CAJA NEGRA

Una prueba de CAJA NEGRA es una evaluación de seguridad realizada sin acceso previo a información interna del entorno, sistema, aplicación o infraestructura objeto de análisis. Este enfoque reproduce un escenario realista en el que un potencial atacante externo debe iniciar sus acciones partiendo exclusivamente de la información que puede obtener por sus propios medios.

Este tipo de servicio permite valorar de forma objetiva la exposición real de una organización frente a amenazas externas, así como la eficacia de sus mecanismos de prevención, detección y respuesta. Aunque una prueba de CAJA NEGRA no puede garantizar por sí sola la ausencia de vulnerabilidades, sí constituye una herramienta altamente eficaz para someter a estrés sus controles de seguridad en condiciones muy próximas a un escenario real de ataque.

Además, al no requerir transferencia previa de documentación técnica, código fuente ni detalles de arquitectura, su contratación y preparación suelen resultar más ágiles. Esto convierte la modalidad CAJA NEGRA en una opción especialmente adecuada para organizaciones que desean obtener una visión externa, independiente y práctica de su nivel de seguridad.

En Pentest® contamos con una trayectoria de más de 25 años realizando este tipo de evaluaciones para empresas y organizaciones de muy distintos sectores. Nuestra experiencia acumulada nos permite abordar cada proyecto con un enfoque técnico sólido, metodologías contrastadas y una orientación clara hacia la obtención de resultados útiles, comprensibles y accionables.

La realización de pruebas de intrusión forma parte de nuestra identidad desde el origen. No se trata únicamente de un servicio más dentro de nuestro catálogo, sino de una especialidad desarrollada durante décadas y respaldada por una práctica continuada en entornos reales, complejos y exigentes.

Si necesita una evaluación externa, rigurosa e independiente de la seguridad de sus activos, en Pentest® encontrará un equipo capaz de ofrecerle un análisis realista, técnicamente solvente y adaptado a su contexto. Estaremos encantados de atenderle, resolver sus dudas sobre el alcance del servicio y ayudarle a definir la mejor aproximación para su organización.

Presupuestos en 24h
Contacto

CAJA BLANCA

Una prueba de CAJA BLANCA es una evaluación de seguridad realizada con acceso previo a información técnica detallada del entorno, sistema o aplicación objeto de análisis.

Este enfoque permite trabajar con un alto nivel de conocimiento sobre la solución evaluada. En el caso de infraestructuras corporativas, suele incluir documentación de arquitectura, topologías de red, segmentación, políticas de cortafuegos, inventario de activos, tecnologías desplegadas y versiones de software. Si la revisión se centra en un aplicativo, es habitual disponer de acceso al código fuente, diagramas de arquitectura, documentación técnica, flujos de autenticación, integraciones y otros elementos relevantes para el análisis.

El propósito de una prueba de estas características es llevar a cabo una revisión en profundidad, orientada a identificar debilidades estructurales, errores de diseño, configuraciones inseguras y otros riesgos que podrían comprometer la seguridad del entorno desde una perspectiva técnica rigurosa.

Lejos de restar valor a la evaluación, disponer de información interna permite maximizar la eficacia del servicio. Una prueba de CAJA BLANCA facilita la validación práctica de escenarios de riesgo que, en muchos casos, ya han sido detectados o sospechados internamente, aportando evidencias técnicas sólidas sobre su impacto real. Además, permite profundizar en áreas que no siempre son visibles en un enfoque externo y formular recomendaciones de mayor calidad, no solo correctivas, sino también orientadas a reforzar el diseño y la arquitectura de seguridad.

En Pentest® estamos especializados en identificar fallos en soluciones de seguridad complejas. Por ello, el conocimiento detallado de su arquitectura nos permite aportar un valor especialmente alto, ofreciendo medidas de mejora ajustadas a su realidad tecnológica, a sus procesos y a sus necesidades concretas, con un nivel de precisión muy superior al de un análisis basado exclusivamente en observación externa.

CAJA GRIS

Una prueba CAJA GRIS es una evaluación de seguridad en la que se dispone de información parcial del objetivo antes de comenzar los trabajos.

En este tipo de análisis partimos de un escenario intermedio entre una prueba CAJA NEGRA y una prueba CAJA BLANCA. Es habitual que el cliente nos facilite determinados datos de contexto, como credenciales de un usuario con privilegios limitados, un esquema general de la infraestructura, información básica sobre los sistemas expuestos o una descripción funcional del aplicativo a revisar.

El objetivo de una prueba CAJA GRIS es reproducir de una forma realista el escenario de un atacante que ya ha conseguido cierto nivel de acceso o conocimiento previo del entorno. Esto nos permite centrar esfuerzos en analizar cómo podría escalar privilegios, pivotar entre sistemas, acceder a información sensible o comprometer procesos críticos de negocio.

Este enfoque resulta especialmente útil para evaluar el impacto real de una intrusión parcial, identificar fallos de segmentación, debilidades en los controles internos y errores de diseño o configuración que no siempre afloran en un test completamente externo. De este modo se obtiene una visión muy equilibrada entre realismo, profundidad técnica y optimización de recursos.

En Pentest® utilizamos las pruebas CAJA GRIS para medir con precisión hasta dónde podría avanzar un atacante con un punto de apoyo inicial dentro de su organización o aplicativo. Esto nos permite ofrecer conclusiones prácticas, priorizadas y directamente orientadas a reforzar sus controles de seguridad internos.

