caso de éxito

Servicio conjunto de hacking ético y Vigilancia Digital

Cliente

Bolsas y Mercados Españoles

Sector

Banca y Fintech

Capacidades utilizadas

En cuanto al servicio de Vigilancia Digital, se comenzaron a crear todas las herramientas propias y a utilizar herramientas de terceros para la recopilación de hallazgos.

Para la parte de los ejercicios de hacking ético, se han llevado a cabo numerosas auditorías de seguridad bajo diferentes enfoques y diferentes tipologías se manera manual por parte de los integrantes del equipo de hacking de Grupo Oesia.

Otras empresas o actores implicados

En un principio solo se interactuaba con Grupo BME, pero más adelante con la absorción por parte de SIX, se comenzó a interactuar con el Grupo SIX como un actor más en los proyecto.

 

Situación

Nos tenemos que remontar a 2015, cuando el servicio de Vigilancia Digital no estaba demasiado desarrollado en el mundo de la ciberseguridad. Vimos la oportunidad de colaborar con Grupo BME en el desarrollo de un servicio que fuese capaz de monitorizar algo que hasta la fecha no se había revisado, la exposición en Internet de la compañía. Poco a poco se fueron introduciendo nuevos tipos de hallazgo al servicio, aumentando con ello su calidad e importancia dentro de Grupo BME, hasta poder conseguir un producto acabado, el cual tiene mucho valor para el cliente en la actualidad.

Como añadido, la cantidad de desarrollos y crecimiento que sufría la empresa BME creaba una gran necesidad de verificar que todo lo que se publicase fuese auditado y no tuviese brechas de seguridad, ya que se trata de una infraestructura crítica y una fuga de datos o vulnerabilidad explotada podría ser crítica.

Tareas

Desde el comienzo del proyecto se han ido aportando nuevas herramientas de Vigilancia Digital, ya sean herramientas diseñadas por nosotros mismos o de terceros. Se ha desarrollado el proyecto desde disponer de cuatro tipos de objetivos monitorizados a 12, lo cual aporta mucho más valor al cliente. Con estos avances, surgieron paulatinamente otros, como la alerta temprana de vulnerabilidades o la gestión de crisis ante situaciones especiales relacionadas con la entidad del cliente.

Por otro lado, tras comenzar los trabajos de auditoría, se han ido perfeccionando las técnicas para llevar a cabo estos mismos, ya que los conocimientos de cómo funcionan, así como sus arquitecturas cada vez era más transparente, con el paso del tiempo se han llevado a cabo auditorías de redes internas, revisión del bastionado de los equipos, auditorías a aplicaciones web y de escritorio etc… Todo esto con el fin de securizar la organización e impedir futuros ataques.

Acción

El desarrollo de nuevas tareas recurrentes ha sido una tónica general durante el proyecto, ya sea por mejoras del propio servicio o por especificaciones del cliente, a las que nos hemos ido adaptando hasta conseguir lograr un producto acabado y adaptado a las necesidades concretas de BME. También se ha modificado el idioma utilizado para las comunicaciones con el cliente, ya que al cambiar de interlocutor de Grupo BME a SIX, se ha debido modificar cada proceso para traducir cada elemento al inglés (presentaciones, reuniones, informes, etc…).

Gracias al conocimiento obtenido sobre la organización durante los años trabajando en conjunto, se han podido llevar a cabo auditorías completamente personalizadas y adaptadas a las necesidades del cliente, utilizando diferentes metodologías de trabajo como puede ser OWASP, MITTRE el marco TIBERS etc… esto ha permitido adaptarse a la perfección a las necesidades del cliente y ofrecer la mayor calidad posible.

Resultado

Como resultado a todas estas acciones llevadas a cabo en todo el ciclo del proyecto, se ha logrado obtener un producto estable y de gran valor para el cliente, ya que monitoriza elementos más novedosos que no pueden monitorizar con herramientas y procedimiento clásicos de ciberseguridad.

En cuanto a auditorías técnicas, hemos podido detectar gran cantidad de posibles brechas de seguridad antes de que estas fuesen publicadas y pudiesen haber sido un problema real para la organización, gracias a estas detecciones se han podido corregir los errores y realizar publicaciones seguras.