¿CÓMO GOBIERNO PUEDE AYUDAR LAS EMPRESAS DEL SECTOR PRIVADO EN CIBERSEGURIDAD?

La ciberseguridad se refiere al conjunto de soluciones, servicios y entrenamientos que puede implementar una empresa u organización para su ciberdefensa contra ciberataques. Según los informes de la empresa de ciberseguridad, las empresas u organizaciones son cada vez más conscientes de los ciberataques. Desde el último año, casi un 35% de las empresas en los países como México, Brasil, Estados Unidos, Colombia, Costa Rica, Argentina, UAE, India han incrementado sus inversiones en los servicios de ciberseguridad y es por eso que hay una gran necesidad de especialistas de ciberseguridad para implementar las soluciones de ciberdefensa. Al comprender las razones detrás de los ciberataques, permite una empresa u organización a adquirir los servicios de ciberseguridad y diseñar plan de ciberseguridad y ciberdefensa de una manera más efectiva. Según la experiencia de los especialistas de ciberseguridad, es más el miedo a los ciberataques dirigidos está haciendo que los gobiernos, empresas u organizaciones gastan dinero en los servicios de ciberseguridad y soluciones de ciberdefensa. Estos planes de implementación de los servicios de ciberseguridad y soluciones de ciberdefensa, van mucho más allá de invertir en las soluciones tradicionales como los firewalls, gestión de vulnerabilidades, etc. En general, ellos están buscando servicios de ciberseguridad más sofisticados y soluciones de ciberdefensa inteligentes que puedan protegerles de ciberataques avanzados.

Como los gobiernos y empresas grandes están involucrados en el tema de ciberseguridad, la metodología de implementar servicios de ciberseguridad y soluciones de ciberdefensa ha cambiado de modo radical. Según el profesor de la escuela de ciber seguridad, la ciberseguridad se ha convertido en una cosa necesaria para todos los aspectos. Las empresas grandes no solo están enfocando sobre servicios de ciberseguridad y soluciones de ciberdefensa, también se quieren que su equipo de TI sea especialista en ciberseguridad. Para desarrollar habilidades de especialista de ciberseguridad en su equipo de TI, las empresas deben enfocar en las capacitaciones de ciberseguridad. Con las capacitaciones de ciberseguridad las pequeñas empresas también pueden comprender y implementar las soluciones de ciberseguridad avanzadas y soluciones de ciberdefensa inteligentes sin ayuda de una empresa de ciberseguridad.

La solución del problema de ciberseguridad parece sencillo pero hay muchos obstáculos como falta de recursos, conocimientos, dinero etc. Pero con la participación del gobierno en el área de ciberseguridad, las cosas pueden cambiar mucho. Los gobiernos de varios países, especialmente de Estados Unidos, Rusia, China, Reino Unido, Alemania y la India han estado desarrollando y empleando capacidades ofensivas cibernéticas, incluyendo el espionaje cibernético. Estos esfuerzos no están realmente enfocados en las soluciones de ciberdefensa o en perito judicial informático sin embargo; están más enfocados sobre cómo tomar el control del ciberespacio y es similar a la guerra fría en la década de los 80. Para disuadir a los ciberataques, muchos gobiernos han pensando en usar las sanciones y demás acciones típicos utilizados para el acto de la guerra. Estos acciones ayudarán en algunos escenarios, pero no en otros escenarios en los que perito judicial informático no puede producir suficiente evidencia. Según los expertos de la formación de perito judicial informático, para defenderse en el ciberespacio, el gobierno debe jugar un papel proactivo en el ámbito de ciberseguridad.

Profesor de la escuela de ciber seguridad, Dave Smith menciona que para el gobierno a proteger el sector privado en el ciberespacio es una tarea compleja, ya que hay una gran cantidad de restricciones políticas. Implementación de los servicios de ciberseguridad y soluciones de ciberdefensa para la aplicación de la ley en el ciberespacio es una tarea compleja. Al asociarse con las organizaciones de ciberseguridad y las empresas de ciberseguridad, las agencias gubernamentales pueden mantener un control más fuerte sobre el ciberespacio. Como hay muchas organizaciones de ciberseguridad que trabajan en proyectos patrocinados por el gobierno y esas organizaciones tienen muchos recursos. Entonces, estas organizaciones de ciberseguridad pueden compartir la información sobre amenazas con las empresas de ciberseguridad y otras empresas del sector privado.

Los gobiernos de varios países pueden crear los siguientes programas como parte de sus estrategias de seguridad cibernética y sus guerras contra ciberdelincuencia.

PROGRAMA DE EDUCACIÓN GENERAL DE CIBERSEGURIDAD

El objetivo del programa de educación general de ciberseguridad debería centrarse más en la aumentación de la conciencia de ciberseguridad entre público en general. Las agencias gubernamentales pueden colaborar con las escuelas de ciber seguridad y garantizar que las personas aprenden a ser más seguro en línea. Similares programas se fueron lanzados por las empresas de ciberseguridad y escuelas de ciber seguridad en Europa y estaban dirigidos a aumentar la comprensión de las amenazas cibernéticas y cómo funciona la ciberdelincuencia. Según los profesores de escuela de ciber seguridad, las agencias gubernamentales pueden organizar programas de publicidad en televisión y en línea para aumentar la conciencia de ciberseguridad entre publico.

PROGRAMA DE DESARROLLO Y CAPACITACIÓN DE CIBERSEGURIDAD

Acuerdo con los maestros de escuela de ciber seguridad; el problema en el ámbito de ciberseguridad, es la extrema escasez de los especialistas de ciberseguridad altamente cualificados. El sistema educativo existente debe producir más estudiantes con altamente calificados en ciberseguridad. Estos especialistas de ciberseguridad, mantendrán el gobierno y el sector privado por delante en el escenario de la tecnología. El gobierno tiene que desarrollar una estrategia para ampliar y apoyar los programas de educación en ciberseguridad dirigidos por las escuelas de ciber seguridad. El objetivo del programa de desarrollo y entrenamiento de ciberseguridad debería ser asegurarse de que el gobierno y el sector privado tienen especialistas de ciberseguridad. El gobierno debe trabajar con las escuelas de ciber seguridad y asegúrese de que el nivel de capacitación de ciberseguridad es de acuerdo con las normas internacionales. Podemos clasificar las capacitaciones de ciberseguridad en siguientes áreas: usuarios general de TI, la infraestructura de tecnología de la información, operaciones, mantenimiento y seguridad de la información, perito judicial informático, análisis de malware, seguridad en la nube, seguridad móvil, desarrollo de exploits, soluciones de ciberdefensa, derecho cibernético, contrainteligencia y cursos de ciberseguridad avanzados. Según profesores de cursos de ciberseguridad, con la ayuda de los cursos de ciberseguridad, el sector privado tendrá el mayor beneficio, ya que reducirá su gasto en servicios de ciberseguridad.

