
Prueba de penetración
La disciplina suprema
Prueba de Penetración Red Teaming
Pero, ¿pueden todas sus estrategias de seguridad resistir un ataque? Muchos conceptos de seguridad suenan tentadores en teoría, pero fallan en la práctica. Rara vez se puede juzgar cuál de ellos es realmente eficaz sin una revisión práctica.
Es hora de comprobar si sus medidas de seguridad también dan resultado.
Esto le da una visión realista de la capacidad de defensa y respuesta de su empresa.
(se aplica al área económica de la EMEA)
Examinamos de forma holística:
Tecnología | Llevamos a cabo ataques contra su TI corporativa. |
---|---|
Gente | Comprobamos cómo reaccionan sus empleados ante ataques reales de hackers. ¿Forma la seguridad informática parte de la cultura empresarial? |
Seguridad informática física | Comprobamos cómo están protegidos el edificio de su empresa, las salas de servidores y otras instalaciones relevantes de su empresa. |
Normas reconocidas | Trabajamos según estándares reconocidos como ISECOM OSSTMM, PTES, OWASP Testing Guide, así como las especificaciones y recomendaciones del Marco TIBER-UE del Banco Central Europeo. Además, todas nuestras auditorías de seguridad se basan en las recomendaciones de la Oficina Federal de Seguridad de la Información. Además, nuestros proyectos están asegurados por pérdidas económicas, así como por daños personales y materiales. |
Prueba de penetración
El coste medio por incidente de seguridad fue de 3,86 millones de dólares.
(en todo el mundo, año 2018)
Lo que sabemos
Por lo tanto, KALWEIT SU
Como empresa consultora independiente especializada en las disciplinas de la seguridad informática, la realización de pruebas de penetración es una de nuestras disciplinas supremas. Nuestra pretensión es realizar pequeñas pruebas de penetración automatizadas con un enfoque transparente y comprensible. Los requisitos específicos del sector bancario o sanitario no suponen ningún reto para nosotros.
-
-
Creemos que la seguridad informática debe ser diferente hoy
. La seguridad implica la confianza en soluciones independientes. La seguridad es
no un producto, sino un proceso continuo. Precisamente por eso, en
trabajamos con métodos de consultoría holísticos y entendemos a las empresas como un factor de seguridad holístico
- tal como lo haría un atacante
. Porque un concepto no hace un sistema.
-
- Trabajamos de acuerdo con normas reconocidas como PTES, NIST,
OWASP Testing Guide, PCI-DSS, Cyber Kill Chain, así como el concepto de implementación de
para las pruebas de penetración de la Oficina Federal de Seguridad de la Información
. Además, nuestros proyectos están asegurados por
para pérdidas financieras, así como para daños personales y materiales.
Le apoyamos con todo tipo de pruebas de penetración:
- Prueba de perímetro
- Prueba de cliente
- Prueba del delincuente interno
- Pruebas de aplicaciones web/software de aplicación/aplicaciones móviles
- Pruebas de los sistemas bancarios centrales y de las redes minoristas
- Revisión de la seguridad
- Pruebas de la unidad de control del motor
- Pruebas de dispositivos IoT
- Pruebas en el entorno de la nube (AWS, Microsoft Azure o Google Cloud)
- Pruebas de solución de flameo
- Proyectos extensos con más de 400 días de proyecto al año
- Gran experiencia en la realización de pruebas de penetración en los sectores de la banca y las finanzas, la sanidad, las infraestructuras críticas y el comercio minorista.

Ciberseguridad en la automoción
El proceso de avance de la digitalización no se detiene en el mundo del automóvil.
Debido al creciente número de ECUs en el coche, así como a la mayor interconexión de los vehículos (C2X), también aumenta el riesgo de acceso no autorizado y de manipulación de los sistemas críticos para la seguridad.

