Las pruebas de penetración modernas no se limitan a verificar las normas ni a ejecutar un escáner de vulnerabilidades una vez al año. Los atacantes son ágiles, aprovechan el ingenio manual y tienen la paciencia de explorar su entorno hasta obtener datos cruciales. Sin embargo, muchas pruebas de penetración aún reciclan informes prefabricados, copiando y pegando hallazgos del escáner que apenas rozan la superficie. SubRosa rechaza ese enfoque heredado. Nuestra metodología refleja cómo operan los adversarios reales: fusiona la creatividad humana, herramientas de prueba de penetración de vanguardia y modelos de amenazas basados en el contexto para revelar rutas explotables que otros pasan por alto. Analizamos el riesgo empresarial, mapeamos su superficie de ataque real, explotamos cadenas críticas y generamos informes que impulsan la remediación. A continuación, se presenta un desglose transparente de nuestro marco de cinco pasos para servicios de pruebas de penetración que proporcionan cero conjeturas y máximo impacto.
Paso uno: Determinación del alcance basada en el riesgo, no en plantillas
Una prueba de penetración eficaz comienza mucho antes de que el primer paquete llegue a su firewall. En lugar de obligar a los clientes a acceder a niveles predefinidos —«bronce», «plata», «oro»—, SubRosa comienza con una llamada de descubrimiento centrada en el modelado de amenazas, en lugar de un simple inventario de activos.
Hacemos preguntas directas: ¿Qué aplicaciones o sistemas conectados generan la mayor parte de sus ingresos? ¿Dónde se encuentra la propiedad intelectual sensible en su arquitectura? ¿Cómo se gestionan los privilegios en las distintas unidades de negocio? ¿Qué integraciones de terceros podrían actuar como puertas traseras? Estas conversaciones arrojan luz sobre los incentivos de los atacantes, lo que nos permite priorizar los objetivos y adaptar las tácticas.
Diseño de compromiso personalizado
Nuestros ingenieros elaboran una matriz de interacción que identifica posibles perfiles de adversarios (grupos de ransomware, amenazas internas, grupos de amenazas persistentes avanzadas [APT]) y los comparan con sus activos más valiosos. La matriz impulsa la determinación del alcance basada en el riesgo : una evaluación local de Active Directory para un fabricante con dispositivos OT heredados, pruebas de penetración exhaustivas de aplicaciones web para un proveedor de SaaS que procesa información personal identificable (PII), o una prueba de penetración en la nube mixta para una empresa que migra cargas de trabajo a multinube.
Más allá de los mapas de red
Las propuestas tradicionales de pruebas de penetración suelen centrarse en rangos de IP, recuentos de puertos o diagramas de subred. Si bien los mapas de red son importantes, ignoran el contexto crucial: procesos de negocio, roles de usuario y clasificación de datos. El proceso de determinación del alcance de SubRosa integra las realidades técnicas y operativas. Podríamos recomendar la implementación de un equipo rojo en su canalización interna de DevOps si alimenta directamente a producción o simular una cadena de escalada de privilegios de phishing a la nube, ya que su personal depende de un proveedor de inicio de sesión único.
Talleres colaborativos sobre amenazas
Para programas maduros, realizamos talleres colaborativos con arquitectos de seguridad, líderes de DevOps y responsables de cumplimiento para crear guiones gráficos de posibles escenarios adversos. La inclusión en la pizarra de posibles cadenas de ataque ayuda a ambas partes a visualizar cómo un atacante podría comprometer los ejecutores de CI/CD, exfiltrar bases de datos de clientes o solicitar un rescate de hipervisores. Este entendimiento compartido concreta los objetivos de las pruebas y garantiza que el informe final de las pruebas de penetración tenga repercusión en todas las partes interesadas, desde los analistas del SOC hasta la junta directiva.
Entregable: Declaración de trabajo alineada con los riesgos
El resultado del Paso Uno es una Declaración de Trabajo transparente que enumera los sistemas objetivo, los objetivos, las reglas de interacción y los criterios de éxito. Los clientes saben con precisión qué se probará, qué metodologías de pruebas de penetración se aplican (OWASP, PTES, NIST SP 800-115) y cómo se medirá el éxito (vulneración de la administración del dominio, inserción de código no autorizado, exfiltración de datos protegidos). Sin conjeturas ni corrupción del alcance.
