Blog

Ideas claras sobre seguridad ofensiva.

Guías y conceptos sin humo sobre pentesting, auditorías y cómo anticiparse a los ataques. Escrito por el equipo de Pronoia.

Los errores de configuración cloud más comunes

La mayoría de los incidentes en la nube no vienen de un fallo del proveedor, sino de una mala configuración. Estos son los que más encontramos en AWS, Azure y Google Cloud.

Leer

¿Cuánto cuesta un pentest y de qué depende?

El precio de un pentest no es un número cerrado: depende del alcance, la complejidad y la profundidad. Te explicamos qué factores lo determinan y por qué desconfiar de lo demasiado barato.

Leer

¿Cada cuánto debería hacer un pentest tu empresa?

No hay un número mágico: la frecuencia de un pentest depende de tu exposición, tus cambios y tus obligaciones de cumplimiento. Te contamos cómo decidirlo.

Leer

Red Team y pentest: en qué se diferencian y cuál necesitas

El pentest busca cuantas más vulnerabilidades mejor en un alcance; el Red Team persigue un objetivo como lo haría un adversario real y pone a prueba tu detección. Cuál elegir según tu madurez.

Leer

Broken Access Control: por qué el fallo más común sigue ahí

El control de acceso roto es la vulnerabilidad número uno del OWASP Top 10. Explicamos qué es un IDOR, por qué aparece una y otra vez y cómo se previene de verdad.

Leer

Active Directory: cómo un atacante llega a Domain Admin

En la mayoría de las empresas, comprometer un solo equipo acaba llevando al control de todo el dominio. Te explicamos la cadena típica y por qué las malas configuraciones pesan más que los CVEs.

Leer

Pentest y análisis de vulnerabilidades: en qué se diferencian

Se confunden a menudo, pero no son lo mismo. Un escáner de vulnerabilidades y un pentest responden a preguntas distintas. Aquí explicamos cuándo necesitas cada uno.

Leer

Cómo leer un informe de pentest

Severidad, CVSS, impacto, remediación... Un informe de pentest tiene su lenguaje. Te enseñamos qué mirar primero y por qué el riesgo real importa más que la puntuación.

Leer

Seguridad de APIs: el nuevo objetivo favorito

Las APIs mueven hoy los datos más valiosos y son un objetivo prioritario. Explicamos los fallos del OWASP API Security Top 10 y por qué los escáneres se quedan cortos.

Leer

Phishing simulado: entrenar al eslabón humano

La mayoría de los incidentes empiezan por una persona, no por un fallo técnico. El phishing simulado mide y mejora la respuesta de tu equipo, sin señalar culpables.

Leer

Qué preparar antes de tu primera auditoría de seguridad

Llegar preparado a un pentest hace que el equipo dedique el tiempo a encontrar problemas, no a esperar accesos. Esta es la lista de lo que conviene tener listo.

Leer

ISO 27001 y pentesting: cómo encajan

¿Obliga la ISO 27001 a hacer un pentest? No literalmente, pero el testing de seguridad es parte esencial de un buen SGSI y los auditores lo esperan. Te explicamos cómo encaja.

Leer

El retest: por qué corregir no basta sin verificar

Aplicar una corrección no garantiza que la vulnerabilidad haya desaparecido. El retest confirma que el arreglo funciona de verdad. Por eso en Pronoia va siempre incluido.

Leer