🧭 FLUJO COMPLETO – Evaluaciones de Seguridad: Vulnerabilidades, Búsqueda de Amenazas y Pruebas de Penetración

1. Tipos de Evaluaciones de Seguridad

Estas evaluaciones ayudan a medir el estado de seguridad de una organización, detectar fallos antes de que los atacantes lo hagan, y mejorar continuamente la postura defensiva.

📌 Evaluación de Vulnerabilidades – Vulnerability Assessment (VA)

  • Evalúa sistemas, redes y aplicaciones en busca de vulnerabilidades conocidas (CVE – Common Vulnerabilities and Exposures) mediante escaneos automatizados.
  • Objetivo: Identificar debilidades técnicas sin explotarlas.


📌 Caza de Amenazas – Threat Hunting (TH)

  • Proceso proactivo y manual donde analistas buscan indicadores de compromiso (IoC – Indicators of Compromise) o comportamientos anómalos no detectados por controles automáticos.


📌 Pruebas de Penetración – Penetration Testing (PT o Pentest)

  • Simula ataques reales por parte de equipos Red Team para explotar vulnerabilidades, probar controles defensivos y evaluar el impacto real de un compromiso.


2. Directrices Generales para Evaluaciones de Seguridad

1. Identificación de herramientas y procedimientos necesarios

  • Escáneres de vulnerabilidades:

    • Pasivos: Capturan tráfico sin intervenir (ej. Wireshark, Zeek).

    • Activos: Generan tráfico para identificar fallos (ej. Nessus, OpenVAS).

    • Remotos: Escanean desde fuera del host.

    • Basados en agentes: Instalan software en el sistema (ej. Qualys Agent).

    • Escáneres web: Detectan vulnerabilidades OWASP Top 10 (ej. Nikto, Burp Suite, ZAP).

2. Configuración y mantenimiento del sistema de escaneo

  • Mantener actualizadas las fuentes de amenazas (feeds CVE, CISA, exploit-db).

  • Verificar que los escáneres tengan plugins o firmas actuales.

3. Realizar análisis periódicos y validar resultados

  • Programar escaneos (diarios, semanales, mensuales).

  • Revisión manual de falsos positivos / negativos.

  • Validar con documentación CVE, logs del SIEM y comportamiento del sistema.

4. Programar remediación y priorizar por criticidad

  • Usar CVSS – Common Vulnerability Scoring System para priorizar:

    • Críticas: > 9

    • Altas: 7-8.9

    • Medias: 4-6.9

    • Bajas: < 4

  • Asignar tareas de corrección a equipos técnicos y establecer deadlines.

  • Aplicar patching (aplicación de parches) o controles compensatorios si no se puede corregir directamente.

5. Supervisar nuevas amenazas

  • Usar plataformas de inteligencia de amenazas (TIP – Threat Intelligence Platform) como MISP, AlienVault OTX, IBM X-Force.

  • Suscribirse a boletines de seguridad (security advisories): NIST, CISA, CERT, vendors como Microsoft o Cisco.

  • Monitorizar feeds de vulnerabilidades y alertas en tiempo real.

6. Ejecutar Pruebas de Penetración regularmente

  • Definir alcance (scope) del pentest (interno, externo, web, red, social engineering...).

  • Establecer si será:

    • Caja negra (Black Box): sin conocimiento previo del sistema.

    • Caja gris (Gray Box): acceso limitado como un usuario estándar.

    • Caja blanca (White Box): acceso completo al sistema.

  • Documentar hallazgos, vectores de entrada, impacto y recomendaciones.


🧠 Conceptos Clave

  • Evaluación de Vulnerabilidades – Vulnerability Assessment (VA)

  • Caza de Amenazas – Threat Hunting (TH)

  • Pruebas de Penetración – Penetration Testing (PT / Pentest)

  • Indicadores de Compromiso – Indicators of Compromise (IoC)

  • Amenaza Persistente Avanzada – Advanced Persistent Threat (APT)

  • Sistema de Gestión de Información de Seguridad – Security Information and Event Management (SIEM)

  • Sistema de puntuación de vulnerabilidades – Common Vulnerability Scoring System (CVSS)

  • Plataforma de Inteligencia de Amenazas – Threat Intelligence Platform (TIP)

  • Base de Datos de Vulnerabilidades – Common Vulnerabilities and Exposures (CVE)

🧬 CURIOSIDADES Y PROFUNDIZACIÓN – Evaluaciones de Seguridad (VA, TH, PT)


🔎 1. Los escáneres de vulnerabilidades no detectan TODO

Muchos piensan que herramientas como Nessus, OpenVAS o Nexpose detectan todas las vulnerabilidades.
🔍 Falso. Estas herramientas trabajan con firmas conocidas (basadas en CVE) y no detectan vulnerabilidades lógicas o de negocio, que requieren análisis manual o pentesting real.

💡 Ejemplo: Una lógica de aplicación web que permite cambiar el precio de un producto mediante manipulación de parámetros (price=1.00 → price=0.01) no se detecta con escáneres automáticos.


