Lo que tu empresa necesita

Dentro de nuestros diferentes servicios y para la ejecución de los mismos adoptamos una metodología propia que se alinea con las mejores prácticas, estándares y guías de las organizaciones más reconocidas en el mundo para el desarrollo de Análisis de vulnerabilidades, Pentesting y Hacking ético.

«Solo hay dos tipos de empresas en el mundo: las que han sido vulneradas y lo saben y las que lo han sido y no lo saben» – Ted Schlein

Para nosotros es fundamental que todo se desarrolle en un ámbito y espacio de extrema confianza con un Feedback constante y que realmente “trabajemos juntos” para probar la postura de ciberseguridad de su Organización, así como también para eliminar y mitigar los riesgos existentes.

Auditoría

¿Alguna vez has oído hablar de las auditorías de ciberseguridad? Los sistemas informáticos de una empresa son muy importantes, pero también muy vulnerables. Por ello, es primordial que se revisen cada cierto tiempo.

Una auditoría de ciberseguridad es la que hace posible que podamos evaluar el grado de vulnerabilidad de los sistemas de una empresa. Nuestra información es muy valiosa, por ello hay que utilizar todos los medios para protegerla y evitar que nos la roben.

En el servicio que ofrecemos, primeramente, elaboramos un estudio detallado donde se recoge un primer análisis e identificación de las diferentes vulnerabilidades que pudiéramos llegar a encontrarnos en el sistema auditado. Dicho sistema, puede llegar a ser muy diverso y comprendido en diferentes partes, servidores, páginas webs, sistemas de comunicaciones, etc. Una vez, concluida la auditoría y extraídos convenientemente los resultados de dicha auditoría, se les comunica a los responsables de las redes auditadas, aquellas medidas preventivas que deberán adoptar, para reforzar sus sistemas.

¿Qué vamos a auditar?

  • Políticas, Estándares o Procedimientos
  • Infraestructura Local (OnPremise) o Cloud, te ayudamos a evaluar la seguridad de tu Red LAN, Servidores y dispositivos interconectados.
  • Sistemas operativos y bases de datos
  • Aplicaciones web como Portales Transaccionales, Botones de pago, Sitios Web informativos o Portales Corporativos, si es Web puede ser vulnerable, encuentra la vulnerabilidad antes que los Ciberdelincuentes
  • Aplicaciones móviles tanto Android OS como Apple iOS

Tipos de Auditoría

Auditoría Interna: Intenta detectar y mitigar los riesgos y debilidades de la estructura del sistema de información, localizando las vías de acceso de un posible atacante interno y calcula las consecuencias de sufrir un ataque.
Se realiza tomando el rol de un usuario que dispone de acceso a los sistemas internos de la empresa, ya sea porque tiene credenciales que le permite acceder o porque ha conseguido escalar privilegios mediante algún ataque.
Analiza cualquier vector de ataque que pueda provocar un robo de información sensible de la empresa y ofrece soluciones disminuyendo las posibilidades de un ataque interno. Para minimizar los riesgos de dichos ataques, se realiza un sistema de escalada de privilegios.

Auditoría Externa: Permite conocer el nivel de seguridad externo de una empresa y el riesgo que tiene al encontrarse en Internet. Los servicios públicos que ofrecen una empresa o la información pública en Internet pueden provocar daños e intrusiones en los sistemas.
Se realiza tomando el rol de un atacante externo que no tiene conocimiento sobre la víctima y que a partir de diversos ataques intenta obtener datos privados o información sensible, la cual puede ser manipulada para dañar la imagen de la víctima.
Permite conocer las vulnerabilidades técnicas de los sistemas exteriores, las consecuencias de alguien que se aprovecha de ellas y se ofrecen soluciones para eliminar las amenazas de la seguridad en la empresa.

Consultoría

Ofrecemos servicios especializados de consultoría en ciberseguridad diseñados para proteger los activos digitales de tu empresa. Evaluamos riesgos, implementamos medidas de seguridad avanzadas y brindamos soluciones personalizadas para garantizar la protección frente a amenazas cibernéticas. Nuestro equipo de expertos te ayuda a cumplir con normativas y a mejorar tu infraestructura tecnológica, asegurando la continuidad del negocio y la confianza de tus clientes.

