Pasar al contenido principal

Realizar una Auditoría Web

¿A quién va dirigido?

A cualquier organización, pública o privada, incluidas las pequeñas y medianas empresas (PYMES), que deseen ser más resilientes y estar más protegidas frente a las ciberamenazas con el objetivo de asegurar la continuidad de su negocio.

¿Qué es una auditoría web?

Una Auditoría Web permite medir el estado de seguridad de una aplicación web para detectar posibles debilidades o vulnerabilidades, para que de esta forma puedan ser corregidas antes de ser explotadas por una persona no autorizada.

Las vulnerabilidades que pueden comprometer la seguridad tienen su origen en aspectos como pueden ser defectos en el diseño del aplicativo, errores en la implementación, problemas con la lógica de la aplicación… Es decir que una vulnerabilidad puede encontrarse en el ‘front-end’ y/o en el ‘back-end’ de la aplicación.

Auditoría webPara realizar las auditorías web se realizan tanto pruebas automáticas como pruebas manuales sobre un alcance limitado. Las pruebas automáticas son escaneos que recorren la aplicación en busca de vulnerabilidades. Las pruebas manuales las realiza el auditor, o bien a mano, o bien utilizando alguna herramienta específica.

Para poder seguir un orden y tener unos resultados que sean replicables y comparables, las auditorías web se deben realizar siguiendo algún framework o metodología de las muchas disponibles. Una de las más conocidas y utilizadas se trata de OWASP Web Security Testing Framework.

Objetivo

El objetivo de una Auditoría Web es tratar de identificar vulnerabilidades que puedan comprometer la confidencialidad, la integridad y/o disponibilidad del aplicativo web. De esta forma se pueden prevenir , mejorar el estado de seguridad y reducir los riesgos que puedan afectar al mismo.

Beneficio

  • Identificar cuáles son las vulnerabilidades que pueden afectar a la aplicación web.
  • Determinar los riesgos que puedan afectar a la aplicación web y poder tomar medidas para afrontar este riesgo.
  • Definir y aplicar medidas de protección para reducir el impacto de un incidente de ciberseguridad.

Beneficio

Fases de una Auditoría Web

Fase 1. Obtención de información

La primera fase consiste en la búsqueda de información disponible en Internet, conocido como Open Source Intelligence (OSINT). OSINT consiste en la información que se puede encontrar publicada en Internet de manera pública, y que mediante su consulta es posible obtener información de gran valor y utilidad.

En esta fase también se trata de entender el funcionamiento de la web, determinar sus flujos de navegación entre páginas, comprobar si tiene parte autenticada o no, etc. Es decir, se hace un reconocimiento de la aplicación web a analizar.

Fase 2. Escaneo

Posteriormente, en esta fase se realizarán los escaneos sobre los aplicativos webs para buscar posibles vulnerabilidades. Los escaneos habitualmente se realizan con herramientas automáticas que recorren la página entera en busca de vulnerabilidades, Una vez finalizado, el experto manualmente también escaneará la web apoyándose en los resultados del escaneo automático, y con criterio propio decidirá qué vulnerabilidades son relevantes. De las vulnerabilidades que descubra la herramienta automática se descartan las que no tengan un impacto real sobre el aplicativo web o aquellas que no sean reales (falsos positivos).

Fase 3. Explotación

Tras detectar las vulnerabilidades más relevantes dentro de la fase de escaneo, se analizará si estás vulnerabilidades tienen efecto sobre el aplicativo web, tratando de explotarlas y analizando si tienen efecto tras la explotación.

Fase 4. Documentación

Tras haber finalizado la explotación de las vulnerabilidades encontradas y ver su impacto, en esta fase se recopila todo lo encontrado y se documentan con claridad y de forma descriptiva todos los hallazgos obtenidos tras la auditoría.

¿Dónde recibir asesoramiento o contratar la elaboración de una Auditoría Web?

Desde el BCSC, se pone a disposición de las empresas el “Libro Blanco de la Ciberseguridad en Euskadi”, un documento que recoge la visión de conjunto de nuestro ecosistema local con diferentes perspectivas de innovación, investigación, emprendimiento, etc. y en el que se incluye el catálogo de proveedores de ciberseguridad que ofrecen este tipo de servicios con el objetivo de que las organizaciones interesadas en demandarlos tengan un punto de referencia que contribuya a facilitar la toma de decisiones.

El catálogo sirve de resumen o instantánea del mercado de la ciberseguridad en Euskadi, siendo un listado vivo, revisado y actualizado periódicamente, dada la constante evolución y el avance en la digitalización de los servicios y las oportunidades que se generan.

BCSC Libro Blanco

Referencias

Diseño de un Pentesting para una Aplicación Web Basado en la Metodología OWASP V.4

OWASP Web Security Testing Guide: https://owasp.org/www-project-web-security-testing-guide/

¿Qué es el pentesting? Auditando la seguridad de tus sistemas | INCIBE

Compartir

Compartir en Linkedin