Paso dos: reconocimiento real, mapeo real de la superficie de ataque
Una vez que el alcance está bloqueado, entramos en la fase de reconocimiento, donde los atacantes de élite pasan la mayor parte de su tiempo.
Reconocimiento pasivo y activo
Nuestro equipo recopila inteligencia de código abierto (OSINT) para analizar la presencia pública de su organización: credenciales filtradas en sitios web, buckets S3 expuestos, subdominios olvidados y repositorios de GitHub para desarrolladores que revelan claves API codificadas. Simultáneamente, realizamos un reconocimiento activo: enumeración de servicios, identificación de SSL/TLS y descubrimiento de activos en la nube en AWS, Azure y Google Cloud. Al correlacionar los hallazgos pasivos y activos, creamos un mapa dinámico de cada superficie accesible y explotable.
Metadatos y minas de oro de configuración incorrecta
Las filtraciones de metadatos suelen proporcionar a los atacantes claves en bandeja de plata. Los documentos PDF alojados en sitios web de marketing públicos pueden contener nombres de usuario internos; los registros TXT de DNS pueden revelar las IP de origen tras una CDN. Nuestros scripts automatizan la extracción de estas gemas, mientras que los analistas humanos contextualizan su importancia. Por ejemplo, un PDF de marketing que revele "DEV-SQL01" podría indicar convenciones de nomenclatura que podemos utilizar como arma durante las fases de fuerza bruta o ingeniería social.
Descubrimiento de la superficie de ataque como base
Algunos proveedores se apresuran en el reconocimiento para maximizar la cantidad de análisis que pueden vender por trimestre. SubRosa hace lo contrario: invertimos mucho al principio porque un inventario detallado de la superficie de ataque facilita una explotación más inteligente. La falta de activos ahora implica falsos negativos más adelante. Nuestro resultado de reconocimiento es un gráfico de conocimiento estructurado que conecta dominios, direcciones IP, recursos en la nube, repositorios, aplicaciones SaaS de terceros e identidades de usuario en un modelo navegable.
Monitoreo dinámico de activos
Para pruebas de penetración como servicio de varias semanas o continuas, implementamos la monitorización continua. Si su equipo de DevOps implementa un nuevo clúster de pruebas o implementa un microservicio con credenciales predeterminadas a mitad de la prueba, nuestros sensores detectan el cambio. A los atacantes reales les encanta sorprender a las organizaciones en plena implementación; a nosotros también, porque refleja la realidad.
Objetivo: Conciencia de exposición holística
Al finalizar el Paso Dos, los clientes poseen un catálogo de exposición mucho más completo que una instantánea de escaneo de puertos. Saben qué puertas de enlace VPN obsoletas aún aceptan conexiones, qué instantáneas de EC2 olvidadas contienen secretos de texto plano y cómo el dominio de su marca podría ser utilizado para el phishing. El reconocimiento prepara el terreno para una explotación táctica que demuestra el riesgo empresarial con precisión quirúrgica.
Paso tres: Explotación táctica, no solo escaneo de vulnerabilidades
Dirigido por humanos, apoyado por herramientas
Las herramientas de pruebas de penetración como Burp Suite, Nmap y BloodHound siguen siendo esenciales, pero la automatización solo ofrece resultados limitados. La fase de explotación de SubRosa combina la creatividad humana con la eficiencia de los scripts. Mientras los escáneres detectan CVE comunes, nuestros ingenieros encadenan manualmente las configuraciones incorrectas, escalan privilegios y se adaptan a redes híbridas.
Demostrando el riesgo mediante la explotación
Un CVE de alta gravedad por sí solo no siempre implica un impacto comercial. Simulamos cadenas de eliminación realistas: extracción de tickets de servicio Kerberoastables, descifrado de hashes sin conexión, suplantación de cuentas de servicio, explotación de políticas de IAM débiles para asumir roles entre cuentas y, en última instancia, exfiltración de datos confidenciales. Al ejecutar estas cadenas de extremo a extremo, demostramos cómo las vulnerabilidades teóricas se traducen en riesgos tangibles, algo que ninguna herramienta de pruebas de penetración automatizada independiente puede garantizar.