Análisis de vulnerabilidades

El análisis de vulnerabilidades es el proceso de identificar los sistemas en la red que tiene vulnerabilidades conocidas o identificadas, como exploits, fallas, brechas de seguridad, puntos de entrada de acceso inseguros y los errores de configuración del sistema.

Las vulnerabilidades son las brechas de seguridad presentes en cualquier software. Si se explotan, estas fallas pueden permitir a los atacantes obtener acceso no autorizado a información confidencial o, en general, causar problemas que ponen en riesgo a toda la organización. Los investigadores de seguridad externos y los proveedores interesados analizan constantemente el software disponible públicamente para identificar sus vulnerabilidades. Las vulnerabilidades descubiertas se registran con una ID de CVE y se le asigna un puntaje del CVSS en función del daño que podría costar su explotación.

Con este servicio buscamos las vulnerabilidades existentes, las clasificamos y ordenamos por criticidad, aconsejamos las diferentes soluciones técnicas o de actualización para solucionar, eliminar o mitigar las vulnerabilidades encontradas.

Pentesting

Test de Penetración. Es un tipo totalmente diferente de evaluación de vulnerabilidades. Con un test de penetración, el auditor utiliza métodos de ataque comunes para ver si se puede pasar por alto la seguridad de un sistema. Si el auditor de dicho test de penetración no puede comprometer el sistema mediante el uso de exploits comunes, entonces el sistema pasa la prueba. De lo contrario, si el sistema está comprometido, el sistema no pasa la prueba.

«Se necesitan 20 años para construir una reputación y unos minutos de ciberataque para arruinarla”. ​- Stephane Nappo

Realización de un test de penetración: Cuando se realiza un test de penetración, se está simulando verdaderos ataques que la compañía experimenta de un hacker real. Esto significa que va a construir un conjunto de herramientas de penetración, que son programas utilizados por los hackers para comprometer los sistemas, romper el cifrado, o aprovechar la comunicación.

Modalidades de Pentesting

Caja negra: En las pruebas de caja negra desconocemos la estructura interna del sistema. No sabemos cómo está construido, con qué tecnología, con qué arquitectura, etc. La prueba Black Box, o «Caja Negra», es casi como una prueba a ciegas, pues sigue la premisa de no poseer gran cantidad de información disponible sobre la corporación. Aunque sea dirigido, pues alcanzará a la empresa contratante y descubrirá sus vulnerabilidades, el Pentest de Caja Negra es el más cercano a seguir las características de un ataque externo. Se actuará de forma extremadamente similar a la de cibercriminales.

Caja blanca: La prueba White Box, o de «Caja Blanca», es el Pentest más completo. Esto es porque parte de un análisis integral, que evalúa toda la infraestructura de red. En el caso de que se produzca un error en el sistema, es posible que, al iniciar el Pentest, el hacker ético (o pentester, nombre dado a los profesionales que actúan con esas pruebas) ya posee conocimiento de todas las informaciones esenciales de la empresa, como topografía, contraseñas, IPs, logins y todos los demás datos que se refieren a la red, servidores, estructura, posibles medidas de seguridad, firewalls, etc. Con estas informaciones preliminares, la prueba puede dirigir certero su ataque y descubrir lo que necesita ser mejorado y reorientado.

Caja gris: Definido como una mezcla de los dos tipos anteriores, el Gray Box – o «Caja Gris» – ya posee cierta información específica para realizar la prueba de intrusión. Sin embargo, esta cantidad de información es baja y no se compara a la cantidad de datos disponibles en un Pentest de Caja Blanca. Dada esta forma, la prueba de Caja Gris invertirá tiempo y recursos para identificar tales vulnerabilidades y amenazas, basándose en la cantidad de información específica que tiene.

Hacking ético

El hacking ético sería “la búsqueda y explotación de vulnerabilidades de seguridad en sistemas y redes”.

Aquí lo más importante es remarcar que el hacking consiste tanto en la búsqueda como en la explotación de esas vulnerabilidades.

A través de técnicas y tácticas avanzadas, se trata de emular el comportamiento que podría tener un hacker de sombrero negro o malicioso para cumplir el objetivo de vulnerar un sistema. Aparte de todo lo que hace el pentesting, aquí se pueden llevar a la práctica otras estrategias como ingeniería social, enviar correos, intentar hacer phishing, comprobar si en la papelera de reciclaje hay información sensible… todo lo que esté en su mano para tratar de buscar puntos débiles y vulnerabilidades de seguridad.

