Cuando una empresa nos contrata un ejercicio de seguridad ofensiva, es común que, en los días previos, el equipo de TI comience a aplicar parches, eliminar accesos antiguos y revisar configuraciones para que todo esté en las mejores condiciones al momento de la evaluación. Aunque la intención es comprensible, este enfoque no siempre es el más adecuado.
Un ejercicio de seguridad ofensiva busca evaluar el estado real de la organización y reflejar el nivel de seguridad con el que opera día a día. Realizar cambios apresurados antes de la evaluación puede ocultar vulnerabilidades que seguirían presentes en condiciones normales, reduciendo el valor del ejercicio.
En lugar de centrarse en corregir problemas a última hora, es más importante preparar los aspectos necesarios para que la evaluación se desarrolle de forma ordenada y entregue resultados representativos.
A continuación, revisaremos los principales puntos que conviene tener preparados.
Definir el alcance y los objetivos
Antes de iniciar el ejercicio, define por escrito qué activos serán evaluados y cuáles quedarán fuera del alcance, como dominios, aplicaciones, rangos de IP, cuentas y entornos.
Contar con un alcance claramente definido evita malentendidos y permite enfocar la evaluación en los activos más relevantes para la organización.
También es importante establecer los objetivos desde el inicio. No es lo mismo evaluar la exposición de los servicios externos que analizar el impacto de un atacante con acceso inicial a la red interna.
Dejar preparados los accesos y la información
Si la evaluación requiere credenciales, cuentas de prueba o acceso a un entorno específico, procura dejarlos disponibles antes del inicio.
Retrasar la entrega de accesos reduce el tiempo efectivo de la evaluación.
Es recomendable contar con:
- Cuentas de prueba con los permisos acordados.
- Documentación relevante, como diagramas de arquitectura, endpoints y entornos.
- Un canal de contacto para resolver consultas o gestionar accesos durante el ejercicio.
Informar a las personas correctas
Define quiénes dentro de la organización estarán al tanto del ejercicio y quiénes no. Informar a las personas adecuadas evita que la actividad del equipo de evaluación sea interpretada como un incidente real y active procedimientos innecesarios.
Al mismo tiempo, mantener al resto de la organización sin previo aviso permite observar de forma más representativa cómo responde frente a una actividad sospechosa.
Evitar los cambios de último minuto
Aplicar parches, modificar configuraciones o eliminar accesos justo antes de la evaluación puede alterar los resultados, ya que el ejercicio terminará reflejando un entorno distinto al que opera habitualmente.
Si identificas algún aspecto que deseas corregir, regístralo y coméntalo con el equipo evaluador. Podrá revisarse durante el ejercicio y corregirse posteriormente, con una visión más clara del nivel de exposición real.
Lo más importante: gestionar los hallazgos
El valor de un ejercicio de seguridad ofensiva no está únicamente en el informe, sino en las acciones que se toman a partir de sus resultados. Antes de comenzar, es recomendable definir cómo se recibirán, priorizarán y remediarán los hallazgos, además de establecer quién será responsable de cada etapa.
En la práctica, esta suele ser la fase más descuidada. Es frecuente encontrar organizaciones que reciben hallazgos relevantes, pero no realizan acciones concretas para resolverlos. El informe queda archivado, las vulnerabilidades permanecen abiertas y, con el tiempo, el seguimiento se pierde. Un ejercicio de seguridad ofensiva no reduce el riesgo por sí solo; su propósito es identificarlo y hacerlo visible.
La reducción del riesgo ocurre cuando los hallazgos se priorizan, se corrigen y posteriormente se verifica que las medidas implementadas sean efectivas. Para facilitar este proceso, conviene definir desde el inicio:
- Quién será responsable de revisar y priorizar los hallazgos.
- Los plazos de remediación según la criticidad de cada vulnerabilidad.
- El proceso para validar las correcciones, idealmente mediante un re-test.
- Un punto de contacto para coordinar el seguimiento durante y después de la evaluación.
La ciberseguridad no consiste únicamente en realizar una evaluación periódica, sino en gestionar los riesgos identificados y dar seguimiento a las acciones de remediación.
En Quarancle, cada hallazgo se registra en tiempo real dentro del portal, incluyendo su severidad, evidencia y pasos de reproducción. Además, es posible solicitar un re-test de las vulnerabilidades corregidas, facilitando el seguimiento y la validación de las remediaciones.