PROGRAMA DE INFRAESTRUCTURA PARA EDUCACIÓN DE CIBERSEGURIDAD

El objetivo del programa de infraestructura para educación de ciberseguridad debería ser centrarse en la creación de nuevas escuelas de ciber seguridad y la mejora de las escuelas de ciber seguridad existentes. El programa debe incluir alianza con las escuelas de ciber seguridad y las organizaciones de ciberseguridad existentes para desarrollar más programas de investigación y desarrollo en este campo. Programa de infraestructura para educación de ciberseguridad debe apoyar la educación formal de ciberseguridad y también debe ser un programa líder en la investigación y el desarrollo de ciberseguridad. Así este programa ayudaría a los gobiernos, el sector privado, las empresas de ciberseguridad existentes y las organizaciones de ciberseguridad. Todas estas escuelas de ciber seguridad también pueden servir como centros de servicios de ciberseguridad y actuarán como autoridad de referencia para las universidades y otras escuelas existentes.

PROGRAMA DE RESPUESTA A INCIDENTES DE CIBERATAQUES

Las agencias gubernamentales pueden asociarse con las organizaciones de ciberseguridad y las empresas de ciberseguridad en el ámbito de respuesta a incidentes. Expertos de escuela de ciber seguridad explican que cuando las grandes empresas como banco o empresa multinacional etc sufren un ciberataque; ellos pueden tomar la ayuda del gobierno para hacer un perito judicial informático. Sin embargo, cuando las pequeñas empresas sufren un ciberataque; no es fácil para ellos a tomar la ayuda del gobierno para hacer un perito judicial informático. Así con este programa las pequeñas empresas pueden tomar la ayuda de una organización de ciberseguridad o empresa de ciberseguridad para el perito judicial informático. La otra solución es construir un equipo in-house de perito judicial informático con la ayuda de expertos de una buena escuela de ciber seguridad.

PROGRAMA DE RECURSOS HUMANOS DE CIBERSEGURIDAD

El objetivo del programa de recursos humanos de ciberseguridad debería ser gestionar el empleo en ciberseguridad, reclutamiento de personas y estrategias de las rutas de sus carreras. Con la ayuda de este programa, las agencias gubernamentales pueden administrar la fuerza laboral del gobierno, la fuerza laboral de las agencias de inteligencia, la fuerza laboral de las organizaciones de ciberseguridad y la fuerza laboral del sector privado. Profesores de los cursos de ciberseguridad mencionan que el programa de recursos humanos de ciberseguridad se puede utilizar para la evaluación de especialistas de ciberseguridad. Esto ayudaría en el desarrollo de especialistas de ciberseguridad y programas de capacitación de ciberseguridad.

PROGRAMA DE BUG BOUNTY Y PREMIOS

No es suficiente que solo los profesionales de informática comprendan la importancia de ciberseguridad; líderes en todos los niveles de gobierno y el sector privado deben comprender la importancia de ciberseguridad. Por lo tanto la formación de ciberseguridad no sólo ayudará a los empleados de nivel bajo, pero los líderes empresariales también, y les ayudará a tomar decisiones de negocios e inversiones basadas en el conocimiento de los riesgos y posibles impactos. Así mismo una decisión tan importante es un programa de bug bounty y premios. El objetivo de este programa debería ser recompensar los especialistas de seguridad cibernética para encontrar vulnerabilidades y reportarlas en lugar de venderlas en el mercado negro. Según el profesor de curso de ciberseguridad, Deen Wright; es muy importante para los líderes del gobierno a hacer alianzas adecuadas con los líderes de las empresas de ciberseguridad y las organizaciones de ciberseguridad para desarrollar programa de recompensa y premios para recompensar los investigadores de seguridad cibernética por sus esfuerzos.

De esta manera el gobierno puede desarrollar una estrategia para ampliar sus alianzas con diversas empresas del sector privado, las empresas de ciberseguridad, escuelas de ciber seguridad y las organizaciones de ciberseguridad existente para defender proactivamente contra los ciberataques, los actos de espionaje y para establecer un lugar más fuerte en el espacio cibernético. Organizaciones como Instituto Internacional de Seguridad Cibernética una organización de ciberseguridad están trabajando junto con los gobiernos de los distintos países y sector privado.

Read More

METHODOLOGIES FOR PENETRATION TESTING

These days cyber attacks occur not only in large companies but also in small businesses in countries like Mexico, Brazil, United States, Colombia, Costa Rica, Argentina, UAE, India etc according to the study done by penetration testing services companies. Information security is very important, as the loss or theft of confidential information is a risk that a company cannot afford, however small it is. There are statistical evidences, supported by penetration testing company; which indicate that these cases are very common in smaller businesses, where there are minimal information security controls. Depending on the type of industry, companies can face different kinds of risks/vulnerabilities that can compromise their business goals.

To remain protected against any kind of computer risk, a company has two alternatives. The first alternative is to take the help of penetration testing services experts (pentesting services) and to do a pentest to detect and resolve risks. Second alternative is to train their IT team with penetration testing training course, so that their team can easily understand, detect, and resolve vulnerabilities. The objective of penetration testing services/pentesting services is the preservation of confidentiality, integrity and availability of IT infrastructure. Pentest and penetration testing training courses form an integral part of the information security testing services.

Pentests are usually classified into three types: physical pentest, logical pentest and administrative pentest. According to pentesting/penetration testing services experts, for a pentest to be effective, it must be integrated into the security architecture, which must be in line with business objectives and potential vulnerabilities depending on the impact they have on the company. Therefore, a major step in the implementation of information security architecture is the pentesting phase, which companies can implement via pentesting services or penetration testing courses.

According to a penetration testing training course professor, penetration testing service should consider the following steps:

1. Define IT assets to test.

2. Identify vulnerabilities with the help of internal penetration testing and the external penetration testing.

3. Establish the probabilities of occurrence of incidents via vulnerabilities detected during the internal penetration testing and the external penetration testing; that can compromise the security of an IT asset.

