Ideas claras sobre seguridad ofensiva.
Guías y conceptos sin humo sobre pentesting, auditorías y cómo anticiparse a los ataques. Escrito por el equipo de Pronoia.
Los errores de configuración cloud más comunes
La mayoría de los incidentes en la nube no vienen de un fallo del proveedor, sino de una mala configuración. Estos son los que más encontramos en AWS, Azure y Google Cloud.
Leer¿Cuánto cuesta un pentest y de qué depende?
El precio de un pentest no es un número cerrado: depende del alcance, la complejidad y la profundidad. Te explicamos qué factores lo determinan y por qué desconfiar de lo demasiado barato.
Leer¿Cada cuánto debería hacer un pentest tu empresa?
No hay un número mágico: la frecuencia de un pentest depende de tu exposición, tus cambios y tus obligaciones de cumplimiento. Te contamos cómo decidirlo.
LeerRed Team y pentest: en qué se diferencian y cuál necesitas
El pentest busca cuantas más vulnerabilidades mejor en un alcance; el Red Team persigue un objetivo como lo haría un adversario real y pone a prueba tu detección. Cuál elegir según tu madurez.
LeerBroken Access Control: por qué el fallo más común sigue ahí
El control de acceso roto es la vulnerabilidad número uno del OWASP Top 10. Explicamos qué es un IDOR, por qué aparece una y otra vez y cómo se previene de verdad.
LeerActive Directory: cómo un atacante llega a Domain Admin
En la mayoría de las empresas, comprometer un solo equipo acaba llevando al control de todo el dominio. Te explicamos la cadena típica y por qué las malas configuraciones pesan más que los CVEs.
LeerPentest y análisis de vulnerabilidades: en qué se diferencian
Se confunden a menudo, pero no son lo mismo. Un escáner de vulnerabilidades y un pentest responden a preguntas distintas. Aquí explicamos cuándo necesitas cada uno.
LeerCómo leer un informe de pentest
Severidad, CVSS, impacto, remediación... Un informe de pentest tiene su lenguaje. Te enseñamos qué mirar primero y por qué el riesgo real importa más que la puntuación.
LeerSeguridad de APIs: el nuevo objetivo favorito
Las APIs mueven hoy los datos más valiosos y son un objetivo prioritario. Explicamos los fallos del OWASP API Security Top 10 y por qué los escáneres se quedan cortos.
LeerPhishing simulado: entrenar al eslabón humano
La mayoría de los incidentes empiezan por una persona, no por un fallo técnico. El phishing simulado mide y mejora la respuesta de tu equipo, sin señalar culpables.
LeerQué preparar antes de tu primera auditoría de seguridad
Llegar preparado a un pentest hace que el equipo dedique el tiempo a encontrar problemas, no a esperar accesos. Esta es la lista de lo que conviene tener listo.
LeerISO 27001 y pentesting: cómo encajan
¿Obliga la ISO 27001 a hacer un pentest? No literalmente, pero el testing de seguridad es parte esencial de un buen SGSI y los auditores lo esperan. Te explicamos cómo encaja.
LeerEl retest: por qué corregir no basta sin verificar
Aplicar una corrección no garantiza que la vulnerabilidad haya desaparecido. El retest confirma que el arreglo funciona de verdad. Por eso en Pronoia va siempre incluido.
Leer