Test de intrusión
El pentest de aplicaciones, lo que muchos llaman hacking ético, analiza a fondo tu software (web, API y móvil) buscando los fallos que de verdad importan. No solo los técnicos que detecta una herramienta, sino los de lógica de negocio y control de acceso que solo encuentra un ojo experto probando la aplicación como lo haría un atacante con tiempo y paciencia. Donde un escáner ve formularios, nosotros vemos cómo saltarse el pago, leer los datos de otro cliente o colarse sin permiso.
Análisis manual y experto, no solo automático: la diferencia entre una lista de avisos y un fallo demostrado.
Por qué experto
Las herramientas automáticas encuentran lo conocido y lo evidente. Pero los fallos que de verdad cuestan dinero viven en la lógica de tu aplicación, en cómo encajan los permisos y los pasos, y eso solo lo ve una persona que entiende qué hace tu software y lo ataca con criterio.
Alcance
Todo lo que es software con su propia lógica, donde el ataque va por la aplicación misma y no por la red. Web, API y móvil comparten la misma idea: romper lo que la aplicación da por sentado. Es lo que se conoce como pentest web, pentest de API y pentest móvil.
El grueso del trabajo. Lógica de negocio, autenticación y control de acceso, inyección (SQL injection, XSS) y configuración, siguiendo el OWASP Top 10 y yendo más allá donde hace falta.
El backend de casi todo, con su propia lógica de permisos. Tokens, límites, autorización endpoint a endpoint, con el OWASP API Top 10 como base.
Android e iOS. Ingeniería inversa, datos guardados en el dispositivo, comunicaciones, certificados y las APIs que hay detrás, siguiendo el estándar OWASP MASVS.
Enfoque
Cuánta información te pedimos para empezar cambia lo que encontramos. No hay una opción mejor que otra, hay la que encaja con lo que quieres saber.
A ciegas, como un atacante de fuera sin credenciales ni información. Mide qué se rompe desde la calle.
Con un usuario normal y algo de contexto. El equilibrio habitual entre realismo y profundidad.
Con acceso al código y a la documentación. La máxima profundidad, ideal antes de lanzar algo crítico.
Qué incluye
No es pasar una herramienta y reenviar su informe. Es trabajo experto sobre tu aplicación, con la prueba de cada fallo y el camino para cerrarlo.
Desde inyección o mala configuración hasta abusos de la lógica de negocio que solo se ven a mano.
Web, API y móvil contra los estándares de referencia, sin quedarnos en la checklist cuando el fallo está más hondo.
Cada hallazgo viene demostrado y explicado, no como un posible salido de una herramienta.
No solo qué falla, sino cómo arreglarlo, en lenguaje que tus desarrolladores entienden.
Cuando corregís, volvemos a probar lo encontrado para confirmar que queda cerrado de verdad.
Uno ejecutivo con el riesgo de negocio y otro técnico con el detalle para resolver.
Todo pensado para que el informe no acabe en un cajón, sino en commits que cierran el agujero.
Cuándo
Vas a publicar una aplicación nueva o una versión importante y quieres salir sin agujeros conocidos.
Tu aplicación trata datos personales, salud o dinero, donde un fallo de acceso sale caro en multas y en confianza.
Un cliente, una certificación como la ISO 27001 o el ENS, o el estándar PCI DSS para pagos piden una prueba de tu software.
Has reescrito una parte, integrado una API nueva o cambiado el modelo de permisos, y eso abre puertas nuevas.
Método
Acordamos qué aplicaciones entran y en qué modo (negra, gris o blanca), según qué quieras saber y cuánto contexto nos das.
Herramientas para lo evidente y trabajo experto a mano para la lógica y el acceso, que es donde está lo gordo.
Cada fallo demostrado, con su riesgo de negocio y cómo se arregla, en lenguaje que entiende tu equipo.
Cuando corregís, volvemos a probar lo encontrado para confirmar que queda cerrado.
Encaja con
Un atacante no distingue entre la aplicación y la red: salta de una a otra. Por eso el pentest de aplicaciones se complementa con el pentest de infraestructura, que es continuo y mide tu exposición de red, sistemas y perímetro. Y cuando hace falta llegar al fondo del software, la auditoría de código fuente revisa lo que la caja blanca empieza a destapar.
Y mientras tu equipo corrige, lo que aún no está cerrado no queda al descubierto: con Sondriva, nuestro SOC, vigilamos los intentos de ataque contra tu aplicación en tiempo real. El informe, además, sirve como evidencia para tu ISO 27001, tu ENS o el estándar PCI DSS de tus aplicaciones de pago: el mismo trabajo aprovechado dos veces.
Dudas
Un escáner encuentra lo conocido y lo evidente, y te entrega una lista de posibles. Un pentest de aplicaciones añade el ojo humano: alguien que entiende qué hace tu software y prueba a romper su lógica, su control de acceso y sus permisos. Los fallos más caros, como ver los datos de otro cliente o saltarse un pago, casi nunca los pilla una herramienta, porque no son un error de código sino de diseño.
Depende de qué quieras saber. La caja negra ataca a ciegas, como un atacante de fuera sin credenciales. La caja gris parte de un usuario normal y algo de contexto, y es el equilibrio habitual entre realismo y profundidad. La caja blanca añade acceso al código y a la documentación para la máxima cobertura. Lo decidimos contigo según la aplicación y el riesgo que asumes.
Las tres. La web suele ser el grueso, pero las APIs son el backend de casi todo y tienen su propia lógica de permisos, y las aplicaciones móviles de Android e iOS añaden almacenamiento en el dispositivo, comunicaciones y las APIs que hay detrás. Probamos lo que tengas.
Sí, como base. Usamos el OWASP Top 10 en web, el OWASP API Top 10 en APIs y el estándar OWASP MASVS en móvil, pero no nos quedamos en la lista: lo interesante suele estar en la lógica de negocio, que ninguna checklist cubre.
Sí. Cuando tu equipo corrige lo encontrado, volvemos a probarlo para confirmar que el fallo queda cerrado de verdad y no solo tapado. Encontrar el fallo es la mitad del trabajo.
Lo habitual y más seguro es trabajar sobre un entorno de pruebas que sea igual al real, sobre todo si la aplicación maneja datos o pagos. Si hay que tocar producción, lo acordamos antes y lo hacemos con cuidado para no afectar a tu operación ni a tus datos.
Se complementan. El pentest de aplicaciones es puntual y profundo, con ojo humano sobre la lógica de cada aplicación. El de infraestructura es continuo y mide tu exposición de red, sistemas y perímetro. Como un atacante salta de la aplicación a la red y al revés, muchas organizaciones necesitan los dos.
Sí. El informe y la prueba de que tus arreglos funcionan valen como evidencia para tu ISO 27001 o tu ENS, y el estándar PCI DSS exige pruebas de seguridad de las aplicaciones que manejan pagos. Es el mismo trabajo aprovechado para reforzar la app y para cumplir.
¿Hablamos?
Cuéntanos qué aplicación quieres poner a prueba, web, API o móvil, y te proponemos el enfoque que mejor encaja.
Ponte en contacto