SUSCRÍBETE
Fátima Rodríguez
Fátima Rodríguez

Ingeniera en Ciberseguridad en Ingeniería Dric, egresada de la carrera de Ingeniería en telecomunicaciones por la UNAM, cuenta con una maestría en Ingeniería en Seguridad y Tecnologías de la Información por el Instituto Politécnico Nacional, cuenta con experiencia en seguridad defensiva, ofensiva y regulación de la Seguridad de la Información. Profesional en Ciberseguridad con base en ISO27032:2012.

En el campo de la Ciberseguridad o de la Seguridad de la Información, un análisis de vulnerabilidades (AV) es la revisión sistemática de las debilidades presentes en cada punto de ingesta, trasmisión, producción o modificación de la información dentro de un sistema, con el fin de asegurar que, en cada uno de estos, existe un riesgo que es aceptable para que continúe el tratamiento de la información.

En este contexto no hay que perder de vista que el objetivo central de un análisis de vulnerabilidades es caracterizar al activo (procesos, información, hardware o software) mediante sus debilidades, amenazas y factores de riesgo con el fin de priorizar y tratar de modo que el activo represente un riesgo aceptable dentro de nuestro sistema de información. En este punto es importante resaltar que, dentro de este objetivo, se encuentra quizá la mayor diferencia que tiene con otros tipos de prueba que comúnmente se realizan solo sobre infraestructura como las pruebas de penetración.

¿CUÁNDO ME PROPORCIONA MAYOR VALOR UN AV?

Al pensar en un análisis de vulnerabilidades comúnmente pensamos solo en las debilidades de nuestra infraestructura en cuestión de hardware. Si bien es el enfoque más común de este tipo de pruebas, no hay que dejar de lado que el análisis de estas debilidades puede extenderse incluso a los procesos y las personas que gestionen esta infraestructura, por lo cual, un análisis de vulnerabilidades con un alcance limitado o extendido más allá de la infraestructura siempre brinda un máximo valor a la organización conocer el estado de las vulnerabilidades y su riesgo asociado.

¿ES LO MISMO UN AV QUE UN PENTESTING?

Recordemos que es posible analizar las vulnerabilidades presentes en la infraestructura, los procesos e incluso, en los colaboradores de una organización porque el objetivo es identificar y tratar el nivel de riesgo inherente a cada uno de ellos, mientras que las pruebas de penetración se enfocan en explotar vulnerabilidades de activos de infraestructura (software y hardware) mayormente con el objetivo de ganar algún tipo de acceso al sistema y sus alrededores. En otras palabras, el AV se centra en la definición, el reconocimiento, clasificación y tratamiento de las vulnerabilidades mientras que el Pentesting se centra en la explotación y remediación de estas a nivel de activo de infraestructura.
Es por eso por lo que no debemos confundir estas dos herramientas de gestión de vulnerabilidades entre sí y tampoco, confundir al análisis de vulnerabilidades con la gestión total de estas.

¿EL AV ES LO MISMO QUE LA GESTIÓN DE VULNERABILIDADES?

La gestión de vulnerabilidades es un ciclo que engloba los procesos desde el reconocimiento de vulnerabilidades y hasta la continuidad de actividades de tratamiento de éstas, contemplando macro actividades como:
1)    Identificación
2)    Evaluación
3)    Tratamiento
4)    Reporte

De este modo, vemos que las actividades del análisis de vulnerabilidades son solo una parte del total de actividades dentro de la gestión de vulnerabilidades.

¿QUÉ TIPOS DE AV HAY PARA INFRAESTRUCTURA?

El análisis de vulnerabilidades sobre infraestructura puede clasificarse en los siguientes 5 tipos, de acuerdo con el tipo de hardware y el punto desde donde se lanza un scan de vulnerabilidades:

  • Basado en Red: Para identificar posibles ataques que puedan detectarse en la red, tanto en redes cableadas o inalámbricas.
  • Basados en hosts: Para identificar vulnerabilidades en servidores, Workstation u otro tipo de hardware.
  • Basados en Wireless: Para identificar vulnerabilidades de configuración y falsificación en este punto de ingreso a la infraestructura.
  • Basados en aplicación: Para identificar vulnerabilidades en el software y errores en la configuración de este.


Dependiendo de la exposición del activo analizado, se puede realizar un escaneo interno para activos sin exposición a internet o externo, para activos (servidores, aplicaciones, etc) que estén disponibles desde internet.

¿QUÉ ESPERO COMO EL RESULTADO DE UN AV?

Al final de un proceso de análisis de vulnerabilidades en general, se detallan las vulnerabilidades identificadas y ordenadas dependiendo de la ponderación de su riesgo, mismo que es calculado por varios factores inherentes al activo sí como acciones de remediación (cabe aclarar que este es el alcance final del análisis, la remediación forma parte del tratamiento de vulnerabilidades.
 
En iDric, asesoramos en nuestros clientes con la elección de las pruebas sobre infraestructura idóneas para cada uno. Una vez diferenciando su objetivo podemos decidir cuál nos proporciona mayor utilidad dependiendo de la información que queramos obtener con la prueba. Si el objetivo es saber si pueden ingresar hacia el interior de la organización usando, por ejemplo, un servidor de directorio activo, requerimos pruebas de penetración, pero, si lo que queremos es saber si el servidor tiene debilidades que no solo pertenezcan a su hardware o software, también a su exposición, a su criticidad o a las personas que lo manejan y adicionalmente, consideramos que es un servidor que no puede tener falla o sobrecarga, un análisis de vulnerabilidades sería lo idóneo.

Te invitamos a conocer más de nuestros servicios de seguridad TI:
Pruebas de pentesting
Análisis de vulnerabilidades
Hacking ético

Visitas: 112

ARTICULOS RELACIONADOS

Logra que la seguridad de tu infraestructura de TI realmente funcione

En iDric, utilizamos una evaluación de vulnerabilidades de cuatro etapas basado en el estandar PTES.

phishing ransomware seguridad de la información Seguir leyendo keyboard_arrow_right
Apr 2021 Visitas: 20

¿Alguna vez has escuchado sobre Phishing?, Sabes cómo identificarlo y evitar caer en sus redes…

Phishing es una técnica que consiste en engañar al usuario para robarle información confidencial, claves de acceso, etc.

cibersecurity it security phishing Seguir leyendo keyboard_arrow_right
Apr 2021 Visitas: 117

Cómo crear un programa de concienciación

¿ Como concientizar a los colaboradores de una empresa sobre los riesgos de seguridad de la información?

cibersecurity idric make it simple seguridad de la información Seguir leyendo keyboard_arrow_right
Apr 2021 Visitas: 73

COMENTARIOS

SUSCRÍBETE

help_outline