Auditoría de Seguridad Informática de Web y Apps | BCNSoluciona

Auditoría de seguridad informática

BCNSoluciona-auditorias-seguridad-informatica-web-apps

Una auditoría de seguridad informática consiste en la realización de unas pruebas técnicas sobre el sistema o dispositivo a auditar.

Estas pruebas sirven para detectar las vulnerabilidades de los sistemas o de los dispositivos o los fallos de configuración que podrían facilitar a una atacante tomar el control del sistema o dispositivo, llevarse la información existente o anular el sistema o dispositivo para el uso.

Existen varios tipos de seguridad según lo que se audite, auditoría de seguridad de sistemas o infraestructura, también llamada pentest (test de intrusión), auditoría de seguridad web y auditoría de seguridad de APP o aplicaciones, a continuación, detallamos la auditoría de seguridad web y la de App.

BCNSoluciona-auditoria-de-seguridad-web

¿Qué es una auditoría de seguridad Web?

Una auditoría de seguridad web, es hacer análisis de la seguridad de la web utilizando las herramientas que podría utilizar un atacante y un análisis manual, para encontrar todas las vulnerabilidades en el código de la web, de los sistemas que las soportan y errores en la configuración de los sistemas. Por tanto, también se realiza una auditoría de seguridad de los sistemas que las soportan, se audita también que las conexiones sean seguras.

La auditoría de seguridad web, nos permite encontrar esos fallos de seguridad informática o vulnerabilidades para evitar que los atacantes aprovechen esos fallos de seguridad informática y nos puedan atacar la web, pudiendo tomar el control de nuestra web y hacer lo que quieran, robarnos la información que tengamos o simplemente hacerla inaccesible.

BCNSoluciona-auditoria-de-seguridad-apps

¿Qué es una auditoría de seguridad de APP’s o aplicaciones?

Una auditoría de seguridad App (aplicaciones móviles) o aplicaciones clásicas es hacer análisis manual de la seguridad de la aplicación o App acompañado de las herramientas que podría utilizar un hacker, para encontrar todas las vulnerabilidades en el código de la App, también de los sistemas que la soportan y errores en la configuración de los sistemas. Por tanto, también se realiza una auditoría de seguridad de los sistemas en las que están las aplicaciones, se audita también que las conexiones sean seguras.

La auditoría de seguridad de App o aplicaciones nos permite encontrar esos fallos de seguridad informática o vulnerabilidades para evitar que los atacantes aprovechen esos fallos de seguridad informática y nos puedan hackear la App o aplicación, pudiendo tomar el control hacer lo que quieran, robarnos la información que tengamos, añadir información falsa o suplantarla.

¿Tienes alguna duda que desees aclarar?

Te lo explicamos

Si hay algo que no entiendas o si prefieres que te expliquemos qué podemos hacer por ti, podemos llamarte sin compromiso. Queremos entender qué te preocupa y qué puntos de seguridad informática puedes mejorar para evitar fugas de información, ataques, suplantación de identidad, etc…

¿Para qué hacer una auditoría de seguridad web o App?

 

  • Hoy en día, después de la aplicación del Reglamento General de Protección de Datos, RGPD (GDPR en inglés) es obligatorio realizar la auditoría seguridad web o App, dado que puede haber datos personales en esos sistemas.
  • Evitar ataques a la web, con el impacto que puede generar en su negocio, como la indisponibilidad de la web, modificación de los datos del carrito de compra….
  • Evitar la pérdida de datos.
  • Conocer el estado de la seguridad de su App y aplicación.
  • Para evitar daños reputacionales, perdida de la confianza de los clientes o perderlos directamente.

¿Por qué con BCNSoluciona?

BCNSoluciona se ha especializado en hacer auditorías de seguridad informática, ya sean auditorías de seguridad web o APP o auditorías de seguridad de sistemas informáticos, con profesionales certificados en las certificaciones más importantes del sector y con la vocación por realizar esas tareas como si fuera un hacker, pero ético.

BCNSoluciona ofrece diferentes paquetes de auditorías de seguridad, aunque se puede personalizar la auditoría de seguridad porque cada cliente es diferente, a continuación, detallamos los servicios que prestamos y que se pueden personalizar o elegir un paquete.

¿Cómo realizamos en BCNSoluciona la auditoría de seguridad web?

Una auditoría de seguridad web se basa en encontrar las vulnerabilidades, para ello hacemos un análisis previo manual de la web y definimos el alcance de la auditoría, después se entra en la auditoría profunda de la web, aplicando la metodología OWASP se realizan un conjunto de pruebas, estas pruebas pueden ser manuales o usando herramientas, se revisan los productos con los que pueda estar hecha la web y los sistemas que la soportan comprobando las versiones y sus vulnerabilidades y si se requiere, se explotan todas las vulnerabilidades para saber hasta dónde podría llegar un atacante.

¿Cómo realizamos en BCNSoluciona la auditoría de seguridad App (móvil) o aplicación?

