Saltar al contenido principal
S.04
Reflejo Sec
S.04 · Reflejo Sec

Evaluación de superficie de ataque OT/ITReflejo Sec

Su
merece evaluación de superficie con criterio.

Scrollea para explorarDesliza para explorar

Le mostramos lo que un atacante ya puede ver.

Fase 1 sin tocar nada: subdominios vía Certificate Transparency (crt.sh), servicios expuestos en Shodan/Censys, credenciales en brechas públicas, CVEs abiertos en el stack identificado. Fase 2 con autorización escrita: Nmap con scripts NSE sobre la superficie corporativa (web, AD, VPN, RDP) y, cuando hay red OT, también protocolos industriales (Modbus, S7comm, EtherNet/IP). Hallazgos clasificados por impacto en su operación, no por CVSS — usamos MITRE ATT&CK y ATT&CK for ICS según corresponda.

01 / 03

La Ley 21.663, vigente desde abril 2024, obliga a los operadores de servicios esenciales a gestionar sus riesgos de ciberseguridad con capacidades reales de detección y respuesta. Las multas llegan a 20.000 UTM. Pero el riesgo operacional es anterior a la multa: alguien con acceso a la red corporativa puede exfiltrar la base de datos de clientes, cifrar servidores y pedir rescate, o moverse lateralmente hacia sistemas críticos. Si además hay red OT, los escenarios escalan — alterar setpoints, deshabilitar enclavamientos, dejar válvulas en posiciones inseguras.

02 / 03

La evaluación tiene dos fases. La primera es pasiva: mapeamos todo lo que es visible desde Internet sin tocar nada — servicios expuestos, CVEs abiertos, credenciales filtradas. La segunda es activa: con autorización escrita y ventanas coordinadas con su equipo, enumeramos y probamos. Incluimos protocolos industriales que la mayoría de las empresas de ciberseguridad general no toca (Modbus, S7comm, EtherNet/IP, DNP3) cuando hay infraestructura OT en el alcance.

03 / 03

Entregamos tres documentos: reporte ejecutivo de 5 páginas para gerencia (riesgos, impacto, inversión requerida), reporte técnico con evidencia y pasos de reproducción para el equipo IT/OT (screenshots, packet captures, CVE IDs), y plan de remediación con responsable, plazo y costo estimado por ítem. El retest está incluido: cuando remedien, volvemos a probar para confirmar que se cerró.

Capacidades

01+

Reconocimiento pasivo (OSINT)

Sin generar tráfico hacia su infraestructura. Subdominios vía Certificate Transparency (crt.sh, Censys), enumeración DNS (transferencias de zona, registros SPF/DMARC mal configurados), servicios expuestos en Shodan: paneles administrativos, RDP/VNC abiertos, bases de datos sin auth, paneles SCADA/HMI, y PLCs Siemens, Rockwell o Schneider cuando hay red OT. Credenciales de empleados en brechas de datos públicas (HaveIBeenPwned API, dehashed). Metadata en documentos PDF/DOCX accesibles desde el sitio web (rutas internas, nombres de usuario, versiones de software). CVEs abiertos cruzados contra las firmware versions identificadas en Shodan.

02+

Pentesting activo

Con autorización escrita y ventanas de prueba acordadas con su equipo. Escaneo con Nmap + scripts NSE sobre toda la superficie en alcance: servicios web (http-enum, http-vuln-*), Active Directory (smb-enum-*, kerberos), VPN, RDP. Cuando hay red OT, también scripts específicos de protocolo industrial: modbus-discover, s7-info, enip-info, dnp3-info, con enumeración de registros Modbus, lectura de bloques S7 y List Identity en EtherNet/IP. Identificación de servicios expuestos —PLCs, HMIs y estaciones de ingeniería incluidos cuando aplica. Explotación controlada con Metasploit para vulnerabilidades de criticidad alta/crítica previamente confirmadas, coordinada para cero impacto operacional.

03+

Clasificación por impacto real, no por CVSS

CVSS mide severidad técnica, no impacto operacional. Una vulnerabilidad CVSS 5.0 en una API que expone datos de clientes puede ser más crítica que una CVSS 9.8 en un servidor de archivos sin información sensible. Una CVSS 3.2 en un PLC que controla dosificación de cloro es más crítica que una CVSS 9.8 en un servidor de archivos de RRHH. Clasificamos cada hallazgo según el escenario de impacto real: exfiltración de datos, interrupción de servicio al cliente, fraude, modificación de setpoints en proceso físico, parada no planificada. Usamos MITRE ATT&CK para mapear técnicas a las tácticas del framework — y ATT&CK for ICS cuando hay infraestructura OT involucrada.

04+

Cumplimiento normativo

Evaluación contra Ley 21.663 (vigente abril 2024, multas hasta 20.000 UTM) y, según la operación, NIST CSF (framework general), ISO 27001 (gestión de seguridad de la información), IEC 62443 (sistemas de automatización industrial, niveles SL-1 a SL-4), NIST 800-82 (sistemas de control industrial) y DS 43 (almacenamiento de sustancias peligrosas). Para cada control: estado actual, brecha identificada, remediación concreta. Cuando la ANCI requiera evidencia de gestión de riesgos bajo Ley 21.663, este es el documento.

Entregables

  • Reporte ejecutivo para gerencia (riesgos e impacto)
  • Reporte técnico con evidencia y reproducción paso a paso
  • Plan de remediación con responsable, plazo y estimación
  • Retest de verificación incluido en el precio

Normativa de referencia

Cada proyecto se cotiza por alcance. Conversemos sobre su operación

El primer paso es una conversación.

Hablemos de

su

o escríbanos — [email protected]

Otros servicios

S.05ReconocimientoS.06Monitoreo continuoS.08RespuestaS.01AutomatizaciónS.02Agentes conversacionalesS.03Mantenimiento predictivoS.07Visión artificial