Ethical Hacking

Por medio de nuestro servicio de Ethical Hacking explotamos las vulnerabilidades de plataformas internas, externas, aplicaciones móviles o sistemas de información.

Contamos con amplia experiencia en distintos sectores como financiero, servicios, salud en:

• Análisis de Vulnerabilidades
• Ingeniería social
• OSINT (Búsqueda de información en fuentes públicas)
Ethical Hacking Aplicaciones Internas y Externas
• Análisis de aplicaciones web

Cloud Seguro

Nuestros servicios Incluyen

HACKING ÉTICO

Servicio mediante el cual se realiza la explotación de vulnerabilidades para lograr penetrar las defensas de un sistema o servicio, con el fin de encontrar y capturar información restringida, confidencial o de gran valor comercial. Se simulan las actividades de un atacante malicioso para medir las capacidades de respuesta, los controles existentes y las vulnerabilidades presentes en los diferentes dispositivos de red. Las pruebas se realizan bajo la metodología PTES (Penetration Testing Execution Standard). Se entregan informes detallados con los hallazgos, la información obtenida, el riesgo actual en la empresa y las vulnerabilidades.

HACKING ÉTICO APLICACIONES MÓVILES

Servicio mediante el cual se realiza la explotación de vulnerabilidades en aplicaciones móviles sobre plataformas iOS y ANDROID, con el fin de determinar los riesgos. Nos basamos en metodologías como OWASP, y distintas herramientas open source.

INGENIERÍA SOCIAL

Servicio mediante el cual se manipula una persona para tomar una acción que puede o no estar dentro de sus mejores intereses. Esto puede incluir acceder a información personal o confidencial, instalaciones físicas o lograr que realice alguna u otra actividad. La interacción puede realizarse vía telefónica, email o personal, en las cuales se simulan las actividades de un atacante malicioso, con el fin de identificar las falencias del personal ante este tipo de ataques y sus posibles consecuencias. Las pruebas se realizan bajo la metodología de The Social Engineering Framework.

OSINT

Servicio mediante el cual se realiza una auditoría sobre la visibilidad de una empresa o persona en Internet con una técnica llamada OSINT “Open source inteligence gathering” (recolección de información de fuentes abiertas). El propósito de esta actividad es identificar falencias en el momento de publicar documentos, servicios, información personal en Internet y en la creación de cuentas en redes sociales u cualquier otro tipo de página.

A través de los documentos publicados y las fuentes de información libres se busca recopilar: Nombres, teléfonos, extensiones telefónicas, nombres de usuarios, direccionamiento IP interno, estructura organizacional, direcciones de correo electrónico, proveedores, familiares, gustos, redes sociales, además de cualquier otra información potencialmente sensible.

El OSINT es una eficaz herramienta para recopilar todo tipo de información, la cual puede ser utilizada para tareas como realización de perfiles de seguridad, estudios psicológicos, evaluar tendencias de mercado, auditorias en temas de seguridad de la información o conocer sobre la identidad digital y reputación online de personas, entre otras.

Existe una gran variedad de herramientas para la adquisición, procesamiento y análisis de la información. La recopilación de datos e información a gran escala, el análisis y visualización conllevan el uso de distintas herramientas, algunas libres  y otras con versiones pago, que son usadas dependiendo de la necesidad y de la forma en la que se quieran utilizar los datos.

Con nuestro servicio de OSINT, una empresa o persona podrán entender su exposición en fuentes públicas y entender los riesgos.

ANÁLISIS DE VULNERABILIDADES

Servicio mediante el cual se identifican vulnerabilidades en cualquier tipo de dispositivos de red mediante el uso de herramientas especializadas. Se puede realizar de forma autenticada para poder determinar con mayor certeza la existencia de vulnerabilidades. Los resultados obtenidos son clasificados y analizados para determinar la exposición de riesgo actual tanto por vulnerabilidad como por dispositivo. La información entregada incluye las posibles opciones de remediación para las vulnerabilidades encontradas.

ANÁLISIS DE APLICACIONES WEB

Servicio mediante el cual se identifican vulnerabilidades sobre aplicaciones web. Las pruebas son ejecutadas bajo los lineamientos de OWASP (Open Web Application Security Project) y la metodología PTES.

Se ofrecen dos tipos de pruebas:

Caja blanca

Las pruebas caja blanca de intervención manual proporcionan el mejor valor para una organización ya que se realizan pruebas detalladas dentro de cada módulo del objetivo. Combina ataques básicos sobre los formularios presentes para cualquier persona que logre una conexión con la aplicación así como los de una persona debidamente autenticada sobre el sistema. Se hace una revisión minuciosa de cada formulario, página, parámetros http o cualquier otro tipo de parámetro que pueda ser enviado por el usuario. Por el detalle de las pruebas el uso de herramientas automatizadas corresponde a menos del 20% de las pruebas realizadas.

Automatizadas

Mediante el uso de herramientas especializadas se corre un set de pruebas predeterminado sobre el sitio a valorar. La herramienta es configurada según el ambiente y los requisitos de autenticación con el fin de evaluar la mayoría de los módulos detectados.

Negación de servicio

Servicio mediante el cual se busca la interrupción de un servicio, un conjunto de servicios o un servidor mediante la explotación de vulnerabilidades. Con el fin de prevenir que los usuarios legítimos puedan acceder a ellos. Se simula las actividades de un atacante malicioso para medir las capacidades de respuesta, los controles existentes y las vulnerabilidades presentes en los diferentes dispositivos de red. Se entregan informes detallados con los hallazgos, la información obtenida, el riesgo actual en la empresa y las vulnerabilidades explotadas.

Auditoria de contraseñas

Servicio mediante el cual se realizan ataques fuera de línea sobre las bases de datos de usuarios, con el fin de identificar malas prácticas de los empleados en el uso de las contraseñas (Contraseñas por defecto, de fácil adivinación, contraseñas sin expiración). En la mayoría de los casos una cuenta corporativa es el acceso digital a las instalaciones de las empresas. Con este servicio se puede determinar las falencias antes de que puedan ser aprovechadas por los atacantes.

Monitoreo de seguridad de la red

Servicio mediante el cual se realiza un monitoreo sobre la red en búsqueda de eventos relacionados con la seguridad. Con el fin de poder detectar vulnerabilidades de forma temprana o tener las trazas necesarias para poder determinar el alcance de una posible brecha. También permite tener una claridad acerca del estado de la red e inteligencia de las posibles amenazas latentes.

nuestros trabajos

los expertos nos recomiendan

  • En Cloud Seguro contamos con el mejor equipo para temas de Hacking, Seguridad y Protección de Datos Personales. Su experiencia es un buen complemento con su pasión.

    ColmédicaTecnología
  • Pueden existir muchas empresas de consultoría o tecnología pero hemos realizado los más importantes proyectos en empresas públicas y privadas. Con nuestro desarrollo sobre Cloud Computing estamos llegando a clientes en Colombia, México y Brasil.

    Mario Villamizar CanoCTO Cloud Seguro
  • Con Cloud Seguro entendimos la importancia en la protección de la Información y los Datos. El compromiso y su experiencia es el factor diferencial de su equipo.

    Cesar RamírezGerente Coodemil

nuestros asombrosos

clientes

¿Necesitas más Información sobre lo que hacemos?

Envíanos tus Datos y en Breve nos Contactaremos Contigo