¿Conoces nuestros servicios de Detección y Seguridad Ofensiva, basados en NIST CSF?

26 de febrero de 2025 Iñigo Ladrón Morales

En Zerolynx somos especialistas en servicios profesionales para empresas en materia de ciberseguridad. Concretamente en seguridad corporativa, ciberseguridad corporativa, inteligencia corporativa, ciberinteligencia corporativa y seguridad patrimonial.

Nuestros servicios se alinean con las recomendaciones, frameworks y estándares internacionales de ciberseguridad, más importantes y reconocidos a nivel mundial. Por ese motivo, toda nuestra oferta está basada en el framework del NIST (Instituto Nacional de Estándares y Tecnologías de los Estados Unidos) y, en concreto en su propuesta de marco de ciberseguridad, conocido como el NIST Cybersecurity Framework (NIST CSF).

Así, la oferta de Zerolynx se articula a través de una amplia gama de servicios profesionales que machean con cada una de las seis funciones del framework NIST CSF:

Identificación.
Protección.
Detección.
Respuesta.
Recuperación.
Gobierno.

En este artículo, nos centraremos en la oferta de servicios de Zerolynx, destinados a la detección y seguridad ofensiva de las empresas en materia de protección ante amenazas, detección de debilidades de seguridad y ciberseguridad.

La detección es el paso inicial para conocer el estado de la seguridad corporativa y sus debilidades o vulnerabilidades.

Si quieres conocer, analizar y evaluar las capacidades de defesa ante ataques, de ciberdefensa ante ciberataques de tu empresa, estos son los servicios que necesitas. Aprende a proteger tus activos de forma efectiva.

Pero, ¿Qué es exactamente la detección? Según la RAE (Real Academia de la Lengua Española), es simplemente “la acción y efecto de detectar”, “la acción y efecto de localizar, de identificar, de descubrir”.

Yendo un paso más allá y centrándonos en la seguridad y la ciberseguridad de la información, la detección de vulnerabilidades y amenazas, consiste en “la acción y efecto de detectar, localizar, identificar, o descubrir debilidades, vulnerabilidades o amenazas potenciales que nos podrían afectarnos”.

Desde dicha definición, y en el marco de la ciberseguridad, por tanto, se entiende que los componentes y factores esenciales de la Detección son los siguientes:

El descubrimiento que permite visibilizar tanto las debilidades como vulnerabilidades y posibles vectores de ataque.
La identificación de activos críticos.
La detección de activos en riesgo.
La antelación que permite tener ese conocimiento y actuar, antes de que lo tenga un atacante que pueda actuar.
El establecimiento de tácticas, técnicas y procedimientos (TTP) a aplicar en caso de ataque.
La actualización de las defensas existentes y el establecimiento de nuevas defensas, en base a lo detectado.
El análisis de impacto potencial.
La monitorización continua.

Las amenazas llegarán en cualquier momento y desde cualquier frente, desde el que menos nos esperemos o sospechemos, pudiendo ser internas o externas. Por ese motivo, debemos estar preparados para detectarlas lo antes posible.

Nuestros servicios y sistemas corporativos, tanto internos como externos, así como los de aquellos proveedores y terceras partes, deben estar auditados desde el punto de vista de la detección, habiendo “descubierto” previamente cuáles son sus puntos débiles, pudiendo así actuar con antelación.

Pues bien, para eso estamos nosotros. Para ayudarte con recursos, conocimiento, capacidades, habilidades y actividades específicas de inteligencia y ciberinteligencia en las que somos expertos y con las que no cuentas en tu empresa.

Pero, ¿Cómo funcionan y cómo se prestan este tipo de servicios? ¿Cómo los ofrecemos desde Zerolynx para que sean lo más efectivos, eficientes y beneficiosos para tu negocio o empresa?

Nos ponemos en los zapatos de los “chicos malos” (bad gyus) para probar diferentes posibles escenarios de ataque. Sin afectar a tu negocio, ni poner en riesgo a tu organización, simulamos ataques reales.
Con los resultados derivados de esos ataques simulados, analizamos y valoramos la probabilidad de que sucedan en tu organización, así como el impacto que tendría cada uno de ellos en caso de materializarse.
Asimismo, visibilizamos los activos que podrían ser objetivo de actividades maliciosas (los priorizando en ellos los niveles de probabilidad, criticidad y riesgo potencial) y cuáles serían los principales vectores de ataque en vuestro caso.
Detectamos las principales vulnerabilidades en los sistemas y servicios corporativos, así como los riesgos que éstas entrañan.
Proponemos las correspondientes actividades personalizadas de mitigación de riesgos.

Sabemos que cada empresa es un mundo, con diferentes sectores de actividad, diferentes portfolios de servicios y/o productos, diferentes necesidades, objetivos y estrategias. Por ese emotivo nos adaptamos a tu empresa, a cualquier tipo de empresa, objetivos y necesidades, ofreciendo servicios de detección totalmente personalizados a cada situación.