4. Calculate the impacts and priorities of vulnerabilities detected during the internal penetration testing and the external penetration testing.

5. At the completion of internal penetration testing and external penetration testing, document the details, impacts and priorities of vulnerabilities.

6. Work with the client team to implement cyber security solutions and resolve the vulnerabilities identified during internal penetration testing and external penetration testing.

7. Redo the internal penetration testing and external penetration testing again to ensure the implementation of the cyber security architecture.

Below you can find the different types of pentesting/penetration testing services.

IT NETWORK PENETRATION TESTING/PENTESTING SERVICES

IT Network penetration testing services (pentest services) are classified by types of risks. The IT network infrastructure includes wireless, Ethernet and mobile infrastructure. There are two types of IT network penetration testing services.

INTERNAL NETWORK PENETRATION TESTING SERVICES

Internal network penetration testing is also known as internal network security evaluation. Internal network penetration testing service is a critical, systematic and detailed evaluation of IT networks. Generally an internal network penetration testing is done by penetration testing company professionals using established techniques in order to deliver reports and provide recommendations for improving internal network security. The internal network penetration testing is the internal network security evaluation of the security profile of the company from the perspective of an employee or someone with access to systems or from the perspective of a hacker who has gained access to the company’s network. The internal penetration testing allows companies to reduce the risk of an attack by internal employees and implement security architecture in IT networks. As per recommendations from penetration testing company experts, the internal penetration testing service must cover all the new types of internal network attacks and not just test conventional attacks. Moreover business professionals can learn all about internal network penetration testing and new types of attacks during the penetration testing training course.

EXTERNAL NETWORK PENETRATION TESTING SERVICES

External network penetration testing is also known as external network security evaluation. External network penetration testing service is a critical, systematic and detailed evaluation of IT networks. Generally an external network penetration testing is done by penetration testing company professionals using established techniques in order to deliver reports and provide recommendations for improving external network security. The external network penetration testing is the external security evaluation of the IT environment of a company from the perspective of a hacker through the Internet or from someone who does not have access to company’ network. External penetration testing allows companies to identify and fix software vulnerabilities before hackers can compromise confidential information. As per recommendations from penetration testing company experts, the external penetration testing service must cover all the new types of external network attacks and not just test conventional attacks. Moreover business professionals can learn all about external network penetration testing and new types of attacks during the penetration testing training course.

WEB APPLICATION PENETRATION TESTING SERVICES

Many companies manage software or web applications that don’t include any security checks and a hacker can easily steal business data. With the web application penetration testing services, companies can verify and solve different types of vulnerabilities that may exist in the web applications. Web application penetration testing is a security assessment of web application as per the defined criteria for application security. Web application penetration testing can be classified as manual penetration testing and automated penetration testing of web applications with tools. As per recommendations from penetration testing company experts, the web application penetration testing service must cover all the new types of attacks and not just test conventional attacks. Moreover business professionals can learn how to build a secure web application, how to do a code audit, how to do secure programming, how to do web application penetration testing and new types of attacks during the penetration testing training course.

CLOUD PENETRATION TESTING SERVICES

Cloud computing helps companies reduce spending on infrastructure, improved flexibility, globalized work force and much more. But companies are very concerned about the security of their data and who else can access their resources without their knowledge. Penetration testing in cloud environment is also known as cloud security testing. Cloud penetration testing service involves the analysis, evaluation and resolution of vulnerabilities in cloud environment. With the help of cloud penetration testing services, companies can reap the savings that a cloud gives along with security in the cloud environment. In addition this would help company’s customers, as they feel confident in keeping their personal data in the cloud. Penetration testing company must work according to industry best practices for cloud security and penetration testing services should be implemented as recommended by Cloud Security Alliance (CSA) and Cyber Defense Council (CDC) methodologies. As per recommendations from penetration testing company experts, the cloud penetration testing service must cover all the new types of cloud attacks and not just test conventional attacks. Moreover business professionals can learn how to secure the cloud, how to audit cloud, how to do penetration testing in the cloud and new types of attacks during the penetration testing training course.

ICS, IACS, SCADA PENETRATION TESTING SERVICES

Supervisory Control and Data Acquisition (SCADA), Industrial Control Systems (ICS) and Industrial Automation and Control Systems (IACS) are equipment used to control industrial environments. These systems are used in energy, manufacturing and critical infrastructure sector such as nuclear plants, power plants, etc. Penetration testing services of SCADA, ICS and IACS environments are also known as critical infrastructure security testing services. Penetration testing services of critical infrastructure involves analysis, evaluation and validation of security of critical infrastructure using SCADA, ICS, IACS systems. Security assessment of SCADA, ICS and IACS systems and penetration testing services help organizations to protect critical infrastructure, as it can be a matter of national security. Penetration testing company must work in accordance with industry best practices for pentesting of critical infrastructure and must collaborate with vendors of SCADA, ICS and IACS systems to fix the discovered vulnerabilities. As per recommendations from penetration testing company experts, the SCADA, ICS and IACS systems penetration testing service must cover all the new types ofSCADA, ICS and IACS  attacks and not just test conventional attacks. Moreover business professionals can learn how to secure SCADA, ICS and IACS systems, how to do penetration testing of critical infrastructure and new types of attacks during the penetration testing training course.

Companies around the world can protect infrastructure and confidential information when they know more about the vulnerabilities and security checks. The penetration testing services and penetration testing courses should provide enterprises with a full understanding of penetration testing and implementation of security architecture. Companies should work with clients to define and implement the right strategy for pentesting/pentest and implement security architecture.

Companies should have a global experience in the private and government sector with our penetration testing services and penetration testing training courses. With penetration testing training course, business professionals can develop a complete view of enterprise security profile and have a clear vision of how to face enterprise technology risks.

Read More

METODOLOGÍAS DE PRUEBAS DE SEGURIDAD INFORMÁTICA

Hoy en día los ataques cibernéticos se producen no sólo en empresas grandes sino también en PYMES en los países como México, Brasil, Estados Unidos, Colombia, Costa Rica, Argentina, UAE, India etc acuerdo con el informe de las empresas de servicios de pruebas de seguridad informática/pruebas de penetración. La seguridad informática es muy fundamental, ya que la pérdida o el robo de datos confidenciales es un riesgo que una empresa, por pequeña que sea, no se puede permitir. Existen las evidencias estadísticas, avaladas por empresa de pentesting; indicando que estos casos son mucho más numerosos en empresas más pequeñas, en dónde la seguridad informática es mínima. Dependiendo del entorno de la empresa, se puede tener diferentes riegos/vulnerabilidades que pueden comprometer a los objetivos empresariales.