PTaaS (Pentest® as a Service)

Las pruebas de penetración internas y externas recurrentes y asistidas, también conocidas como Pentest® as a Service (PTaaS), son realizadas por nuestro Tiger Team con el apoyo de capacidades avanzadas de LLMs y de nuestro Panel de ExploitChance.

Este servicio proporciona una evaluación profunda, continua y realista de la postura de seguridad de la organización, combinando la experiencia de pentesters senior con la capacidad de los LLMs para acelerar el análisis, ampliar la cobertura, correlacionar hallazgos y asistir en la identificación de vectores de ataque y oportunidades de mejora.

En estos ejercicios se emplean técnicas manuales especializadas, herramientas automatizadas y capacidades de LLMs para simular ataques y validar debilidades en entornos cloud, on-premise, VPN, web, móvil (iPhone/Android), Windows, Mac, Linux y *NIX. Esto permite evaluar escenarios complejos como ransomware, phishing, estrés sobre aplicaciones, abuso de privilegios, exposición de servicios y movimientos laterales, entre otros.

Ahora bien, nuestro enfoque es claramente human-on-loop Los LLMs asisten durante las pruebas, pero nunca actúan de forma completamente autónoma a través de agentes: toda acción está supervisada, validada y controlada por especialistas humanos. , nunca autónomo.

Esto significa que el LLM asiste, propone, prioriza y acelera, pero no decide ni ejecuta de forma autónoma pruebas ofensivas sin supervisión. En nuestro modelo, no permitimos la realización de pruebas completamente autónomas controladas por agentes. Toda acción relevante está bajo autorización, supervisión y control absoluto de nuestros especialistas, que validan el contexto, el alcance, el riesgo y la ejecución en todo momento.

En otras palabras: toda la potencia de los LLMs, con todo el control humano avalado por más de 25 años de experiencia.

Este enfoque permite aprovechar lo mejor de ambos mundos: la velocidad, escalabilidad y capacidad analítica de los LLMs, junto con el criterio, la responsabilidad, la experiencia y la trazabilidad que solo puede aportar un equipo humano experto. El resultado es un servicio más eficiente, más consistente y más alineado con los requisitos de seguridad, cumplimiento y gobierno corporativo.

Nuestro PTaaS asistido por LLMs y supervisado por expertos impulsa los procesos de DevSecOps al evaluar desarrollos e infraestructuras de forma continua, profunda y contextualizada, integrando los resultados en ciclos reales de mejora continua para elevar la calidad y resiliencia de productos y servicios.

Un principio esencial de nuestro enfoque es que los LLMs que utilizamos son locales. Esto significa que la información sensible no sale del perímetro de control definido, reforzando la soberanía tecnológica, la gobernanza del dato y la protección frente a leaks o exposiciones involuntarias. Es decir, toda la potencia de los LLMs se aprovecha dentro de un marco de control estricto, preservando la confidencialidad y evitando dependencias de terceros que puedan comprometer la información.

Un PTaaS o Pentest® as a Service es una forma eficaz de dar continuidad y coherencia al plan de seguridad TIC, facilitar procesos regulatorios y reforzar la confianza que exigen los órganos de gobierno, auditores, clientes e inversores. Y, en esta nueva realidad, lo hace con un principio irrenunciable: los LLMs potencian las pruebas; el control siempre permanece en manos humanas.

Panel PTaaS ExploitChance

DESARROLLOS seL4

seL4 es un micro kernel que ha sido verificado formalmente (https://sel4.systems/About/seL4-whitepaper.pdf) y cuya seguridad por lo tanto queda fuera de todo debate. En Pentest somos pioneros en España desarrollando soluciones de seguridad basadas en seL4.

Si usted desea una solución que practicamente no requiera mantenimiento (parches y actualizaciones de seguridad, etc) entonces seL4 es la opción más robusta que existe a día de hoy ya que su capacidad para aislar procesos y sistemas operativos completos ha sido corroborada matematicamente por lo que es perfecto para crear sistemas de información donde se requieran garantías genuinas y no basadas en marketing.

Con seL4 como buque insignia en Pentest creamos software a medida para que ofrecezca cualquier servicio que pueda imaginar, desde sistemas empotrados para un hardware específico a servicios Cloud, con un nivel de seguridad jamás alcanzado antes por ningun otro fabricante.

Desarrollos seL4

Arsys
Red Eléctrica de España
ONO
Fujitsu
La Caixa
Telefónica
Movistar
I.N. de Técnica Aeroespacial
Mapfre Aseguradora
Ministerio de Defensa
Armada Española
Guardia Civil
Applus
Bizkaia Energía
Centro Criptológico Nacional
Confederación Española de Cajas de Ahorros
Instituto Cervantes
Chronoexpress
Centro Nacional de Inteligencia
Codere
Generalitat Valenciana
Generalitat Catalunya
Govern d'Andorra
Lanbide
Corporación Mondragon
Pierre Fabre
Policia d'Andorra
Universidad de la Rioja
Caja Inmaculada
La Caja de Canarias
Caja Rioja
Caja de Ingenieros
Caixa de Sabadell
Instituciones Penitenciarias
Siemens
Logicalis
Asociación Técnica de Cajas de Ahorros
Aguas de Barcelona
Informática el Corte Inglés
Banco Sabadell
Sociedad Pública de Gestión Ambiental Gobierno Vasco
GAIKER Centro Tecnológico
INDRA
EIKA
GH Cranes & Components
VODAFONE
BANCO HONDA
CHC ENERGIA
IBERDROLA