Entradas Etiquetadas :

ciberataques

test de intrusión
Test de intrusión: prevención ante el ciberataque que puede sufrir tu empresa
1024 688 Prestigia

Hace tiempo que no pasa un día en que se produzca un nuevo ataque informático. No se salva nadie. Ni los bancos, que aunque podrían parecer inexpugnables, no lo son. Tampoco ha salido bien parado IESE, una de las escuelas de negocio más prestigiosas del mundo, que esta semana sufría un hackeo grave y aún no se ha recuperado.

El Internet de las Cosas (IoT), la presencia constante de servicios en la nube, las redes sociales e Internet en general esconden debilidades en sus sistemas o infraestructuras que ciberdelicuentes pueden usar para robar información, realizar ciberespionaje industrial o incluso dejar a una empresa sin servicios de comunicación online.

La mejor defensa ante la ciberdelincuencia es la prevención. Esa prevención empieza conociendo nuestros sistemas realizando un test de intrusión que nos permita evaluar los sistemas informáticos y su fortaleza ante posibles ataques intrusivos.

Test de intrusión: qué es y objetivos

El test de intrusión consiste en simular un ataque informático con el objetivo de infiltrarse en los sistemas. En otras palabras, se realiza una auditoria de seguridad pactada con el cliente a fin de llevar a cabo un acceso no autorizado a las redes y sistemas informáticos de la compañía. Todo ello de forma controlada.

El objetivo del test de intrusión es:

  • Detectar fallos y vulnerabilidades que necesitarán una corrección.
  • Descubrir el nivel de seguridad frente a ataques externos.
  • Prevenir intrusiones ajenas a la empresa
  • Mejorar el entorno de trabajo consiguiendo afianzar la seguridad de los sistema de información.

¿Cómo se realiza un test de intrusión?

Desde Prestigia Seguridad utilizamos la metodología de auditoría OWASP TOP 10 en nuestros trabajos de auditoría web desde un punto de vista de seguridad y evaluación de riesgos.

Este proceso para realizar un test de intrusión consta de las siguientes fases:

1. Recogida de información pública del cliente: Dominios, IP’s, servicios que ofrecen, todo ello a través de un análisis de sus páginas web, redes sociales, listas de IP’s, etc… buscando obtener el mayor número de información posible para preparar las siguientes fases de test.

2. Testeo la seguridad de sistemas de información y redes: analizar el hardware y el software, obtener toda la información de los servicios que funcionan en un servidor (web, correo, idap, nas, ftp…), … Los protocolos usados y los puertos abiertos son algunos de los puntos que ofrecen información sobre cómo acometer la intrusión o ataque a esos sistemas. Además se evalúan las políticas de control o acceso, la calidad de las contraseñas, las reglas del firewall y otros sistemas de seguridad de la empresa en caso de existir.

3. Evaluación de la capa de aplicaciones web, es decir, las accesibles desde internet, como extranets, e-commerces, crm, páginas web u otros…: formularios de entrada de datos, back-ends o gestores de contenido, directorios y cualquier código propio o de terceras partes (como plugins) que exista y sea accesible desde Internet para detectar vulnerabilidades que permitan efectuar ataques SQLi, XSS, DDoS, inyección de scripts que redireccionan a publicidad o al minado de criptomonedas.

Estos dos puntos se puede evaluar en diferente orden y dependerá de la información obtenida y la planificación anterior.

¿Por qué realizar un test de intrusión?

La mejor forma de conocer cuán segura es una web, red o sistema informático de una compañía es poniéndolo a prueba. Por eso, cuando se contrata un servicio de test de intrusión, el auditor actúa con técnicas similares a las de un ciberdelincuente que realiza un ataque con malas intenciones. Es decir, actúa como si quisiera robar información o actuar de forma ilegítima. De esta manera, pone a prueba los sistemas y descubre hasta qué punto están preparados para afrontar un ataque real de tipo intrusivo.

¿Te interesa poner a prueba tus sistemas? Contáctanos para realizar un test de intrusión.

seguridad en redes sociales
10 consejos de seguridad en redes sociales
1024 692 Prestigia

En nuestro último post os hablábamos sobre los riesgos de seguridad en redes sociales. Internet es el caldo de cultivo perfecto para miles de hackers que atacan bajo el anonimato y aprovechan nuestra desprotección.