Para estar protegido ante cualquier riesgo informático, una empresa tiene dos alternativas. La primera alternativa es tomar la ayuda de expertos de los servicios de pruebas de seguridad informática (pruebas de penetración) y hacer las pruebas de auditoría informática para detectar y solucionar los riesgos. Segunda alternativa es capacitar su equipo de TI con cursos de pruebas de penetración, por lo que su equipo puede entender, detectar, resolver las vulnerabilidades informáticas. El objetivo de los servicios de pruebas de seguridad informática (pruebas de penetración) es la preservación de la confidencialidad, la integridad y la disponibilidad de los sistemas de información. Las pruebas de auditoría informática y cursos de pruebas de penetración forman una parte integral de los servicios de pruebas de seguridad informática (pruebas de penetración).

Las pruebas de auditoría informática usualmente se clasifican en tres clases: pruebas de auditoría informática física, pruebas de auditoría informática lógica o técnica y pruebas de auditoría informática administrativa. Según los expertos de servicios de pruebas de seguridad informática de software (pruebas de penetración), para que las pruebas de auditoría informática sean efectivas, éstas deben estar integradas en una arquitectura de seguridad informática, la cual debe ser conforme con los objetivos empresariales y las posibles vulnerabilidades de acuerdo al impacto que éstas tengan en la empresa. Por lo tanto, una etapa principal en la implementación de la arquitectura de seguridad informática es la etapa de pruebas de auditoría informática. Las empresas pueden implementar eso con la ayuda de los servicios o los cursos.

Según el profesor del curso de pruebas de penetración, los servicios de pruebas de seguridad informática (pruebas de penetración) deben considerar los siguientes pasos:

1. Definir los activos informáticos a probar.

2. Identificar las vulnerabilidades con la ayuda del pentest interno (evaluación interna) y el pentest externo (evaluación externa).

3. Establecer las probabilidades de la ocurrencia de las vulnerabilidades informáticas que puedan comprometer la seguridad de los activos.

4. Calcular el impacto y la prioridad de cada vulnerabilidad detectada durante el pentest interno (evaluación interna) y el pentest externo (evaluación externa).

5. Al terminación de pentest interno (evaluación interna) y pentest externo (evaluación externa), documentar los detalles, impactos, prioridades de las vulnerabilidades informáticas.

6. Trabajar con el equipo del cliente para implementar soluciones de seguridad y resolver las vulnerabilidades informáticas detectadas durante pentest interno (evaluación interna) y pentest externo (evaluación externa).

7. Rehacer pentest interno (evaluación interna) y pentest externo (evaluación externa) otra vez para asegurar la implementación de la arquitectura de seguridad.

A continuación son diferentes tipos de servicios de pruebas de seguridad informática (pruebas de penetración).

PRUEBAS DE SEGURIDAD INFORMÁTICA/PENTESTING DE INFRAESTRUCTURA INFORMÁTICA

Los servicios de las pruebas de seguridad informática/ pruebas de penetración/ pentesting de infraestructura informática están clasificados por tipos de los riesgos informáticos. La infraestructura informática incluye infraestructura inalámbrico, alámbrico y móvil. Existen dos tipos de pruebas de penetración/ pentesting de infraestructura informática.

PENTEST INTERNO (EVALUACIÓN INTERNA)

Pentest interno es también conocido como la evaluación interna. Pentest interno es una evaluación crítica, sistemática y detallada de redes informáticas. Generalmente un pentest interno es realizado por los profesionales de empresa de pentesting, utilizando técnicas establecidas con el objeto de emitir informes y formular sugerencias para el mejoramiento de la seguridad. El pentest interno es la evaluación interna del perfil de seguridad de la empresa desde la perspectiva de un empleado o de alguien que tiene acceso a los sistemas o desde la perspectiva de un hacker que ha obtenido acceso a la red de la empresa. Pentest interno/evaluación interna le permite reducir el riesgo de un ataque por parte de empleados internos e implementar una arquitectura de seguridad en las redes informáticas. Según las recomendaciones de expertos de empresa de pentesting, el servicio de pentest interno/ evaluación interna debe cubrir todos los nuevos tipos de ataques internos y no sólo probar los ataques convencionales. Por otra parte los profesionales de las empresas pueden aprender todo sobre pentest interno/ evaluación interna y nuevos tipos de ataques durante el curso de pruebas de penetración.

PENTEST EXTERNO (EVALUACIÓN EXTERNA)                                                                  

Pentest externo es también conocido como evaluación externa. Pentest externo es una evaluación crítica, sistemática y detallada de redes informáticas desde afuera. Generalmente un pentest externo es realizado por los profesionales de empresa de pentesting, utilizando técnicas establecidas con el objeto de emitir informes y formular sugerencias para el mejoramiento de la seguridad. El pentest externo es la evaluación externa del entorno de seguridad de una empresa desde la perspectiva de un hacker a través de internet o de alguien que no tiene acceso a los recursos informáticos. Pentest externo/ evaluación externa le permite identificar y solucionar vulnerabilidades informáticas antes que los hackers puedan comprometer la información confidencial. Según las recomendaciones de expertos de empresa de pentesting, el servicio de pentest externo/ evaluación externa debe cubrir todos los nuevos tipos de ataques externos y no sólo probar los ataques convencionales. Por otra parte los profesionales de las empresas pueden aprender todo sobre pentest externo/ evaluación externa y nuevos tipos de ataques durante el curso de pruebas de penetración.

PRUEBAS DE SEGURIDAD INFORMÁTICA DE SOFTWARE/PENTESTING DE APLICACIONES WEB

Actualmente, muchas empresas manejan software o aplicaciones web que no incluyen las verificaciones de seguridad y un hacker puede robar los datos empresariales fácilmente. Con el servicio de pruebas de seguridad informática de software las empresas pueden verificar y resolver los diferentes tipos de vulnerabilidades que puedan existir en las aplicaciones web. La prueba de penetración de aplicación web, es una evaluación de seguridad informática; comparada con los criterios definidos para la seguridad de aplicaciones. Las pruebas de penetración de aplicaciones pueden ser clasificadas como pruebas manuales de penetración de aplicaciones web y pruebas automatizadas de penetración de aplicaciones web con herramientas. Según las recomendaciones de expertos de empresa de pentesting, el servicio de pruebas de seguridad informática de software debe cubrir todos los nuevos tipos de ataques y no sólo probar los ataques convencionales. Por otra parte los profesionales de las empresas pueden aprender cómo construir una aplicación web segura, cómo hacer auditoria del código, cómo hacer programación segura, cómo hacer pruebas de penetración de aplicaciones web y nuevos tipos de ataques durante el curso de pruebas de penetración.

