🧿 Alcance de la Evaluación

🔍 Qué se evalúa, cómo se define y por qué es la piedra angular de toda estrategia de seguridad.

1. EXPLICACIÓN EN PROFUNDIDAD DEL CONCEPTO

¿Qué es?

El alcance de una evaluación de seguridad define los límites del análisis: qué activos, sistemas, aplicaciones o servicios pueden (y deben) ser evaluados para identificar vulnerabilidades o riesgos.
Es como trazar un mapa del territorio que va a explorarse o protegerse.

¿Cómo funciona técnicamente?

Desde una perspectiva formal, el alcance incluye:

  • 🧩 Activos involucrados (apps, servidores, APIs, redes, contenedores…).

  • 🛡️ Controles de seguridad que se evaluarán.

  • 📋 Métodos de evaluación: revisión de código, pentest, escaneo, etc.

  • ⏰ Límites temporales y reglas de engagement (especialmente en pruebas ofensivas).

Se estructura en un documento firmado entre las partes (Statement of Work - SOW, o Rules of Engagement - RoE en pentesting) que deja claro qué se puede tocar y cómo.

¿Por qué es importante en arquitectura de seguridad?

Porque:

  • Define los límites de responsabilidad.

  • Evita interrupciones en sistemas no autorizados.

  • Focaliza esfuerzos y recursos.

  • Es clave para cumplimiento (por ejemplo, en PCI-DSS, ISO 27001, etc.).

  • Permite priorizar riesgos y planificar medidas concretas de mitigación.


📦 ALEGORÍA REALISTA – Inspección Técnica de un Edificio

Imagina que trabajas en una empresa de inspección de edificios. Un cliente te contrata para revisar si hay fallos estructurales, problemas eléctricos o riesgo de incendio.

Pero no puedes inspeccionar todo el edificio, solo los espacios que el cliente autoriza en el contrato: por ejemplo, te dice que solo inspecciones los ascensores, el garaje y las escaleras de emergencia.

Ese documento de autorización que define los espacios permitidos es el alcance de la evaluación.

  • Si te metes en el despacho del director sin permiso, rompes el contrato.

  • Si te olvidas de revisar el cuarto de calderas (porque no estaba incluido), puede haber riesgos no detectados.

  • Si inspeccionas correctamente las zonas autorizadas, mejoras la seguridad sin causar conflictos ni interrupciones.

Lo mismo pasa en ciberseguridad: el alcance define lo que se puede evaluar y lo que no. Permite a los equipos centrarse, ser eficientes, evitar problemas legales y proteger lo más crítico.


2. EJEMPLOS PRÁCTICOS

🏢 Mundo real empresarial:

  • Pentest interno: el alcance incluye solo la red interna del departamento financiero.

  • Evaluación de app web: solo se evalúa login.example.com y no otros subdominios.

  • Auditoría cloud: se evalúan los buckets S3 y configuración IAM de una cuenta de AWS específica.

⚠️ Casos conocidos:

  • Un pentester que accede a un servidor fuera de alcance y causa una caída en producción: esto puede romper el contrato y la relación con el cliente.

  • Un atacante que mapea mal el objetivo y ataca sistemas sin valor, perdiendo recursos y tiempo.


3. HERRAMIENTAS Y SOLUCIONES REALES

🛠️ Herramientas por práctica:

  • Pruebas de seguridad:

    • Burp Suite, Nmap, Metasploit, Nessus, Nikto

  • Revisión de documentación:

    • Checklists de OWASP ASVS, NIST 800-115, PlantUML para diagrama

  • Análisis de código fuente:

    • SonarQube, Semgrep, Checkmarx, Bandit (Python)

  • Evaluación de configuración:

    • Lynis (Linux), ScoutSuite (cloud), cis-cat (Center for Internet Security)

  • Criptografía:

    • TestSSL.sh, Cryptosense Analyzer, OpenSSL audit tools

  • Cumplimiento y normativas:

    • Plantillas ISO 27001, PCI DSS, CIS Benchmarks

  • Arquitectura de seguridad:

    • Threat modeling con Microsoft SDL, OWASP Threat Dragon


4. VISIÓN ESTRATÉGICA

🔴 Red Team: cómo se aprovecha el alcance

  • Si está mal definido, es más fácil esquivar controles.

  • Se busca mapear el objetivo como hace un atacante: reconocimiento, fingerprinting, descubrir activos no documentados (Shadow IT).

  • Técnicas: escaneo de subdominios (amass, subfinder), descubrimiento de servicios ocultos, fuzzing para endpoints no documentados.

🔵 Blue Team: cómo se protege el alcance

  • Definir alcance claro: qué se cubre, qué se excluye, quién autoriza.

  • Usar segmentación, controles de acceso y monitoreo para proteger activos fuera de alcance.

  • Mantener documentada la arquitectura y actualizar el inventario.

  • Implementar zonas de pruebas aisladas (sandbox/lab) para ejercicios controlados.

🟣 Purple Team: cómo se orquesta y mejora

  • Valida que los ejercicios respeten el alcance y sean efectivos.

  • Simula ataques sólo dentro del alcance definido, y verifica que el SIEM y alertas funcionen correctamente.

  • Evalúa la cobertura del alcance: ¿están incluidos los activos críticos?

  • Ayuda a ajustar el alcance dinámicamente según nuevas amenazas o cambios en la arquitectura.


5. ✅ RESUMEN PRÁCTICO Y CONEXIONES CLAVE

  • El alcance de una evaluación es el primer paso crítico para realizar pruebas éticas y efectivas.

  • Un mal alcance deja huecos o causa daños. Un buen alcance permite una visión precisa y estratégica de la seguridad.

  • Se relaciona con gestión de activos, compliance, auditoría, threat modeling y gestión de riesgos.

  • Todo arquitecto Purple debe saber definir, defender y expandir el alcance con criterio técnico y estratégico.

Purple Mystara - Cristina Martínez Girol
Todos los derechos reservados 2025
Creado con Webnode Cookies
¡Crea tu página web gratis! Esta página web fue creada con Webnode. Crea tu propia web gratis hoy mismo! Comenzar