Cuando trabajas en la prevención de ataques de ciberdelicuentes, eres consciente de cómo son. Evidentemente tienen mala intención, les gusta jugar con el código y están en continuo aprendizaje, seguirles el ritmo es fundamental para proteger a nuestros clientes.
Por ello trabajamos bajo la técnica de hacking ético. El término hacking ético puede resultar al inicio confuso, pero para emular la metodología de ataque de un cracker (intruso informático) y no serlo, tiene que haber ética de por medio, como ya comentamos en un post anterior “Hackers: ¿Héroes o villanos?”. Es decir, los tester especializados en seguridad de la información seguimos un enfoque de pruebas de intrusión de caja negra, siendo nuestro objetivo encontrar las debilidades o vulnerabilidades en materia de seguridad del Software, pero sin comprometer los activos de la organización.
Pruebas de seguridad
Los servicios de pruebas de seguridad de aplicaciones móviles y basadas en web proporcionan medidas preventivas para protegerlas de usos maliciosos y ayudan a remediar posibles ataques.
Para llevar a cabo este tipo de pruebas, no es necesaria documentación, ya que la primera fase es la realización de una evaluación pasiva de la aplicación, entender la aplicación cómo lo haría un intruso.
Posteriormente realizamos un análisis automático, que nos ayuda a localizar vulnerabilidades comunes. Aunque el valor lo aporta la evaluación manual realizada por tester especializados en seguridad.
En las apps o aplicaciones de movilidad existen riesgos adicionales en materia de seguridad a los que nos encontramos en una aplicación web:
- La aplicación puede estar disponible en un market, esto identifica la necesidad de realizar pruebas de resiliencia a la ingeniería inversa de la misma.
- El robo y/o pérdida del dispositivo y con ello la información sensible que puede quedar en el mismo, por ello es necesario la realización de un análisis forense.
Informes de resultados
El resultado de este tipo de pruebas es un informe con diferentes grados de detalle para que sea de utilidad a todas las partes involucradas: desarrolladores, gerentes de proyectos, departamentos de TI, auditoria… Para ello por cada tipo de vulnerabilidad se informa:
- La amenaza a la seguridad de que el problema expone
- La causa raíz del problema de seguridad
- La técnica de prueba usada para encontrarla
- La remediación de la vulnerabilidad (por ejemplo, la contramedida)
- La calificación de riesgo de la vulnerabilidad en base a métricas internacionales.
Desde la práctica de Calidad y Pruebas de Viewnext este tipo de Test las realizamos bajo demanda o integradas en el modelo de desarrollo de ciclo de vida seguro.
