la efectividad de las medidas de seguridad y proponer mejoras en la protección.

Además de identificar brechas de seguridad y determinar el nivel de madurez, las auditorías ayudan a garantizar la protección de activos y datos, asegurar el cumplimiento normativo, mejorar los protocolos de respuesta a incidentes para minimizar el impacto y reforzar las estrategias de ciberseguridad. Este tipo de análisis de seguridad y evaluación de riesgos realizados por equipos profesionales especializados permiten hacer una foto fija que revela en qué punto se encuentra la seguridad de una organización, de una aplicación o un sistema informático.

Otras auditorías complementarias

Aunque estas son las auditorías más frecuentes, existen otros tipos de pentest que ayudan a completar el análisis de seguridad de una empresa o administración pública. Existen por ejemplo auditorías wifi para identificar puntos de entrada y configuraciones deficientes y saber si esas conexiones están bien protegidas y adecuadamente aisladas para evitar que intrusos puedan acceder a ellas y hacerse con información sensible. Es, precisamente, lo que pasó en diversos hoteles asiáticos o en la red wifi gratuita del metro de la ciudad de México. En ambos casos los ciberdelincuentes se hicieron con datos de los usuarios.

También se contemplan auditorías de infraestructuras blockchain para verificar que los contratos inteligentes y las aplicaciones descentralizadas no tienen ninguna brecha.

Y en empresas con mayor madurez de ciberseguridad, se utilizan otras prácticas más sofisticadas. Una es la conocida como red team, en la que equipos externos actúan como si fueran atacantes para poner a prueba la defensa de una organización. Buscan un punto de acceso e intentan llegar lo más lejos posible. La simulación de malware es otra de estas técnicas de evaluación de riesgos que consiste en diseñar un malware personalizado para conocer qué impacto podría tener. Sería, por ejemplo, fingir un ataque ransomware cifrando los datos y enviando incluso una nota de rescate para medir la capacidad de detección y respuesta de una organización.

«Una auditoría de seguridad ayuda a detectar los puntos de mejora en una compañía para implementar otras medidas y tener una robusta estrategia de ciberseguridad»

Manu Ginés, Director de la Unidad Productiva Security Audit y responsable de I+D+i Sofistic

¿Cómo se realiza una auditoría?

Recopilar información

Analizar

Identificar vulnerabilidades

Reportar hallazgos y recomendaciones