🧠 2. Hay escáneres activos que pueden interrumpir servicios

Algunos escáneres como Qualys o Nessus en modo agresivo pueden generar alto tráfico y provocar caídas en servicios sensibles (por ejemplo, PLCs industriales, dispositivos médicos o servidores legacy).

Buenas prácticas:

  • Definir ventanas de mantenimiento para análisis agresivos.

  • Excluir sistemas críticos o hacerlo primero en entornos de staging.


🌐 3. Las vulnerabilidades también existen en configuraciones

No todo se trata de parches de software. Muchas vulnerabilidades vienen de configuraciones inseguras, como:

  • Usuarios sin MFA.

  • Permisos excesivos en carpetas compartidas (ej. Everyone: Full Control).

  • Puertos abiertos innecesarios en firewalls o cloud.

🛠️ Herramientas de hardening:

  • Lynis (Linux), CIS-CAT Pro, Microsoft Baseline Security Analyzer (MBSA).

  • Aplicar benchmarks como CIS Benchmarks o DISA STIGs.


🐛 4. CVE ≠ Riesgo real

No todas las vulnerabilidades críticas según CVSS son críticas para tu organización.

🧠 Aquí entra el análisis de:

  • Exposición real (¿está accesible desde fuera?).

  • Explotabilidad actual (¿hay exploit público o kit activo?).

  • Impacto real en tus activos.

🎯 Ejemplo Purple: Una CVE crítica en un servidor interno que no tiene acceso a Internet y está segmentado puede tener riesgo bajo.


🧬 5. Las amenazas persistentes (APT) rara vez usan 0-days

Aunque los titulares hablan mucho de 0-days, los atacantes avanzados suelen usar técnicas de ingeniería social + malas configuraciones + credenciales filtradas.


📦 MITRE ATT&CK revela que:

  • El 90% de los ataques conocidos usan técnicas conocidas.

  • La mayoría aprovechan credenciales robadas + movimientos laterales.

📌 Curiosidad: Por eso el Threat Hunting se enfoca en comportamientos más que en CVEs. Ej: "Powershell ejecutando base64 + conexión a IP externa" → raro en un usuario normal.


💼 6. Las organizaciones maduras integran VA + PT + TH de forma cíclica

🎯 En ciberseguridad avanzada, no se hacen estas evaluaciones una vez al año, sino como parte de un programa continuo e integrado:

Tipo Frecuencia recomendada Objetivo principal
VA Mensual o continua Identificar debilidades técnicas conocidas.
TH Semanal / continua Detectar actividades anómalas y APT.
Pentest Trimestral / por cambio Probar resistencia real y caminos de ataque.


🧪 7. Pentests reales deben incluir pruebas de evasión (AV evasion, IDS evasion)

En entornos avanzados, los pentesters prueban si pueden evadir EDRs, antivirus o firewalls.

  • Técnicas comunes:

    • Empaquetadores y ofuscación.

    • Timestomping (cambiar fechas de archivos).

    • Inyección en procesos legítimos.

    • Cifrado de payloads.

🟣 Purple Team debe validar si el Blue Team detecta estas evasiones → aquí es donde entra la magia del ejercicio combinado.


📖 8. Existen normas y estándares para cada tipo de evaluación

Para hacer evaluaciones profesionales, se siguen frameworks reales:

  • Vulnerability Management: NIST SP 800-40, ISO/IEC 27001:2022

  • Threat Hunting: MITRE D3FEND + ATT&CK, SANS Hunt methodology.

  • Pentest: PTES (Penetration Testing Execution Standard), OSSTMM, OWASP.

💼 Si trabajas como arquitecta Purple Team, necesitas saber cuáles se aplican y cuándo.


🧠 9. Curiosidad de nivel ninja: la metodología VAST

La metodología VAST – Visual, Agile, Simple Threat Modeling permite construir mapas visuales de amenazas mientras haces threat hunting o pentesting.

Se usa con herramientas como ThreatModeler o Microsoft Threat Modeling Tool.

🗺️ HOJA DE RUTA – Implementación de Evaluaciones de Seguridad en una Empresa

Enfoque integral: Vulnerability Management (VM), Threat Hunting (TH), Penetration Testing (PT)
🟣 Gestión estratégica y operativa coordinada por el Purple Team

🔰 FASE 1 – PREPARACIÓN ESTRATÉGICA

🎯 Objetivo: Establecer las bases del programa de seguridad y definir el rol del Purple Team como coordinador entre ofensiva y defensa.

  1. Definir alcance y objetivos

    • ¿Qué activos se protegerán? (infraestructura, cloud, endpoints, apps…)

    • ¿Qué se quiere lograr? (reducir exposición, detectar APTs, validar defensas…)

  2. Crear el Security Asset Inventory

    • Inventariar todos los activos críticos: servidores, endpoints, redes, apps, datos sensibles.

    • Clasificarlos por nivel de criticidad.