Movimiento lateral y escalada de privilegios
Supongamos que el acceso inicial se obtiene a través de una cuenta de contratista con pocos privilegios. Nuestros operadores utilizan binarios de acceso remoto (LOLBins), marcos C2 personalizados y relés de shell seguro para la migración lateral. El volcado de credenciales, la suplantación de tokens y los ataques de paso de hash facilitan la transición del escritorio al controlador de dominio y al portal de administración en la nube. Registramos cada comando, hash y token para garantizar que la evidencia sea completa y reproducible.
Explotación de objetivos de API y de la nube
Los entornos modernos combinan la infraestructura local con SaaS y microservicios. Los especialistas nativos de la nube de SubRosa abusan de la falsificación de solicitudes del lado del servidor (SSRF) para acceder a los puntos finales de metadatos, comprometen roles de IAM mal configurados para escalar privilegios y explotan los puntos finales de API demasiado permisivos para manipular objetos del backend. Si su canalización de CI/CD activa implementaciones automáticas, demostramos cómo un atacante podría inyectar código malicioso en las imágenes de Docker que se envían a producción.
Ataques encadenados que demuestran el impacto empresarial
Una sola inyección SQL podría desviar los correos electrónicos de los usuarios, pero encadenar SQLi con el robo de credenciales en la nube y la implementación de ransomware presenta un riesgo existencial. Documentamos exploits encadenados con mapeos de MITRE ATT&CK, lo que proporciona información clara sobre las técnicas de los atacantes: acceso inicial, persistencia, evasión de defensa, acceso a credenciales, descubrimiento, movimiento lateral, recopilación, comando y control, exfiltración e impacto.
Límites éticos y redes de seguridad
La explotación es agresiva, pero controlada. Solicitamos aprobación explícita antes de ejecutar acciones potencialmente disruptivas, como la pulverización de contraseñas a gran escala o el cifrado masivo de archivos simulados. Si el alcance incluye sistemas de producción, empleamos métodos de seguridad de datos: creamos registros ficticios, creamos archivos centinela y evitamos comandos destructivos. La comunicación continua mantiene la estabilidad de las operaciones del cliente, a la vez que logramos resultados realistas.
Al finalizar el Paso Tres, contamos con pruebas tangibles: capturas de pantalla de los portales de administración, evidencia de exfiltración de datos y rutas despejadas que cualquier atacante decidido podría seguir mañana. Estas pruebas impulsan una hoja de ruta de remediación que impulsa el cambio.
Paso cuatro: Informes que realmente impulsen el cambio
Narración de historias preparada para ejecutivos
Los ejecutivos ocupados se preocupan por el riesgo para los ingresos, la reputación y las operaciones, no por los identificadores CVE puros. Nuestros informes comienzan con una narrativa que resume el ejercicio de pruebas de penetración en lenguaje empresarial: posibles costos por tiempo de inactividad, consecuencias de las infracciones regulatorias y el impacto en la confianza del cliente. Un panel de una sola página resume los activos comprometidos, el tiempo de permanencia del atacante y los escenarios hipotéticos de daños.
Hallazgos técnicos para profesionales
Los ingenieros de seguridad necesitan profundidad. Cada entrada de vulnerabilidad incluye una descripción, los hosts afectados, comandos de prueba de concepto (con tokens desinfectados), capturas de pantalla, pasos de replicación y referencias de registros. Asignamos cada problema a MITRE ATT&CK, CVSS y, cuando corresponde, a los controles OWASP Top Ten o CIS. Las clasificaciones de riesgo, codificadas por colores, consideran la explotabilidad, el contexto empresarial y la probabilidad de recurrencia.
Calificaciones de riesgo y cadenas de explotación
En lugar de enumerar vulnerabilidades discretas, presentamos cadenas de exploits: cómo múltiples problemas de baja gravedad se combinan para generar un impacto crítico. Por ejemplo, un almacenamiento en la nube mal configurado (nivel medio), una clave de acceso filtrada (nivel medio) y una aplicación deficiente de MFA (nivel medio) equivalen a un potencial catastrófico de ransomware (nivel crítico). Esta presentación centrada en la cadena ayuda a los CISO a justificar los presupuestos de remediación.