Así, en la prestación de este tipo de servicios, establecemos varios pasos a la hora de trabajar:

Análisis personalizado de la situación de la empresa, necesidades existentes y objetivos prioritarios a cubrir.
Identificación y consenso de necesidades y requisitos.
Preparación de una propuesta de plan de auditoría y detección, personalizado.
En base a lo acordado, realizamos ataques reales/simulados a la organización, durante un tiempo determinado.
Análisis de resultados.
Preparación y emisión de informes de las actividades del plan llevadas a cabo, de lo detectado, y de las posibilidades de resolución de lo detectado.
Presentación de resultados, conclusiones y recomendaciones de actuación para la mitigación de riesgos.

Esta materia es muy extensa y nuestra cartera de servicios de detección, inteligencia y ciberinteligencia es tan amplia que te dejamos aquí un resumen de todos ellos:

Red Team. Simulamos ciberataques reales a la organización, sus infraestructuras, servicios, aplicaciones, procesos y personas, con el objetivo de evaluarla en materia de ciberseguridad, conociendo así sus capacidades de detección y, al mismo tiempo, cómo se comporta ésta en la respuesta ante incidentes. De este servicio ya hablamos en el artículo “Red Team 2.0”.
Pentesting interno y externo. Los riesgos generalmente están fuera de la organización, pero también (y en muchas ocasiones), se encuentran dentro de ella (insiders). Nos encargamos de analizar y detectar todos los riesgos que afecten a la empresa, tanto a la parte de ésta que se encuentra expuesta a Internet con servicios Web, online o de otro tipo, como a lo que se encuentra dentro de ella (red corporativa, dispositivos, aplicaciones, bases de datos, servicios internos, etc.). De este servicio ya hablamos en los artículos “¿Sabes qué es un pentesting y cómo ayuda a tu empresa?” y “Red Team 2.0”.
Ingeniaría Social. En la mayoría de las ocasiones, detrás de la mayoría de los ciberataques, y, generalmente, en los que más éxito tienen, no se encuentra la tecnología, ni sofisticados artilugios empleados por los ciberdelincuentes. Al contrario. Éstos aluden, cada vez más, a la vulnerabilidad humana, al hacking humano, al factor humano, tratando de engañar a los usuarios para que hagan lo que desean que hagan (abrir o descargar un fichero, dar un acceso, realizar una transacción, etc.). Estos engaños suelen emplear la psicología, el phishing, la suplantación de identidad y suelen aludir siempre a la sensibilidad humana, por lo que es complicado detectarlos y, en especial que los usuarios y empleados los detecten a tiempo y no realicen las acciones que se les solicita que hagan. Pues bien, os ayudamos a concienciar, educar, formar, capacitar y entrenar a vuestros empleados a que sean capaces de hacerlo, mediante actividades de simulación de ataques de phishing. De este servicio ya hablamos en los artículos “Servicios de awareness en ciberseguridad, tan importantes como las herramientas de protección” y “Cómo identificar y evitar el Phishing en correos electrónicos”.
Hacking sobre Redes Wireless (WiFi). Seguro que en la oficina tenéis una o varias WiFi corporativas que utilizan tanto los empleados. Y, además, seguro que tenéis algunas WiFi para invitados. Pero, ¿son seguras? Para comprobarlo, nos encargaremos de revisar todas las redes WiFi corporativas, auditándolas desde el punto de vista de la seguridad integral, evidenciando sus posibles debilidades, fallos, vulnerabilidades, o agujeros de seguridad, para que los podáis corregir.
Auditoría de Seguridad Web. Lo más habitual es que tu negocio tenga una web corporativa e incluso más de una si las tenéis localizadas por sectores, tipos de productos o servicios que ofrecéis, etc. Además, es probable que también contéis con una tienda online e incluso con servicios online para vuestros clientes, usuarios, o para vosotros mismos. Éstas podrán contar con agujeros de seguridad que permitirían a un atacante realizar una explotación de vulnerabilidades que afectase a la organización, con accesos no autorizados, lectura de bases de datos, exfiltración de información confidencial, etc. Dejadlo en nuestras manos. Analizaremos todos vuestros servicios online, aplicaciones, web y tienda para encontrar vulnerabilidades, empleando para ello el framework OWASP.
Auditoría de Seguridad de Aplicaciones Móviles. Seguro que muchos de los empleados de la organización utilizan un smartphone corporativo, e incluso, más de uno, su propio móvil personal (BYOD – Bring Your Own Device), e incluso tablets, para temas laborales. Éstos, solo por el mero hecho de contar son software, sistemas operativos y aplicaciones (Apps), son otro foco de vulnerabilidades y, por tanto, un vector de ataque habitual que debéis asegurar. Dejadlo en nuestras manos. Analizaremos todos vuestros dispositivos móviles para encontrar en ellos, en sus sistemas operativos y Apps, vulnerabilidades que os puedan afectar, utilizando para ello el framework OWASP Mobile. De este servicio ya hablamos en el artículo “Introducción al pentesting de aplicaciones móviles sin morir en el intento”.
