Banca: Pentest

Banca: Pentest

Cliente

Banco Internacional con sede en Uruguay.


Ubicación

Uruguay


Desafío

Realizar pruebas de seguridad a las aplicaciones de Banca Personas, Banca Móvil, Banca Empresas y Sistemas Internos en búsqueda de vulnerabilidades que puedan comprometer la Integridad, Confiabilidad o Disponibilidad de los datos.


Objetivo

  • Realizar pruebas de seguridad en modalidad “black box”  aplicando metodologías OSSTMM (Open Source Security Testing Methodology Manual),  y “OWASP Testing Guide” a una aplicación del banco.
  • Verificar que las aplicaciones, el software de base, los servidores, networking, y otros servicios expuestos a internet cumplen con buenas prácticas de seguridad.
  • Identificar, analizar y priorizar en base a la criticidad las vulnerabilidades que sean descubiertas  – tanto a nivel de aplicaciones como a nivel de infraestructura-, así como también explotar esas vulnerabilidades.

Alcance

  • Determinar el impacto de un fallo de seguridad en:
    • La integridad del sistema.
    • La confidencialidad de la información.
    • La infraestructura interna.
    • La disponibilidad de los sistemas de información.
  • Realizar un informe de recomendaciones de seguridad.

Roles que intervinieron en el proyecto:

  • Líder técnico
  • Sr. Ethical Hacker
  • Jr. Ethical Hacker
  • Gerente de proyecto

Solución

Luego de ejecutadas las pruebas de penetración (pentest), se detectaron más de 20 vulnerabilidades que podrían comprometer la Integridad, Confidencialidad o Disponibilidad de la Información.

Acompañamos al cliente y sus equipos en la implementación de las correcciones correspondientes. Finalmente volvimos a verificar el estado de seguridad de las aplicaciones y la plataforma.

May 3, 2019