Guía de remediación práctica
Cada hallazgo incluye pasos priorizados: cambios de configuración, parches de código, estrategias de segmentación, refuerzo de IAM y actualizaciones de proveedores. Ofrecemos enlaces a avisos de proveedores, guías de refuerzo autorizadas y, cuando es posible, herramientas de código abierto para la validación. Si una solución requiere implementaciones por etapas o aprobaciones de control de cambios, describimos controles compensatorios para la reducción de riesgos mientras tanto.
Artefactos de simulación de infracciones
Para apoyar la capacitación en concientización sobre seguridad y la validación del equipo morado, proporcionamos opcionalmente scripts de exploits desinfectados, archivos de registro redactados y reglas de detección. Los equipos azules pueden reproducir los ataques en la etapa de prueba para mejorar la cobertura del SOC, mientras que el equipo de TI obtiene mayor claridad sobre las secuencias de parcheo.
El entregable no es un PDF que acumula polvo. Es un plan estratégico respaldado por evidencia y soluciones priorizadas, que permite a sus equipos cerrar brechas rápidamente.
Paso cinco: Colaboración y apoyo posteriores a la prueba
Las pruebas de penetración no son una transferencia unidireccional. SubRosa incorpora la colaboración desde el primer día y continúa después del compromiso para garantizar que la remediación se mantenga.
Sesiones de recorrido de hallazgos
Una semana después de la entrega del informe, organizamos recorridos virtuales o presenciales con distintos niveles: ejecutivo, gerencial y técnico. Los líderes empresariales analizan el impacto en términos económicos y de imagen de marca; los ingenieros analizan a fondo los rastros de exploits y los parches recomendados. Las sesiones de preguntas y respuestas en tiempo real fomentan la comprensión y aceleran la aceptación en todos los departamentos.
Coaching y validación de remediación
Si sus equipos internos necesitan asesoramiento práctico, nuestros consultores copilotan la remediación. Verificamos los sistemas parcheados, volvemos a probar las reglas del firewall y ejecutamos scripts de exploits específicos para confirmar el cierre. En entornos de nube, ayudamos a reescribir las políticas de IAM e implementar medidas de seguridad de Infraestructura como Código.
Servicios de asesoramiento y gestión continuos
Muchos clientes eligen las pruebas de penetración recurrentes como servicio Paquetes: pruebas incrementales trimestrales o monitoreo continuo de la superficie de ataque. Otros amplían la colaboración con asesoramiento de vCISO, SOC como servicio o servicios de respuesta a incidentes. Sea cual sea el camino, nuestra misión se mantiene: fortalecer las defensas antes de que llegue el próximo atacante.
Seguimiento de métricas y ROI
No desaparecemos tras las correcciones. SubRosa puede proporcionar indicadores clave de rendimiento (KPI) que ilustran la mejora de la seguridad: reducción del tiempo medio de detección de phishing, reducción de la huella de privilegios y aceleración del ciclo de parches. Los resultados cuantificables ayudan a los líderes de seguridad a demostrar el retorno de la inversión (ROI) a las juntas directivas y auditores.
Conclusión
La filosofía de SubRosa es simple pero profunda: pensar como un atacante, actuar como un asesor y eliminar las conjeturas . Realizamos pruebas de alcance en torno a riesgos empresariales reales, dedicamos las horas necesarias para mapear superficies de ataque genuinas, explotamos cadenas que reflejan las estrategias de los adversarios y ofrecemos orientación que impulsa el cambio, no el miedo. Nuestro enfoque práctico y basado en evidencia para los servicios de pruebas de penetración ayuda a las organizaciones a superar el cumplimiento normativo y alcanzar una madurez de seguridad resiliente.
Si está listo para descubrir sus puntos ciegos, fortalecer sus defensas y contar con un aliado confiable en la lucha contra las ciberamenazas, contáctenos. Programe una consulta con el equipo de pruebas de penetración de SubRosa y descubra lo que nuestras tácticas reales pueden revelar sobre su entorno, antes de que lo haga un agente malicioso.