Auditoría de Seguridad IIoT (Internet Industrial de las Cosas). ¿Trabajáis con servicios y dispositivos IoT (Internet of Things / Internet de las Cosas) y/o IIoT (Internet Industrial de las Cosas)? ¿Los mantenéis seguros? Dejadlo en nuestras manos. Nosotros lo comprobamos por vosotros realizando pentests sobre vuestras infraestructuras ICS para detectar vulnerabilidades y evaluar su resiliencia ante ciberataques externos e internos.
Auditoría de Seguridad de la Infraestructura Cloud. Seguro que contáis con servicios en la nube, propios o de terceros. ¿Tenéis la certeza de que son seguros y de que es seguro su uso? Nosotros nos ocupamos, analizando los posibles riesgos a los que podrían, tanto si se trata de servicios IaaS (Infrastructure as a Service), como PaaS (Platform as a Service), como SaaS (Software as a Service), como si se trata de servicios en la nube de terceros (AWS, Azure, etc.). De este servicio ya hablamos en el artículo “Análisis de riesgos de ciberseguridad en entornos cloud”.
Auditoría de Código Fuente. Vuestra empresa, ¿se dedica al desarrollo de software? En vuestra organización, ¿desarrolláis vuestras propias aplicaciones? Seguro que sois muy buenos en ello, pero ¿es seguro el código fuente que generáis? Averigüémoslo y mejorémoslo en este sentido. Te ayudamos a conseguirlo, auditando el código fuente de vuestras aplicaciones mediante análisis automáticos y manuales. Con los resultados obtenidos, os propondremos las mejoras más adecuadas para solucionar los problemas de seguridad que detectemos. De este servicio ya hablamos en el artículo “Seguridad en el ciclo de vida del software”.
Auditoría de Directorio Activo. Sea cual sea al sistema operativo y/o servicio que utilicéis, seguro que en vuestra organización trabajáis con Active Directory para que los empleados puedan identificarse y hacer uso de los recursos de red que necesitan, de forma personalizada. Este también podría ser otro objetivo y vector de ataque que te podemos ayudar a securizar mejor, mediante la evaluación de seguridad del Directorio Activo En él, además, chequearemos las cuentas de dominio, las políticas de seguridad, las configuraciones y el seguimiento de buenas prácticas (Sysvol, Laps, Krbtgt, etc.). De este servicio ya hablamos en el artículo “Auditoría básica de ciberseguridad a un dominio Microsoft”.
Ingeniería Inversa y Hardware Hacking. Vuestra empresa, ¿se dedica a la fabricación y programación de hardware? En vuestra organización, ¿desarrolláis vuestros propios “hierros”? ¿Tenéis una infraestructura de hardware que os interesaría auditar? ¿Os dedicáis al desarrollo de software? ¿Desarrolláis vuestras propias aplicaciones? Seguro que sois muy buenos en ello, pero ¿es seguro el código fuente que generáis? Déjanos ayudaros a averiguarlo y mejorarlo encontrando posibles fallos de ciberseguridad mediante la ingeniería inversa de vuestras aplicaciones y activos hardware.
Hacking a Sistemas Bancarios. Si tenéis una tienda online, o si vuestro negocio es un comercio, una entidad bancaria, una entidad financiera, o si realizáis transacciones bancarias de pago, cobro y/o compra-venta, podemos ayudaros a evaluar ciberseguridad de tus dispositivos y sistemas bancarios como cajeros, TPVs o pasarelas de pago.
Simulación de Ransomware. Es probable que ya hayáis recibido algún ransomware o intento de cibersecuestro de vuestra información, sobre la cual, después de haber sido cifrada os piden un rescate económico para recuperarla. Y si no, llegará. En tal caso, ¿Sabéis si estáis preparados y si vuestra empresa soportaría un ciberataque como ese? Veámoslo simulando el comportamiento malicioso de actores de ransomware para evaluar la capacidad de la organización para enfrentarse y superar este tipo de amenazas (evaluación de resiliencia / ciberresiliencia).
Pruebas de Denegación de Servicios (DoS) y de Denegación de Servicio Distribuido. Seguro que contáis con una enorme, potente, robusta, fuerte y segura infraestructura TIC, desde el punto de vista de protección. Pero, ¿soportaría cualquier tipo de carga? ¿Cuál es el límite de peticiones que podría aguantar? ¿Podrían tirarla fácilmente o con un número concreto de peticiones simultáneas? Si esto sucediese, ¿podría producirse una denegación de servicios? Veámoslo, simulando ataques DoS y DDoS, empleando para ello los mismos mecanismos que emplean los ciberdelincuentes (evaluación de resiliencia / ciberresiliencia).