PRUEBAS DE SEGURIDAD INFORMÁTICA EN LA NUBE

La computación en nube ayuda a las empresas a reducir los gastos en la infraestructura informática, la mejora de la flexibilidad, la fuerza de trabajo globalizado y mucho más. Sin embargo las empresas están muy preocupadas por la seguridad de sus datos y quién más pueda acceder a sus recursos sin su conocimiento. Las pruebas de penetración en el entorno de la nube también se conocen como pruebas de seguridad en la nube. Las pruebas de seguridad informática en la nube incluyen el análisis, evaluación y resolución de las vulnerabilidades informáticas en el entorno de la nube. Con la ayuda de los servicios de pruebas de seguridad informática (pruebas de penetración) en la nube, las empresas pueden aprovechar todos los ahorros que una nube da junto con la seguridad en el entorno de la nube. Además esto ayudaría a los clientes de las empresas, ya que van a sentir confidente en guardar sus datos personales en la nube. Una empresa de pentesting debe trabajar de acuerdo con las mejores prácticas de la industria para la seguridad en la nube y se debe implementar pruebas de penetración según recomendaciones de Cloud Security Alliance (CSA) y Cyber Defense Council (CDC). Según las recomendaciones de expertos de empresa de pentesting, el servicio de prueba de seguridad informática en la nube debe cubrir todos los nuevos tipos de ataques y no sólo probar los ataques convencionales. Por otra parte los profesionales de las empresas pueden aprender cómo asegurar la nube, cómo hacer auditoria en la nube, cómo hacer pruebas de penetración en la nube y nuevos tipos de ataques durante el curso de pruebas de penetración de nube.

PRUEBAS DE SEGURIDAD INFORMÁTICA DE SISTEMAS SCADA, ICS, IACS

Supervisory Control and Data Acquisition (SCADA), Industrial Control Systems (ICS) e Industrial Automation and Control Systems (IACS) son equipos utilizados para el control de los entornos industriales. Estos sistemas se utilizan en el sector energético, el sector manufacturero y la infraestructura crítica como las plantas nucleares, plantas de energía, etc. Las pruebas de penetración de los entornos SCADA, ICS e IACS también se conocen como pruebas de seguridad de la infraestructura crítica. Pruebas de seguridad de la infraestructura crítica implican el análisis, la evaluación y validación de seguridad de la infraestructura crítica usando sistemas SCADA, ICS e IACS. Evaluación de seguridad de sistemas SCADA, ICS e IACS y servicio de pruebas de penetración ayudan a las organizaciones a proteger la infraestructura crítica, ya que puede ser un asunto de seguridad nacional. Una empresa de pentesting, debe trabajar de acuerdo con las mejores prácticas de la industria para las pruebas de seguridad de la infraestructura crítica y debe colaborar con los proveedores de sistema SCADA, ICS e IACS para arreglar las vulnerabilidades descubiertas. Según las recomendaciones de expertos de empresa de pentesting, el servicio de prueba de seguridad informática de sistemas SCADA, ICS e IACS debe cubrir todos los nuevos tipos de ataques y no sólo probar los ataques convencionales. Por otra parte los profesionales de las empresas pueden aprender cómo asegurar sistemas SCADA, ICS e IACS, cómo hacer auditoria de sistemas SCADA, ICS e IACS, cómo hacer pruebas de penetración de infraestructura crítica y nuevos tipos de ataques durante el curso de pruebas de penetración de SCADA, ICS e IACS.

Empresas pueden proteger la infraestructura informática e información confidencial cuando conocen más acerca de las vulnerabilidades y controles de seguridad. Los servicios de pruebas de seguridad informática de software y cursos de pruebas de penetración deben proporcionar una comprensión completa de pruebas de penetración y sus perfiles de seguridad. Deben trabajar con sus clientes para definir y poner en práctica la estrategia correcta de pruebas de seguridad informática de software (pruebas de penetración) e implementar la arquitectura de seguridad.

Deben usar servicios de una empresa con experiencia global en el sector privado y gobierno con los servicios de pruebas de seguridad informática de software y cursos de pruebas de penetración. Con ayuda de capacitación de pruebas de penetración, profesionales de empresas pueden construir una imagen completa de su perfil de seguridad informática y tener una visión clara de cómo estar preparado para enfrentar los riegos informáticos.

fuente:http://www.iicybersecurity.com/pruebas-de-seguridad-informatica-pentest.html

Read More

¿Cómo crear archivos maliciososde tipo RTF yarchivos indetectables por antivirus?

El formato RTF siempre ha sido considerado como bastante seguro en comparación con otros formatos de MS Office. Es cierto que RTF no puede contener macros. Sin embargo, se sabe mucho menos que los documentos RTF pueden contener objetos OLE con contenido potencialmente malicioso. Y más específicamente, objetos OLE  pueden almacenar cualquier archivo, incluyendo los ejecutables y scripts según expertos de hacking ético y análisis de vulnerabilidades informáticas. Si el usuario final hace doble clic en un objeto tal, el archivo incrustado será abierto por el sistema. Esta característica se utiliza activamente para entregar el malware en la vida real, como veremos más adelante.

Según los expertos, al hacer una prueba muy rápida utilizando un simple RTF documento con un objeto OLE que contiene el archivo de prueba EICAR: en VirusTotal, 30 de los 56 motores antivirus detectan el archivo EICAR. Esto puede ser sorprendente como cabría esperar 100% de detección. Sin embargo, después de aplicar todos los trucos descritos en este artículo, sólo 6 motores antivirus de 56 detectan algo sospechoso. Pero fuera de esos 6, solo dos realmente detectan el archivo EICAR correctamente. Para los otros 4 informes, el archivo RTF es malformado o alterada. 