En el hacking ético también existen las 3 modalidades mencionadas en el Pentesting (Caja Negra, Blanca y Gris) siguiendo exactamente los mismos parámetros de ese tipo de pruebas.

Campañas de Phishing

El phishing se refiere al envío de correos electrónicos que tienen la apariencia de proceder de fuentes de confianza (como bancos, compañías de energía etc.) pero que en realidad pretenden manipular al receptor para robar información confidencial. Por eso siempre es recomendable acceder a las páginas web escribiendo la dirección directamente en el navegador.

La mayoría de los ataques de phishing comienzan con la recepción de un correo electrónico o un mensaje directo en el que el remitente se hace pasar por un banco, una empresa u otra organización real con el fin de engañar al destinatario. Este correo electrónico incluye enlaces a un sitio web preparado por los criminales -que imita al de la empresa legítima- y en el que se invita a la víctima a introducir sus datos personales.

En este sentido existe una vinculación entre el spam y el phishing, ya que los correos electrónicos fraudulentos suelen enviarse de forma masiva para multiplicar el número de víctimas. De hecho, si bien el e-mail continúa siendo el medio más utilizado por los ciberdelincuentes para este tipo de fraudes, el phishing puede utilizar otros medios de comunicación además: SMS (smishing), VoIP (vishing) o los mensajes instantáneos en redes sociales.

Además los criminales se valen de ciertos trucos de ingeniería social para crear alarma en los receptores de los mensajes, con indicaciones de urgencia, alarma y diferentes llamadas a la acción. La idea es que el usuario actúe de inmediato ante el estímulo y no se detenga a analizar los riesgos de su acción.

Las herramientas de Ciberseguridad evolucionan porque ataques como el Phishing lo hacen primero, los Ciberdelincuentes lo saben, ¿pero tus usuarios?

Pon a prueba tus usuarios

  • Phishing dirigido (Spear Phshing): ¿Tienes Usuarios claves en tu organización? Los estudiaremos, aprenderemos todo sobre ellos y les enviaremos campañas de Phishing completamente personalizadas para ponerlos a prueba.
  • Phishing Corporativo: Diseñemos las campañas y pongamos a prueba tu organización

Concientización y Training

Dentro de la estrategia de seguridad integral la sensibilización en riesgos en ciberseguridad nos permite hacia el futuro la disminución y prevención efectiva de este tipo de riesgos.

Según algunas las últimas encuestas relacionadas con el tema de la seguridad digital, los usuarios podrían ser la puerta de entrada para al menos un 80% de los ataques a las organizaciones.

Esto quiere decir que no basta que las empresas aborden los desafíos de ciberseguridad únicamente mediante la implementación de software antivirus, cortafuegos, actualizaciones de seguridad de software y otros dispositivos de supervisión en tiempo real.

Más bien, es necesario que aborden un enfoque integral que permita desarrollar empleados conscientes, capaces de seguir las mejores prácticas para proteger los sistemas.

Cuando hablamos de sensibilización o concienciación del usuario no nos referimos a volver a los empleados unos expertos en ciberseguridad. Tampoco se trata de saturarlos con charlas diarias sobre la protección de sistemas, pues esto disminuiría su productividad.

Sensibilizar en este caso es simplemente garantizar que cada miembro de la organización reciba la formación necesaria para protegerse a sí mismo y a la empresa, de cualquier posible ataque.

Usuarios entrenados pueden ser el mejor y más eficaz escudo frente a un Ciberataque.

Estándares en el Sector Eléctrico

El Coordinador Eléctrico Nacional, de acuerdo a lo instruido por los oficios N°3377 del 25 de junio de 2018 y N°11508 del 3 de Junio de 2019 emitidos por la Superintendencia de Electricidad y Combustible (SEC), ha trabajado en establecer los requisitos mínimos de resguardo de la seguridad cibernética o ciberseguridad aplicables al Sector Eléctrico que permitan prevenir y/o mitigar potenciales ciber amenazas que pongan en
riesgo la seguridad y continuidad del servicio de energía eléctrica.