  3. Asignar responsables y roles

    • 🔴 Red Team: Responsable de ofensiva.

    • 🔵 Blue Team: Responsable de defensa.

    • 🟣 Purple Team: Gestión y orquestación del ciclo.

  4. Definir KPIs y métricas de éxito

    • % de vulnerabilidades resueltas.

    • Tiempo medio de detección (MTTD) y respuesta (MTTR).

    • Nº de amenazas detectadas en TH.

    • % de evasiones detectadas durante PT.


🔧 FASE 2 – IMPLEMENTACIÓN DEL CICLO DE SEGURIDAD

🎯 Objetivo: Crear e implementar los procesos técnicos de evaluación continua en ciclos coordinados.

🔍 2.1 – Gestión de Vulnerabilidades (VM)

  1. Seleccionar escáneres adecuados

    • Herramientas como: Nessus, OpenVAS, Qualys, Rapid7, Greenbone.

    • Escaneos locales, remotos, basados en agentes.

  2. Configurar escaneos periódicos

    • Mensual mínimo, con escaneos diferenciales.

    • Aplicar CVSS + criticidad del activo + contexto.

  3. Remediación y validación

    • Implementar proceso de parcheo (patching) automatizado.

    • Reescanear → validar.

    • Documentar excepciones y controles compensatorios.

🧠 2.2 – Threat Hunting (TH)

  1. Seleccionar fuentes de datos

    • Logs de endpoints, firewalls, SIEM, EDR, proxies, DNS, AD.

    • Integrar con herramientas como ELK, Splunk, Wazuh, Sysmon, Falco.

  2. Diseñar hipótesis de caza

    • Basadas en MITRE ATT&CK y tácticas reales de APTs.

    • Ejemplo: "¿Qué pasa si hay PowerShell ejecutando Base64 en máquinas administrativas?"

  3. Automatizar detección + analítica

    • Crear dashboards de búsqueda con queries en el SIEM.

    • Alertas por comportamientos inusuales (no solo firmas).

  4. Reportar hallazgos y retroalimentar

    • Informar hallazgos al Blue Team.

    • Aportar al hardening y mejora de reglas de defensa.

⚔️ 2.3 – Pentesting (PT)

  1. Definir alcance y reglas

    • Caja blanca / gris / negra.

    • Alcance permitido: IPs, servicios, apps, nubes, usuarios.

  2. Planificar escenarios realistas

    • Simular ransomware interno.

    • Simular ataque desde phishing.

    • Simular compromiso de cuenta de admin.

  3. Ejecutar pentest y documentar hallazgos

    • Exploits reales (sin dañar producción).

    • Usar herramientas como Burp Suite, Metasploit, Cobalt Strike, BloodHound, Kali.

  4. Evaluar evasiones

    • ¿El Blue Team detectó?

    • ¿Hubo reacción?

    • ¿Qué falló? → Ajustar.


🟣 FASE 3 – COORDINACIÓN PURPLE TEAM

🎯 Objetivo: Alinear ofensiva y defensa en un ciclo de mejora continua.

  1. Reuniones de análisis cruzado

    • Revisión semanal/mensual entre Red y Blue.

    • Análisis de qué técnicas pasaron desapercibidas.

  2. Simulacros Purple

    • Simular ataques y validar defensas en tiempo real.

    • Ejemplo: Emular un ataque de Credential Dumping + Blue Team debe detectarlo en menos de 15 minutos.

  3. Actualizar controles y reglas

    • Ajustar alertas en SIEM.

    • Añadir detecciones EDR.

    • Reconfigurar firewalls, listas blancas, alertas DNS…


📈 FASE 4 – AUDITORÍA, REPORTES Y MEJORA CONTINUA

🎯 Objetivo: Medir resultados, mejorar capacidades y mantener la madurez.

  1. Generar reportes por evaluación

    • Gravedad de vulnerabilidades.

    • Técnicas detectadas o evadidas.

    • Tiempo de detección y remediación.

  2. Auditorías internas y externas

    • Verificar cumplimiento de políticas.

    • Validar documentación y evidencias.

  3. Formación continua y ejercicios de red-teaming

    • CTF internos.

    • Table-top exercises.

    • Simulaciones APT con documentación.

  4. Actualizar el plan de seguridad

    • Añadir nuevas amenazas detectadas.

    • Reasignar prioridades según resultados.

    • Incluir aprendizajes del ciclo anterior.


🧠 BONUS – INTEGRAR NORMATIVAS Y MARCOS

📜 Usa estándares internacionales para respaldar tu programa:

  • NIST SP 800-115 – Technical Guide to Security Testing

  • NIST SP 800-40 – Vulnerability Management

  • ISO/IEC 27001 / 27002

  • MITRE ATT&CK / D3FEND

  • CIS Controls v8

Purple Mystara - Cristina Martínez Girol
Todos los derechos reservados 2025
Creado con Webnode Cookies
¡Crea tu página web gratis! Esta página web fue creada con Webnode. Crea tu propia web gratis hoy mismo! Comenzar