Sin embargo, los conocimientos avanzados también pueden hacer uso de la información transmitida a través del bus CAN para manipular una amplia variedad de funciones del vehículo o utilizarla para mejorar las funciones. La interconexión más profunda de varias unidades de control del vehículo permite funciones innovadoras como la conducción autónoma, los sistemas de control de crucero o incluso la mejora de la navegación.
Una amenaza clara y presente
Control de seguridad informática
El Chequeo de Seguridad Informática ofrece a las pequeñas y medianas empresas una evaluación inicial de la situación general de la seguridad informática en su propia empresa.
- ¿En qué aspectos estamos especialmente bien posicionados y en cuáles tenemos que recuperar el terreno perdido?
- Claridad, saber exactamente lo que queda por hacer
- Conocer qué medidas son imprescindibles y cuáles son poco relevantes
-
- 2 días de aplicación con varios asesores
- Revisión de la seguridad informática técnica y organizativa basada en VdS 10000
- QuickCheck de la presencia web de la empresa y de las IPs externas
- Catálogo de recomendaciones de actuación
- Informe de gestión (formato PDF)
- Discusión final
-
- 3 días de aplicación con varios asesores
- Revisión de la seguridad informática técnica y organizativa basada en VdS 10000
- QuickCheck de la presencia web de la empresa y de las IPs externas
- Catálogo de recomendaciones de actuación
- Informe de gestión (formato PDF)
- Discusión final
-
- 4 días de aplicación con varios asesores
- Revisión de la seguridad informática técnica y organizativa basada en VdS 10000
- QuickCheck de la presencia web de la empresa y de las IPs externas
- Catálogo de recomendaciones de actuación
- Informe de gestión (formato PDF)
- Discusión final
Investigación OSINT
Open Source Intelligence (OSINT) es un término procedente del campo de la aplicación de la inteligencia y describe un método de investigación en el que se utilizan herramientas exclusivamente pasivas para examinar datos disponibles libremente con un propósito de aplicación específico.
Como parte de la investigación OSINT, identificamos conjuntos de datos comprometidos, como documentos confidenciales, datos de acceso o información técnica útil para intentos de ataques específicos de la cadena de muerte cibernética. Estos ofrecen una imagen clara de cómo se debe evaluar la situación actual de la seguridad informática de su empresa. Dado que sólo se utilizan herramientas pasivas, este tipo de control de seguridad puede realizarse fácilmente sin infringir las disposiciones legales (especialmente los artículos 202a-c y 303a-b).
Las búsquedas de OSINT pueden utilizarse, entre otras cosas, como una fase más detallada de recopilación de información en el contexto de una prueba de penetración.
Procedimiento de las pruebas
- Entrevista inicial
- Hablar con todas las partes interesadas
- Aplicación
- Documentación
- Evaluación de riesgos
- Presentación de los resultados
Durante la reunión inicial, llegamos a conocerle mejor a usted y a su empresa. En la segunda ronda de la reunión, discutimos los próximos pasos junto con todos los responsables de la toma de decisiones. Esto determina la metodología de la prueba de penetración que se utilizará.
Una vez que se han identificado los posibles vectores de ataque durante la prueba de penetración, y se ha determinado su probabilidad de ocurrencia y la posible cantidad de daños, le presentamos los resultados en un informe final.
Esto incluye un resumen de gestión, una descripción detallada de los riesgos inherentes y una prueba de concepto, para que pueda reproducir las vulnerabilidades internamente con sus propios expertos en TI.
El núcleo de la documentación son las exhaustivas recomendaciones de actuación, con las que podrá llevar a cabo de forma fácil y comprensible su propia corrección de los puntos débiles.
Independientemente de un debriefing gratuito para aclarar dudas o ambigüedades abiertas, también estamos encantados de proporcionarle una confirmación de la realización con éxito de una prueba de penetración si lo solicita. Puede utilizarlo como prueba para los clientes y socios comerciales.
El informe final contiene los siguientes componentes:
- Datos del marco del proyecto (nombre del proyecto, persona de contacto, período de prueba, alcance)
- Resumen de la gestión
- Descripción del enfoque y los métodos utilizados
- Resumen y evaluación de las vulnerabilidades identificadas con respecto a su criminalidad (incluyendo la denominación de los valores CVSS y las entradas CVE), así como una prueba técnica de concepto
- Descripción técnica detallada de las vulnerabilidades / riesgos inherentes identificados
- Recomendación de medidas para remediar la vulnerabilidad, así como listado de todas las vulnerabilidades en forma de tabla (Excel).
Sus personas de contacto
Siempre puede contactarnos personalmente. Porque la lealtad en la asociación es mucho más importante para nosotros que el éxito a corto plazo.

Dipl-Inf. George Koch
Socio de negocios senior
+49 40 285 301 252

Philipp Kalweit
Socio Director
+49 40 285 301 257