Estos trucos descritos pueden utilizarse para ocultar cargas maliciosas que no serán recogidos por la mayoría de gateways de correo electrónico, proxy web y sistemas de detección de intrusos. Y ya han sido utilizados para varias campañas de malware acuerdo con las experiencias de expertos de hacking ético y análisis de vulnerabilidades informáticas. Siguientes son algunas técnicas que usted podría usar para insertar contenido potencialmente malicioso en archivos RTF.

Cabecera RTF incompleta

En lugar de comenzar con "{\rtf1" como se describe en las especificaciones de MS, algunas muestras comienzan con "{\rt0" o "{\rtvpn". Por ejemplo éste (SHA256: 04beed90f6a7762d84a455f8855567906de079f48ddaabe311a6a281e90bd36f):

MS Word acepta como documentos RTF, mientras que muchas herramientas de análisis sólo verán archivos de texto y no van a analizar como RTF. Por ejemplo, este es el caso de malwr.com, como se muestra en la siguiente captura de pantalla:

Se ve como analizador RTF de MS Word sólo busca "{\rt" para decidir si un archivo es realmente RTF. 

Impar número de dígitos hexadecimales

Los datos codificados como bytes en formato hexadecimal deben tener siempre un número par de dígitos hexadecimales. Esto puede parecer obvio, pero si se añade un dígito hexadecimal extra al final de los datos hexadecimales codificados, algunos programas de análisis puede fallar durante la descodificación de los datos. Podrían aprender más de esta metodología durante el curso de hacking ético.

Extra espacio en blanco entre hexadecimal dígitos

Datos codificados en hexadecimal producidos por MS Word está perfectamente alineados, con todos los dígitos hexadecimales agrupados. Sin embargo, según pruebas con MS Word, en realidad permite insertar espacios en blanco (incluyendo el espacio, tabulación, nueva línea, etc.) entre los números hexagonales, e incluso entre los dos dígitos hexadecimales que representan un solo byte.

Palabras de control RTF dentro de los datos codificados en hexadecimal

Acuerdo con las pruebas de  análisis de vulnerabilidades informáticas, mirando en la muestra presentado antes, podemos ver que es una palabra de control adicional "{\object}" ubicada dentro de los datos codificados en hexadecimal.

MS Word simplemente ignora cualquier palabra de control inesperado. Para hacerlo aún más complejo para los programas de análisis, esas palabras de control se pueden tener,por ejemplo "{\ foo {} {\ bar}}".

Los datos binarios dentro de los datos codificados en hexadecimal

Otras muestras de RTF, como este contienen una palabra de control "\ bin", seguido de un montón de ceros y unos caracteres binarios, justo en el medio de un objeto hexagonal codificado. Aunque las especificaciones no mencionan esa posibilidad para los objetos OLE, se ve como MS Word lo soporta. En la práctica, se permite cualquier combinación de datos hex-codificado y binarios menciona Dan Smith, experto de hacking ético y análisis de vulnerabilidades informáticas.

Read More

Las mejores prácticas para pentesting de aplicaciones móviles

Estas son algunas de las mejores prácticas para ayudar a luchar contra los ataques cibernéticos  con pruebas de penetración según expertos de análisis de vulnerabilidades informáticas.

Preparación del entorno de pruebas

Las aplicaciones Web se ejecutan en todo tipo de plataformas y navegadores, pero ese no es el caso de las aplicaciones móviles. Por lo tanto, por las pruebas de las aplicaciones un entorno específico debe estar configurado. En el caso de un dispositivo iOS, por ejemplo, será necesario hacer jailbreak al dispositivo, teniendo en cuenta la seguridad impuesto por Apple, lo que no le permitirá observar y analizar o responder al ataque. En el caso de Android, tendríamos que hacer root para tener accesos requeridos según expertos de análisis de vulnerabilidades informáticas.

Configuración de las herramientas

Una vez que el dispositivo esté listo, necesitará algunas herramientas adicionales para ser instaladas para el análisis y la recopilación de información. Estos deben implementarse en el entorno de prueba y el dispositivo. Cydia es la app store de jailbreak iOS, y a través de ella, es posible descargar las herramientas necesarias para las pruebas. 

Para el análisis de binarios en Android, podrían usar Android Apktool o una máquina virtual como Android ingeniería inversa es muy recomendable por los expertos de hacking ético.

Preparación de los casos de prueba

En esta fase, la observación de la aplicación en el nivel funcional y el análisis de su comportamiento, incluyendo descifrarlo si la aplicación ha sido ofuscada, es esencial. Según cursos de hacking ético, la extracción de  tipo de marcos que han sido utilizados, tomar notas sobre los siguientes, ayudará a crear un buen modelado de amenazas, aplicando los mismos principios para crear una suite de prueba como se explica en la guía de pruebas de OWASP:

·         Identidad, autenticación y control de acceso como llaveros, los ataques de fuerza bruta, los parámetros templados.

·         Validación de entrada y codificación.

·         Cifrar los campos de contraseña de base de datos SQLite.

·         Administración de usuarios y sesiones como identificadores de sesión, tiempo de bloqueos.

·         Error y manejo de excepciones.

·         Auditoría de registro y los registros de control de acceso.

 

El análisis de archivos y binarios

Durante esta fase, el objetivo principal es descubrir las llamadas API inseguras y archivos no protegidos adecuadamente con ayuda de metodologías de análisis de vulnerabilidades informáticas. Esto se puede lograr mediante la depuración y el análisis del código usando herramientas como IDA Pro. Desbordamientos de búfer no debe ser descartado. Para descubrir vulnerabilidades, como inyecciones SQL, puede utilizar técnicas como fuzzing la aplicación o la aplicación de insumos maliciosos según expertos de análisis de vulnerabilidades informáticas. Las técnicas utilizadas para descubrir vulnerabilidades en una aplicación nativa son similares a las pruebas de penetración de aplicaciones web con esta diferencia que en lugar de utilizar un proxy para entender el funcionamiento interno de la aplicación, se utiliza el software de depuración.

Seguridad de la arquitectura cliente-servidor

Cuando la aplicación móvil ha sido diseñada con una arquitectura cliente-servidor, ataques de red son una de las principales preocupaciones según experiencia de profesionales de hacking ético. El uso de rastreadores para capturar el tráfico de red e investigar protección de la capa de transporte es esencial. Otras pruebas que se deben incluir en esta fase son:

Autenticación : Observando la solicitud y respuestas entre el cliente y el servidor, es posible descubrir vulnerabilidades que implican la autenticación. En los casos donde la aplicación está utilizando autenticación básica de HTTP, esto representa un riesgo.

