top of page

COSIMTI REALIZA PRUEBAS DE INTRUSIÓN (ETHICAL HACKING) DESDE HACE 20 AÑOS


Las Pruebas de Intrusión o “Hackeo Ético” son importantes para los negocios competitivos, ya que permiten identificar y remediar brechas de seguridad en los sistemas informáticos antes que sean aprovechados por cibercriminales o personas malintencionadas.


COSIMTI, fundado en 1999 por mi padre (Hugo Rosales Uriona) presentaba entre sus servicios: Auditoría de Sistemas, elaboración de políticas, normas y procedimientos de TI, Ethical Hacking entre otros, sin embargo, eran muy pocos los clientes e incluso colegas que conocían acerca de las pruebas de intrusión controladas o Hacking Ético, por lo cual, solo realizábamos esta actividad como un valor agregado a los servicios de Auditoría de Sistemas.


Esta situación mejoró un poco el 2003 cuando la ASFI (en aquel entonces todavía SBEF) emitió la circular 443/2003 Requisitos Mínimos de Seguridad Informática, que, si bien no exigía específicamente Análisis de Vulnerabilidades Técnicas, establecía la implementación de políticas, normas y procedimientos de seguridad informática, mismas que de manera indirecta dieron pie para que algunas entidades financieras, sobre todo Bancos y Fondos Financieros contraten (aunque de manera esporádica) los servicios de Ethical Hacking, pero no fue hasta el año 2012 (con la carta circular ASFI/3272) que esto se convirtió en mandatorio por el ente regulador para todas las entidades financieras de Bolivia.


En la actualidad realizamos servicios de Ethical Hacking no solo dirigidos a sistemas de banca transaccional (móvil y web) y redes corporativas, sino también a empresas petroleras, que si bien no están reguladas por ASFI ni por otro ente en temas de seguridad de la información, sus sistemas de control industrial (SCI) tipo SCADA, DCS, Fire & Gas, entre otras infraestructuras críticas son utilizadas en sus Plantas de procesamiento de Gas como parte de su core de negocio, donde una falla de ciberseguridad puede traer consigo daños físicos y consecuencias irreparables sobre las instalaciones e incluso personas que la operan, más allá de las multas por incumplimiento de acuerdos contractuales en caso de paro de planta.


La gran demanda de servicios de ethical hacking hizo que el 2010 designemos dentro COSIM un equipo humano específicamente para realizar este tipo de pruebas, ya que el grado de especialización que se exige es cada vez mayor y es muy difícil que un profesional sea experto en todo lo que concierne a seguridad de la información (Riesgos, Auditoría, Cumplimiento, Gobierno y Gestión de TI, Seguridad en Redes, Seguridad en Aplicaciones, Testing, etc.), es un campo bastante grande, en este sentido, nuestra división técnica de investigación en ethical hacking a partir del 2017 posee su propia personería jurídica (Trilabs SRL), conformado por pentesters para aplicaciones (web y móviles que están muy de moda hoy en día), pentesters para redes e infraestructuras, pentesters para SCADA, todos con experiencia y certificaciones internacionales en Ethical Hacking y Seguridad Ofensiva (Offensive Security Certified Professional - OSCP), actualmente somos la empresa boliviana con más profesionales certificados por Offensive Security (organización Israelí con laboratorios en EE.UU y Filipinas).



www.cosimti.com

Somos una empresa 100% boliviana que confía en el potencial del profesional boliviano y su alta capacidad para desenvolverse en ciberseguridad a nivel internacional, un ejemplo de ello es Miguel Rosales, joven profesional boliviano, que en agosto de este año pasó de ser pentester en COSIM a ocupar el puesto de pentester senior en una multinacional de ciberseguridad española con presencia en 17 países, actualmente Miguel participa en pruebas de pentest para el BCP (Lima-Perú), Banco Pichincha, Entel (Perú), Movistar (Perú), entre otras.


En mi experiencia liderando alrededor de 200 servicios de ethical hacking, tanto para Petroleras, Telefónicas, Bancos, Aseguradoras, Órganos del Estado, entre otros, puedo concluir que un 60% de este trabajo, son las pruebas técnicas (trabajo de campo) y un 40% son los informes (trabajo de gabinete), ya que es posible identificar múltiples vulnerabilidades en una empresa e incluso explotarlas, pero si estas no son claramente explicadas en función del riesgo para el negocio, respaldadas en base a estándares y acompañadas de una contramedida práctica, su valor para la gestión de vulnerabilidades y cumplimiento de objetivos, se opaca.


Para que la alta gerencia pueda evaluar y monitorear este tipo de riesgos, se requiere que el ethical hacking proporcione como entregables al menos; un informe ejecutivo (resumen gerencial), un informe técnico (narrativa de cada prueba) dirigido al personal de TI y Ciberseguridad, y una matriz de vulnerabilidades técnicas, que sirva de base para el plan de acción. Es importante que este plan priorice las vulnerabilidades de nivel crítico (o con riesgo muy alto) en función a la metodología y apetito de riesgo de la organización, para una remediación efectiva.


En cuanto a herramientas, lo que más utilizamos es KALI Linux, ya que esta distribución (Open Source) contiene un set de múltiples herramientas que nos permite ejecutar una serie de pruebas según la metodología PTES (Penetration testing execution standard), como ser; análisis de tráfico, escaneo de puertos, explotación de vulnerabilidades elevación de privilegios, tanto de manera automatizada como manual (insertando comandos). Asimismo, nos apoyamos en algunos gadgets (dispositivos hardware) para complementar las pruebas. Es importante entender que la ciberseguridad no solo requiere personal capacitado, sino también el uso de herramientas, es muy precario e irresponsable intentar hacer ciberseguridad solo con nuestras manos.