 

Una auditoría de seguridad se basa en encontrar las vulnerabilidades, para ello hacemos un análisis previo manual de la App o aplicación para definir el alcance de la auditoría, después se entra en la auditoría profunda de la App, aplicando la metodología OWASP para aplicaciones móviles y en parte para las aplicaciones clásicas, se realizan un conjunto de pruebas, estas pruebas pueden ser manuales o usando herramientas, dependiendo del alcance, se pueden hacer ataques de fuerza bruta para el usuario y contraseña o se pueden esnifar las conexiones entre la App y el server, y si es posible modificar esa información para suplantar identidades por ejemplo o tener acceso al servidor en el que la aplicación deja todos los datos.

 

Soluciones – Packs

 

Soluciones – Pentest

 

Las pruebas de pentest que realizamos cumplen todos los estándares de Owasp.

BCNSoluciona-pack-ciberseguridad-empresas-1
  • Escaneo de vulnerabilidades.
  • Revisión de resultados.
  • Informe técnico de resultados.
  • Análisis de vulnerabilidades.
  • Explotación de las vulnerabilidades.
  • Reconocimiento de alcance.
  • Recolección de evidencias.
  • Informes de remediación.
  • Informe ejecutivo.
  • Suscripción RSS seguridad.

A partir de  1.100€

Recurrencia

 

Cualquier solución podrá tener recurrencia, ya sea diaria, semanal, mensual, trimestral o semestral, dado que depende de la criticidad de la aplicación o APP, las auditorías de seguridad deberían ser periódicas.

Metodología auditoría web y de aplicaciones

 

Todos los servicios se basan en el standard y en la metodología de OWASP, https://www.owasp.org, que es una organización sin ánimo de lucro, que se dedica a impulsar la visibilidad  y evolución de  la seguridad y la protección  de las aplicaciones  en el mundo.

Top ten de los riesgos más críticos de aplicaciones web

 

BCNSoluciona-top-ten-riesgos-de-seguridad-en-webs

A1-Inyección

A2- Pérdida de autenticación y gestión de sesiones

A3- Cross-Site Scripting (XSS)

A4- Referencias directas inseguras a objetos

A5- Configuración de seguridad incorrecta

A6- Exposición de datos sensibles

A7- Ausencia de control de acceso a funciones

A8- Falsificación de Peticiones en Dominios Cruzados o Cross-site Request Forgery (CSRF).

A9- Utilización de componentes con vulnerabilidades conocidas

A10- Redirecciones y reenvíos no validados.

Top ten de los riesgos más críticos de aplicaciones móviles

 

M1 – Incorrecto uso de la plataforma.

M2- Almacenamiento de ficheros de forma insegura

M3- Autenticación insegura

M4- Protocolos de cifrado inseguros

M5- Comunicaciones inseguras

M6- Autorización insegura

M7- Calidad del código de cliente

M8- Manipulación de código

M9- Ingeniería inversa (Reversing)

M10- Funciones inseguras.

Descripción de los servicios 

Reconocimiento de Alcance

En esta fase se define el objetivo de la auditoría, hasta donde llegará la auditoría y que analizará, definiendo el análisis necesario para llegar a él.

 

Escaneo de Vulnerabilidades

Se trata de un servicio basado en herramientas automáticas de escaneo de vulnerabilidades interno de la organización, mediante herramientas que escanean la infraestructura (Nessus, FoundStone, etc, que genera tickets, informes, estadísticas y que realiza la supervisión completa del ciclo de vida de una vulnerabilidad).

 

Análisis de Vulnerabilidades

Se realiza un análisis automático adaptado al objetivo, en el escenario definido, para detectar vulnerabilidades  y se estudia el impacto que pueden tener según el objetivo definido en el alcance del estudio y la viabilidad de que esas vulnerabilidades sean explotadas por un atacante, cuando el análisis es manual, un especialista analiza vulnerabilidad por vulnerabilidad des de el punto de vista de negocio con pruebas manuales si fuera necesario en la lógica de la web.

 

Explotación de las Vulnerabilidades

Una vez encontradas las vulnerabilidades, se explotan en el escenario según el objetivo definido, como podría hacer un atacante, para determinar alcance e impacto.

 

Revisión de Resultados

Un analista de seguridad, revisa los resultados ofrecidos por la herramienta, descartando los falsos positivos que puedan encontrarse.

 

Informe Técnico de Resultados

Se realiza un informe en el que se muestran las vulnerabilidades encontradas, una vez eliminado los falsos positivos.

 

Recolección de Evidencias

En esta fase se recopila la información en la que se evidencia las vulnerabilidades encontradas y explotadas en las diferentes pruebas realizadas durante la fase de explotación de las vulnerabilidades.

 

Informes de Remediación

Se realiza un informe técnico en el que se sugieren diferentes opciones a realizar para solucionar las vulnerabilidades encontradas.

 

Informe Ejecutivo

En este informe se explica a alto nivel las vulnerabilidades encontradas, su viabilidad y el impacto que podrían tener en el caso de ser explotadas por un atacante.

 

Suscripción RSS Seguridad

En este canal de suscripción de seguridad, se enviará a las personas dadas de alta, noticias del ámbito de la seguridad, como pueden ser vulnerabilidades encontradas, actualizaciones de seguridad de productos, etc…

Contacta con nosotros

sin compromiso

Protección de datos:

Ir al contenido