Autorización: Las funciones y los controles de acceso entre ellos pueden ser descubiertos a través de manipulación de parámetro. Asegurar la clave de API correctamente en una carpeta inaccesible puede ser descubierto por el análisis de archivos o por spidering .

Administración de sesiones: Fichas de identificación de sesión enviados a través de métodos GET y colocados en la URL son visibles por proxy o por intercepción del tráfico.

 Encriptación y protocolos débiles: Las aplicaciones móviles son más vulnerables en estas áreas.

Seguridad del servidor de aplicación  

Probar la infraestructura, específicamente el servidor que aloja móvil app, requiere herramientas como nmap y la armadura de pruebas de intrusión diseñada para asignar y descubrir posibles vulnerabilidades y amenazas potenciales. También, cargados de archivos sin restricciones, redirección abierta, y la distribución de los recursos  deberían incluirse como parte de las pruebas.

Los desarrolladores móviles también deben ser conscientes de estas técnicas para construir aplicaciones más seguras. Las empresas deben centrarse en la creación de conciencia sobre los riesgos de las aplicaciones móviles vulnerables.

Read More

¿CUÁLES SON LOS RIESGOS Y ATAQUES DE SEGURIDAD EN APLICACIONES WEB?

Los sitios web y aplicaciones web son sistemas empresariales de misión crítica que deben funcionar sin problemas de seguridad para procesar datos confidenciales empresariales. Por los motivos de las normas de protección de datos personales, empresas deben considerar seguridad para aplicaciones web. Existen evidencias estadísticas avaladas por empresas de seguridad de aplicaciones cual señalan que en los países como México, Brasil, Estados Unidos, Colombia, Costa Rica, Argentina, UAE, India; dos de cada tres empresas enfrentan riesgos y problemas de seguridad para aplicaciones web o seguridad en páginas web.

Consultores de auditoría de sitio web, clasifican los riesgos por el tipo de ataque. Usando el tipo de ataque como base es el método normalmente usado por empresas de seguridad de aplicaciones. La clasificación de riesgos de seguridad web es de excepcional valor para los desarrolladores de aplicaciones, ejecutivos de la empresa, profesionales de la seguridad o cualquier otro interesado en la auditoría de sitio web. Profesionales de TI normalmente aprenden sobre riesgos informáticos, ataques a nivel aplicación, auditoría de sitio web, seguridad web con ayuda de los cursos de seguridad web. En los países como México, Brasil, Estados Unidos, Colombia, Costa Rica, Argentina, UAE, India etc hay varias empresas de seguridad de aplicaciones que proporcionan capacitaciones y cursos de seguridad web. Pero profesionales de las empresas deben tomar el curso de seguridad web que le enseña metodologías de revisión de seguridad independientes, guías de programación segura, normas internacionales, pruebas de seguridad web, metodologías de explotación, y ataques a nivel aplicación.
A continuación son algunos de ataques que afectan la seguridad de aplicaciones web:

FUERZA BRUTA

Fuerza bruta es un ataque automatizado de prueba y error, utilizado para adivinar los valores (usuarios, contraseña etc.) de los parámetros de la aplicación/pagina web. Normalmente gente usan contraseñas o claves criptográficas débiles que son fáciles de adivinar. Los hackers explotan esta vulnerabilidad de seguridad en páginas web usando un diccionario. Los hackers empiezan un bucle recorriendo el diccionario término a término, en búsqueda de la contraseña válida. Según los expertos de servicios de seguridad en aplicaciones web, el ataque de fuerza bruta es muy popular y pueden llevar a cabo horas, semanas o años en completarse. Con auditoría de sitio web empresas pueden detectar fácilmente las vulnerabilidades relacionadas a fuerza bruta.

AUTENTICACIÓN INCOMPLETA Y DÉBIL VALIDACIÓN

Autenticación incompleta es un ataque cuando un hacker accede alguna funcionalidad sensible de la aplicación sin tener que autenticarse completamente. En este ataque un hacker podría descubrir URL específica de la funcionalidad sensible través de pruebas de fuerza bruta sobre ubicaciones comunes de ficheros y directorios (/admin), mensajes de error etc. Normalmente muchas aplicaciones, páginas web no tienen seguridad y usan las técnicas de seguridad para aplicaciones convencionales. En un ataque de validación débil el atacante pueda obtener, modificar o recuperar los datos, contraseñas de otros usuarios. Esto ocurre cuando los datos requeridos para validar la identidad de los usuarios, son fácilmente predecible o puedan ser falsificadas. Acuerdo con los consultores de empresas de seguridad de aplicaciones, el proceso de validación de datos es una parte importante de las aplicaciones y las empresas deben implementar soluciones de seguridad para aplicaciones. Además con la auditoría de sitio web empresas pueden detectar fácilmente las vulnerabilidades relacionadas a autenticación incompleta y débil validación.

AUTORIZACIÓN INSUFICIENTE

Autorización insuficiente significa que un usuario tiene acceso a los partes sensibles de la aplicación/ sitio web que deberían requerir un aumento de restricciones de control de acceso. Sin algunas medidas de seguridad para aplicaciones, el ataque de autorización insuficiente podría ser muy dañoso. En el ataque de autorización insuficiente, un usuario autenticado podría controlar todo la aplicación o contenido de la página web. Recomendaciones del curso de seguridad web dicen que las aplicaciones deben tener políticas de acceso, modificación y prudentes restricciones deben guiar la actividad de los usuarios dentro de la aplicación.