Luego de un exhaustivo análisis de las diferentes normativas en materia de ciberseguridad para infraestructura
crítica en el sector eléctrico, y junto al apoyo especializado de CAISO
(California Independent System Operator), el Coordinador ha definido adoptar la Normativa CIP
(Critical Infrastructure Protection) de NERC (North American Electric Reliability Corporation),
en adelante NERC-CIP, como estándar de ciberseguridad a ser adoptado por los agentes participantes en el sector eléctrico nacional, debido a que esta norma contiene aspectos fundamentales para la seguridad
de la información e infraestructuras tecnológica y de operación críticas de sistemas eléctricos.

Aplicabilidad General

Los requerimientos establecidos en el presente estándar son aplicables a las siguientes Entidades Responsables:

  • Coordinador Eléctrico Nacional, y
  • Empresas Coordinadas

Si bien el presente estándar es de aplicación general en la industria eléctrica nacional, su aplicabilidad específica está asociada con las instalaciones o activos que caen dentro de las categorías de calificación de impacto definidas. A las Entidades Responsables que posean instalaciones que no estén contempladas dentro de alguna de las categorías de impacto Ato, Medio, o Bajo, no les será aplicable el presente estándar.

Calificación de Impacto

Impacto Alto

  • Centros de Despacho y Control, principal o de respaldo, nacional o regional, utilizados por el Coordinador para la realización de su función coordinación de la operación en tiempo real del SEN.
  • Centros Control, principal o de respaldo, nacional o regional, utilizados por las Empresas Coordinadas para la supervisión, control y operación en tiempo real de uno o más activos o instalaciones eléctricas de su propiedad que operan en el SEN

Impacto Medio

  • Instalaciones de generación, agrupadas por unidades generadoras localizadas en una sola planta o central eléctrica, con una capacidad de potencia activa neta agregada, registrada en los últimos 12 meses, igual o superior a 300 MW en un sistema interconectado.
  • Recursos de potencia reactiva, igual o superior a 100 MVAr Instalaciones de generación que el
  • Coordinador identifique como necesarias Instalaciones de transmisión pertenecientes al sistema de transmisión nacional Instalaciones de transmisión pertenecientes a sistemas de transmisión dedicados o zonales, con niveles de tensión igual o superior a 220 kV

Impacto Bajo
Ciber Sistemas SEN no incluidos localizados en, o asociados con alguna de las siguientes instalaciones:

  • Instalaciones de generación y transmisión del SEN.
  • Instalaciones destinadas la recuperación de servicio y formación de islas incluidos en los Planes
    de Recuperación de Servicio (PRS) del SEN.
  • Sistemas especiales de protecciones destinados a la operación confiable y segura de SEN
  • Instalaciones pertenecientes a empresas Distribuidoras destinadas a la protección y recuperación del SEN.

Contenido del Estándar

CIP-002: Ciber Seguridad – Categorización de Ciber Sistemas SEN
CIP-003: Ciber Seguridad – Controles de Gestión de la Seguridad
CIP-004: Ciber Seguridad – Personal y Capacitación
CIP-005: Ciber Seguridad – Perímetro de Seguridad Electrónica (PSE)
CIP-006: Ciber Seguridad – Seguridad Física de Ciber Sistemas SEN
CIP-007: Ciber Seguridad – Gestión de la Seguridad de Sistemas
CIP-008: Ciber Seguridad – Reporte de Incidentes y Planes de Respuesta
CIP-009: Ciber Seguridad – Planes de Recuperación para Ciber Sistemas SEN
CIP-010: Ciber Seguridad – Gestión de Cambio de Configuración y Evaluación de Vulnerabilidades
CIP-011: Ciber Seguridad – Protección de Información
CIP-012: Ciber Seguridad – Comunicaciones entre Centros de Control
CIP-013: Ciber Seguridad – Gestión de Riesgos en la Cadena de Suministros
CIP-014: Ciber Seguridad – Seguridad Física

¿Cómo podemos ayudar?

  • Assesment de Grado de cumplimiento del Estándar
  • Apoyo en Implementación de todo el Estándar
  • Apoyo en Generación de Políticas, planes y programas asociados con la implementación
  • y cumplimiento del Estándar
  • Sistema de generación de evidencias de cumplimiento para su posterior entrega el Coordinador
  • Implementación puntual del CIP 14 (Seguridad Física)
  • Revisión de tercero no vinculado, exigida por CIP 14