Preguntas frecuentes

Introducción

Esperamos que encuentres respuestas a tus preguntas en las siguientes FAQ. En caso de que no sea asi, no dudes en contactarnos para cualquier consulta que puedas tener.

1. ¿Qué es una prueba de intrusion o penetration test?

La prueba de intrusion es un servicio de prueba de seguridad ofensiva que se centra en identificar vulnerabilidades y debilidades en los sistemas, como sitios web, servicios web y redes. Nuestro equipo utiliza extensas técnicas de prueba manual, junto con herramientas automatizadas propias y publicas, para evaluar exhaustivamente la seguridad de estos sistemas y proporcionar informes detallados con hallazgos y recomendaciones para la remediación.

2. ¿Cuál es la diferencia entre sus servicios?

Nuestros servicios, como las Pruebas de Penetración de Aplicaciones Web (WAPT) y las Pruebas de API, difieren en los aspectos que se prueban. WAPT se centra en escanear un sitio web dado y todos sus componentes, mientras que la prueba de API se centra en una API que está trabajando en el backend y podría estar sirviendo no solo a un sitio web, sino a aplicaciones móviles y de escritorio, entre otros. En el caso de las Pruebas de Penetración de Redes Externas, se establecen los activos a testear y los esfuerzos se centran en obtener acceso a estos de manera remota. En cambio, Red Teaming es un esfuerzo continuo que podría tener activos definidos de manera flexible, permitiendo pruebas continuas durante un período de tiempo mas prolongado.

3. ¿Cómo sabemos qué servicio necesitamos?

No debes preocuparte por eso, nuestros consultores te explicarán y te propondrán el mejor curso de acción y soluciones personalizadas según tus necesidades.

4. ¿Cuánto cuestan sus servicios?

Te cobraremos en función del tiempo de trabajo efectivo. Este dependerá del servicio y tamano del proyecto. Podemos ofrecerte un descuento en proyectos grandes que se extienden en el tiempo y para servicios recurrentes. En caso de que nuestros servicios deban realizarse fuera de horario o los fines de semana, habrá un cargo adicional.

5. ¿Su prueba impactará nuestra operación?

Normalmente pedimos a nuestros clientes un entorno de testing o de staging, de manera que en caso de que algo falle, no afecte a tu operación. En caso de que la prueba tenga que realizarse en producción, definiremos los puntos más críticos para ser excluidos o probados durante horas no laborables y te pediremos que realices una copia de seguridad de tus datos. Sin embargo, cabe destacar que la mayoría de las veces no hay problemas durante las pruebas.

6. ¿Cuánto tiempo tardará en probar mi aplicación?

Eso depende de la cantidad de activos que tengamos que probar. Normalmente, la mayoría de las pruebas se realizan entre una y tres semanas. El informe se entrega unos días o una semana después. Sin embargo, podemos proporcionarte un informe diario.

7. ¿Qué herramientas utilizan?

Nuestro conjunto de herramientas es estándar en la industria. Dado que la mayor parte de nuestra carga de trabajo es WAPT y API PT, principalmente utilizamos BurpSuite pro, con varias extensiones incluyendo las nuestras. Otras herramientas utilizadas son Nessus, nmap, sqlmap, nuclei, y varias herramientas desarrolladas internamente.

8. ¿Utilizan algún framework o metodología?

Sí, basamos principalmente nuestro trabajo en la metodología OWASP. Algunos de nuestros consultores han trabajado en temas relacionados con PCI durante muchos años, por lo que seguimos algunas de sus recomendaciones, aunque no realizamos certificación PCI. Pero mayormente usamos nuestra metodología que depende del trabajo que tengamos que hacer y se basa en muchas fuentes que son referencias en la industria y experiencias previas, que nos permitieron ir refinandola en el tiempo.

9. Mi equipo ya realiza pruebas de seguridad, ¿por qué deberíamos contratarlos?

¡Excelente escuchar eso, felicitaciones! Sin embargo, es una buena idea contratar a alguien externo que pueda proporcionar una mirada fresca y que no esté involucrado en el desarrollo diario del producto (conflicto de intereses). Tener a una persona dedicada a la seguridad puede ser costoso, por lo que contratar a alguien externo que haga esto como trabajo diario puede ser beneficioso tanto técnicamente como económicamente. En caso de que no estés convencido, te recomendamos que leas nuestra propuesta de modelo de Fractional CISO.

10. Nuestra empresa tiene secretos comerciales y datos valiosos, y nos preocupa cómo manejan nuestra información y secretos

Entendemos que muchas empresas son reacias a compartir el acceso a sus plataformas y proporcionarnos una cuenta o diferentes perfiles para las pruebas. Normalmente pedimos que se nos incluya en la whitelist del firewall/WAF, diferentes cuentas de perfil para las pruebas y eso debería ser suficiente. Podemos discutir cómo manejamos tu información y secretos. Utilizamos nuestros propios servidores para las pruebas y ciframos todos nuestros logs. Podemos comunicarnos a través de GPG y somos muy flexibles para adaptarnos a tus necesidades. Sin embargo, necesitamos de un margen suficiente para sentirnos cómodos realizando nuestro trabajo.

11. Necesitamos hacer trabajo de governance and policy, ¿podrían ayudarnos con eso?

Es algo que hemos hecho durante nuestras carreras y estamos familiarizados con ese tipo de trabajo, pero en este momento nuestro equipo está más enfocado técnicamente. Sin embargo, pregúntanos y, en cualquier caso, podemos sugerir o sumar algunos colegas de confianza.

12. ¿Aceptan pagos en criptomonedas?

Sí, aceptamos pagos en BTC y ETH. Habla con nosotros para obtener más información.