Para evitar los riesgos no hay nada mejor que tener sentido común y actuar de forma preventiva. Si un ataque te pilla con la guardia alta será más fácil que puedas combatirlo y frenarlo. Así que aquí os dejamos con 10 consejos de seguridad en redes sociales:

  1. Utiliza contraseñas seguras. Es el más repetido de nuestros consejos pero es que es una verdad como un templo. Olvídate de nombres, día de nacimiento o fechas de aniversarios. Crea una contraseña única, de al menos ocho caracteres, combinando mayúsculas, minúsculas, números y caracteres especiales (asterisco, barra,…). A eso se le llama contraseña robusta y es la que mejor te protege.
  2. No guardes tus contraseñas en el navegador. De nada sirve tener una contraseña fuerte si tu ordenador las tiene guardadas de forma automática. Es muy cómodo pero cualquiera que hackee tu ordenador o si te lo roban, podría acceder a ellas y a toda tu información y contactos.
  3. Desconfía de los sitios que no empiecen por https. Implementar un certificado SSL tiene sus ventajas y no hacerlo sus desventajas. Si estás en una web cuya URL no incorpora el certificado de seguridad, ándate con más ojo, el riesgo es mayor.
  4. ¿Compartes ordenador? Usa sesión privada y no olvides cerrar la sesión en todas tus redes sociales para evitar que alguien pueda acceder a tus datos personales.
  5. Lee antes de autorizar. Seguro que en más de una ocasión Facebook, Instagram o cualquier red social que tienes instalada en tu móvil te ha solicitado permisos por parte de alguna app asociada a estas redes antes de realizar algún tipo de acción. Destierra la mala costumbre de aceptar sin leer y tu seguridad en redes sociales será más fiable. Existen apps maliciosas que logrando estos permisos de tus principales redes, te roban la información.
  6. Configura tu privacidad. Como en el punto anterior de estos consejos de seguridad en redes sociales, es probable que no te hayas preocupado mucho de tu privacidad. ¡Hazlo! Tan solo te llevará cinco minutos acceder a la configuración y ver hasta qué punto están tus datos expuestos. Revisa y actualiza en función de tus necesidades o preferencias. Y sobretodo, si de verdad no quieres que algo se sepa, no lo cuelgues porque no hay medio digital que sea infranqueable.
  7. Piensa y luego publica. Las redes sociales ofrecen anonimato pero también exposición a tu vida personal y privada. Todo lo que publiques quedará registrado en Internet y algún día puede ser público.
  8. Cuidado con la localización y el GPS. Tu actividad deja rastro en la red y no es muy difícil rastrear dónde has estado o qué has hecho con tan solo leer algunos comentarios o ver tus imágenes. Especialmente si también usas las opciones de localización. Por ejemplo, ¿estás seguro de publicar a cada minuto tu ubicación? Podrías estar alertando a posibles ladrones de que no estás en casa.
  9. ¡Ojo con los links! En redes sociales circulan miles de links al día que ocultan malware. Antes de hacer clic, fíjate en el enlace y quien te lo ha enviado. Ante cualquier sospecha, mejor no lo abras.
  10. Sentido común. El menos común de los sentidos y el que más flojea cuando nos dejamos llevar por la inmediatez y la rapidez en las redes sociales. La mayoría de malware o ataques requiere interacción por parte del usuario para llevarse a cabo…así que afina tu olfato en internet y no se lo pongas fácil a los delincuentes que circulan por la red.

¿Qué te han parecido estos 10 consejos de seguridad en redes sociales? Sencillos, ¿verdad? Son fáciles de aplicar así que ya no tienes excusas para navegar tranquilo por las redes sociales. ¡Disfrútalas pero con precaución!

En Prestigia Online S.L. utilizamos cookies para asegurar que damos la mejor experiencia al usuario en nuestro sitio web. Si continúa utilizando este sitio asumiremos que está de acuerdo. Más información sobre las cookies que utilizamos en nuestra Política de cookies.