Preguntas frecuentes sobre los servicios de pruebas de penetración

Somos comunicativos y ofrecemos asesoramiento personalizado. Durante el proceso, le mantendremos informado periódicamente sobre los resultados obtenidos hasta el momento, tanto positivos como negativos. Si detectamos fallos críticos, se lo comunicaremos de inmediato. Al finalizar el proceso, recibirá un resumen de todos los hallazgos.

Le proporcionaremos orientación personalizada para la corrección de cada vulnerabilidad que identifiquemos durante la prueba. Si existen limitaciones, trabajaremos con usted para comprenderlas y proponerle una solución adecuada para cada vulnerabilidad.

En una prueba de caja negra, los clientes no proporcionan información sobre su infraestructura, salvo una URL o una dirección IP, o en algunos casos, solo el nombre de la empresa. Las pruebas de penetración de caja negra simulan cómo un atacante sin información, como un pirata informático o un atacante patrocinado por un Estado, podría explotar el entorno.

Las pruebas de penetración de caja blanca son prácticamente lo opuesto a las pruebas de penetración ciegas o de caja negra. Los evaluadores de penetración tienen acceso al código fuente y a la documentación de diseño relevante de la aplicación que se está probando. Pueden realizar pruebas estáticas utilizando analizadores de código fuente para identificar vulnerabilidades. Posteriormente, pueden compilar la aplicación y ejecutarla en un entorno aislado, utilizando pruebas dinámicas con depuradores y herramientas comunes de prueba de aplicaciones. Como resultado, las pruebas de caja blanca ofrecen uno de los niveles más altos de garantía técnica.

Una prueba de caja gris combina técnicas de prueba de caja negra y caja blanca: en las pruebas de caja gris, los clientes proporcionan información fragmentada para facilitar los procedimientos de prueba. Esto se traduce en una mayor amplitud y profundidad, así como en una cobertura de prueba más amplia que la de las pruebas de caja negra. Las pruebas de penetración de caja gris ofrecen un enfoque ideal para los clientes que desean una evaluación rentable de su nivel de seguridad.

Las cinco etapas de una prueba de penetración típica incluyen: 

Planificación y reconocimiento - definir el alcance, los objetivos y recopilar información.
Escaneo - identificar puertos abiertos y posibles vulnerabilidades. 
Obtención de acceso - explotar las vulnerabilidades para probar los puntos de entrada. Mantenimiento del acceso - determinar si es posible una presencia persistente. 
Análisis e informe - recopilar los hallazgos y las recomendaciones de remediación. 

LRQA sigue metodologías reconocidas en la industria para todas sus pruebas de penetración. LRQA sigue metodologías reconocidas en la industria para todos sus proyectos de pruebas de penetración.

es, penetration testing can complement Managed Detection and Response (MDR) services. While pen testing simulates attacks to uncover weaknesses, MDR offers real-time detection and response. Combined, they provide a layered approach to cybersecurity, identifying, monitoring and mitigating threats continuously.

Yes, LRQA’s penetration testing services are CREST certified, assuring our clients that testing is conducted to the highest technical and ethical standards by qualified professionals.

LRQA offers a wide range of penetration testing services, including:

• Network Penetration Testing (internal and external)
• Web Application Testing
• Mobile App Pen Testing 
• Wireless Network Testing
• Social Engineering and Phishing Simulations
• Penetration Testing as a Service (PTaaS) 
   

We tailor each pen test to your organisation’s risk profile and compliance needs.

Tradicionalmente, las pruebas de seguridad se realizan en un momento específico. Por ejemplo, una prueba de penetración puede realizarse anualmente como una verificación puntual de los niveles de vulnerabilidad. Posteriormente, se pueden corregir los hallazgos, identificar las causas raíz e implementar cambios. Sin embargo, esto solo proporciona una garantía sólida en ese momento, y dichos niveles de garantía comienzan a disminuir tan pronto como finaliza la actividad.

La gestión de la superficie de ataque (comúnmente abreviada como ASM) es una estrategia proactiva de ciberseguridad centrada en identificar, supervisar y reducir la superficie de ataque de una organización.

Como paquete mínimo de garantía, sugerimos que la gestión de la superficie de ataque y las pruebas de penetración continuas creen un ciclo de garantía continua permanente. Esto le asegura protección contra activos conocidos y desconocidos durante todo el año.

Contamos con un equipo de expertos en pruebas de penetración de aplicaciones móviles, con una alta demanda constante. Coordinamos la formación y la contratación internas con la demanda externa de la forma más eficiente posible. Nuestro objetivo es comenzar las pruebas de penetración de aplicaciones móviles en un plazo de dos semanas. En caso de urgencia, podemos acordar plazos de entrega.

La duración de una prueba móvil depende en gran medida de la complejidad de sus requisitos y del nivel de seguridad que necesite. La mayoría de las pruebas móviles duran al menos tres días por aplicación. Ofrecemos un servicio de pruebas de penetración manuales, no un escaneo automatizado. Póngase en contacto con uno de nuestros expertos para obtener una propuesta personalizada para la prueba de su aplicación móvil.

Nuestra metodología de pruebas móviles sigue las fases clave de reconocimiento, enumeración, descubrimiento, explotación y post-explotación. Si bien utilizamos herramientas automatizadas en algunos casos para lograr una cobertura amplia, la mayor parte del valor proviene de las pruebas de penetración manuales. En estas pruebas, proporcionamos una cobertura exhaustiva y es a lo que dedicamos la mayor parte de nuestro tiempo. Con gusto le brindaremos información más detallada si lo solicita.

Somos comunicativos y ofrecemos asesoramiento personalizado. Durante el proyecto, le mantendremos informado periódicamente sobre los resultados obtenidos hasta el momento, tanto positivos como negativos. Si identificamos vulnerabilidades críticas, se lo comunicaremos de inmediato y le enviaremos un informe por escrito. Al finalizar el proyecto, recibirá un resumen de todos los hallazgos. Para cuando reciba los informes detallados, no habrá sorpresas: nos mantenemos en contacto constante. Tras la entrega de los informes, con gusto le ofreceremos análisis técnicos y ejecutivos.

Finalmente, una vez finalizado el proyecto, tendrá acceso completo a nuestro equipo de expertos en pruebas de penetración de aplicaciones móviles. Estamos a su disposición para responder cualquier pregunta de seguridad que pueda tener en el futuro.

Nuestro equipo de probadores de aplicaciones móviles sabe cómo crear aplicaciones y cómo encontrar sus fallos. Le proporcionaremos orientación personalizada para la corrección de cada vulnerabilidad que identifiquemos durante la prueba. Si tiene limitaciones, trabajaremos con usted para comprenderlas y proponerle una solución adecuada para cada vulnerabilidad.