Evaluaciones de Seguridad – Notas HTB
🧠 Resumen de los conceptos del path de Hack The Box sobre evaluaciones de seguridad: tipos, metodologías, enfoques, niveles de madurez y recomendaciones.
📌 1. ¿Qué es una evaluación de seguridad?
-
Las evaluaciones de seguridad se realizan periódicamente en redes, sistemas y aplicaciones para detectar vulnerabilidades y riesgos.
-
Objetivo: Identificar, confirmar y mitigar vulnerabilidades antes de que sean explotadas.
-
Adaptadas a:
-
Nivel de madurez en ciberseguridad.
-
Modelo de negocio.
-
Amenazas específicas.
-
Requisitos legales o de cumplimiento.
-
🧪 2. Evaluación de Vulnerabilidades
-
Apta para cualquier organización, sin importar madurez.
-
Basada en estándares (PCI-DSS, OWASP, ISO 27001, RGPD, etc.).
-
Utiliza checklists para evaluar cumplimiento.
-
Involucra:
-
Escaneo automatizado.
-
Validación manual de vulnerabilidades críticas, altas y medias.
-
-
No incluye explotación ni post-explotación.
✔️ Ideal para: establecer una base, identificar vulnerabilidades comunes de forma sistemática y repetible.
🕵️♂️ 3. Pruebas de Penetración (Pentesting)
-
Simulan un ciberataque real con consentimiento legal.
-
Evalúan vectores de ataque y posibles explotaciones.
-
Producen un informe detallado con hallazgos y recomendaciones.
🧠 Tipos según conocimiento del entorno:
| Tipo | Descripción | Ejemplo |
|---|---|---|
| Black Box | Sin información previa. | Simulación de atacante externo. |
| Grey Box | Con algo de conocimiento (IP, rango). | Usuario interno no técnico. |
| White Box | Con total visibilidad. | Evaluación profunda de código y sistemas. |
🎯 Especializaciones:
-
Application Pentesting: Web, móviles, API, desktop.
-
Network Pentesting: Infraestructura, AD, sistemas operativos.
-
Physical Pentesting: Seguridad física y procesos.
-
Social Engineering: Phishing, vishing, engaños presenciales.
⚠️ Solo recomendadas si ya se han corregido vulnerabilidades previas. Requieren madurez de seguridad media-alta.
⚔️ 4. Red Team
-
Simulación de amenazas reales avanzadas.
-
Objetivo específico (ej. robar datos, acceso persistente).
-
Uso de técnicas evasivas y herramientas reales de APTs.
-
Solo se reportan los hallazgos que permitieron cumplir la misión.
🎯 Requiere madurez avanzada en ciberseguridad y respuesta a incidentes.
🧬 5. Purple Team
-
Colaboración entre Red Team y Blue Team.
-
El objetivo es la mejora conjunta del sistema.
-
Ejemplo: probar POS para cumplimiento de PCI-DSS y fortalecer defensas al instante.
-
Retroalimentación activa durante la campaña.
🤝 Aporta balance entre ofensiva y defensiva. Enfoque pedagógico y de mejora continua.
🛡️ 6. Auditorías de Seguridad
-
Obligatorias por regulaciones externas.
-
Ejemplos: PCI-DSS, HIPAA, ISO 27001.
-
Su propósito es verificar el cumplimiento normativo.
-
Se deben preparar con evaluaciones internas previas.
📋 Controladas por terceros, usualmente bajo presión regulatoria.
🐞 7. Bug Bounty Programs
-
Abiertos a investigadores externos (con restricciones).
-
Pueden ser gestionados por plataformas como HackerOne o Bugcrowd.
-
Pueden ofrecer recompensas de cientos a miles de dólares.
💰 Requieren infraestructura sólida y equipo interno para gestionar reportes.
⚖️ 8. Vulnerability Assessment vs Pentesting
| Característica | Vulnerability Assessment | Penetration Testing |
|---|---|---|
| Frecuencia | Regular (mensual, trimestral) | Puntual (anual, semestral) |
| Coste | Bajo | Alto |
| Profundidad | Superficial, checklist | Profunda, contextualizada |
| Automatización | Alta | Baja-media |
| Intervención humana | Limitada | Alta |
| Resultados | Genéricos | Personalizados y específicos |
| Ideal para | Empresas con bajo nivel de madurez | Empresas maduras en seguridad |
🔁 9. Recomendaciones por nivel de madurez
| Nivel | Acción sugerida |
|---|---|
| Bajo | Vulnerability Assessments regulares. |
| Medio | Pentesting anual + mitigaciones. |
| Alto | Red Teaming + Purple Teaming + Bug Bounties. |