SECUESTRO DE SESIÓN

En el ataque de secuestro de sesión un hacker podría deducir o adivinar el valor de sesión id y después puede utilizar ese valor para secuestrar la sesión de otro usuario. Si un hacker es capaz de adivinar la ID de sesión de otro usuario, la actividad fraudulenta es posible. Esto podría permitir a un hacker usar el botón atrás del navegador para acceder las páginas accedidas anteriormente por la víctima. Muchas empresas sin seguridad en páginas web son susceptibles a este ataque. Por esta razón es muy importante tener seguridad para aplicaciones.
Otro problema por seguridad para aplicaciones es la expiración de sesión incompleta, según consultores de empresas de seguridad de aplicaciones. Esto se resulte cuando una página web permite reutilización de credenciales de sesión antigua. La expiración de sesión incompleta incrementa la exposición de las páginas web para que los hackers roben o se secuestren sesión.
La fijación de sesión es otra técnica utilizada por secuestro de sesión, según consultores de empresas de seguridad de aplicaciones. Cuando fuerza un ID de sesión de usuario a un valor explícito, el hacker puede explotar esto para secuestrar la sesión. Posteriormente de que un ID de sesión de usuario ha sido fijado, el hacker esperará para usarlo. Cuando el usuario lo hace, el hacker usa el valor del ID de sesión fijado para secuestro de sesión. Las páginas web que usan las sesiones basadas en cookies sin ningún tipo de seguridad en páginas web, son las más fáciles de atacar. Normalmente la mayoría de ataques de secuestro de sesión tiene la fijación de cookie como motivo.
Sin servicios de seguridad en aplicaciones web contra la fijación de sesión, el hacker puede hacer mucho daño y robar datos confidenciales. Según recomendaciones del curso de seguridad web, el lógico para generar sesión ID, cookie y cada sesión ID deben ser mantenidos confidenciales. Empresas pueden aprender fácilmente durante el curso de seguridad web, mejores prácticas por prevenir secuestro de sesión y hacer programación segura de las aplicaciones.

CROSS-SITE SCRIPTING

Cuando un usuario visita una página web, el usuario espera que haber seguridad en página web y la página web le entregue contenido válido. Cross-site Scripting (XSS) es un ataque donde la víctima es el usuario. En el ataque de XSS, el hacker fuerza una página web a ejecutar un código suministrado en el navegador del usuario. Con este código el hacker tiene la habilidad de leer, modificar y transmitir datos sensibles accesibles por el navegador. Sin ningún tipo de seguridad en páginas web, un hacker podría robar cookie, secuestrar sesiones, abrir páginas de phishing, bajar malware y mucho más utilizando el ataque de XSS. Según expertos de servicios de seguridad en aplicaciones web, hay dos tipos de ataques XSS, persistentes y no persistentes. Ambos ataques pueden causar mucho daño a la reputación de la página web. Con ayuda de soluciones como auditoría de sitio web o cursos de seguridad web, empresas pueden entender, detectar y resolver fácilmente las vulnerabilidades relacionadas a cross-site scripting (XSS).

DESBORDAMIENTO DE BUFFER

El desbordamiento de buffer es una vulnerabilidad común en muchos programas, que resulta cuando los datos escritos en la memoria exceden el tamaño reservado en el buffer. Los expertos de empresas de seguridad de aplicaciones, mencionan que durante un ataque de desbordamiento de buffer el atacante explota la vulnerabilidad para alterar el flujo de una aplicación y redirigir el programa para ejecutar código malicioso. Acuerdo con los profesores de cursos de seguridad web esta vulnerabilidad es muy común a nivel a sistema operativo del servidor de la aplicación y empresas pueden detectar durante la auditoría de sitio web y servidor web.

INYECCIÓN DE CÓDIGO SQL

La inyección de código SQL, también conocido como SQL Injection es un ataque muy común y peligroso. Muchas empresas sin seguridad en páginas web son susceptibles a este ataque. Este ataque explota las páginas web que usan SQL como base de datos y construyen sentencias SQL de datos facilitados por el usuario. En el ataque de inyección de código SQL, el hacker puede modificar una sentencia SQL. Con la explotación de la vulnerabilidad, el hacker puede obtener control total sobre la base de datos o también ejecutar comandos en el sistema. Acuerdo con la experiencia de los expertos de servicios de seguridad en aplicaciones web, las empresas pueden prevenir inyección de código SQL con ayuda de saneamiento de los datos facilitados por el usuario. Además empresas pueden detectar y resolver esta vulnerabilidad con la ayuda de auditoría de sitio web.

INDEXACIÓN DE DIRECTORIO

En el ataque de indexación de directorio, un atacante puede acceder todos los ficheros del directorio en el servidor. Sin seguridad en páginas web, esto es equivalente a ejecutar un comando “ls” o “dir”, mostrando los resultados en formato HTML. La información de un directorio podría contener información que no se espera ser vista de forma pública. Además un hacker puede encontrar la información sensible en comentarios HTML, mensajes de error y en código fuente. Acuerdo con la experiencia de consultores de empresa de seguridad de aplicaciones, la indexación de directorio puede permitir una fuga de datos que proporcione a un hacker los datos para lanzar un ataque avanzado.

PATH TRAVERSAL

En el ataque de Path Traversal, un hacker accede los ficheros, directorios y comandos que residen fuera del directorio “root” de la web. Muchos sitios empresariales sin seguridad en páginas web son susceptibles a este ataque. Con acceso a estos directorios, un atacante puede tener accesos a los ejecutables necesarios para realizar la funcionalidad de la aplicación web e información confidencial de usuarios. En el ataque de path traversal un hacker puede manipular una URL de forma que la página web ejecutará o revelará el contenido de ficheros ubicados en cualquier lugar del servidor web. Con ayuda de soluciones como auditoría de aplicación web o capacitación de seguridad web, empresas pueden entender, detectar y resolver fácilmente las vulnerabilidades relacionadas a Path Traversal.

DENEGACIÓN DE SERVICIO

En un ataque de denegación de servicio (DoS), el motivo es impedir que una página web/ aplicación puede funcionar normalmente y sirva la actividad habitual a los usuarios. Los ataques DoS intentan dilapidar todos los recursos disponibles tales como: CPU, memoria, espacio de disco, ancho de banda etc. Cuando estos recursos lleguen un consumo máximo, la aplicación web pasará a estar inaccesible. Según los expertos de servicios de seguridad en aplicaciones web hay diferentes tipos de ataques DoS, como a nivel red, nivel dispositivo, nivel aplicación y de diferentes fuentes (DDoS). Con ayuda de soluciones como auditoría de aplicación web o capacitación de seguridad web, empresas pueden entender, detectar y resolver fácilmente los riesgos relacionados a denegación de servicio.

Estos son algunos de los ataques cibernéticos sobre aplicaciones web. Los servicios de seguridad en aplicaciones web y los cursos de seguridad web deben permitir identificar, resolver los riesgos asociados a las aplicaciones web de su organización. La metodología de seguridad para páginas web/ aplicaciones web debe ser muy diferente de metodología tradicional de empresas de seguridad de aplicaciones. La metodología de seguridad para páginas web/ aplicaciones web debe estar basada en un proceso de pruebas manual y automatizadas por medio de scripts propias, revisión de códigos, herramientas propietarias, comerciales y de código abierto que identifica todos los tipos de vulnerabilidades.

Read More