Horizon3.ai: Capacidad de pruebas de penetración duplicada gracias a NIS2
- Aumento en la demanda de pruebas de penetración ante la entrada en vigor inminente de NIS2.
- Dennis Weyel, Director Técnico de Europa: «Las empresas reconocen que una prueba de penetración es la mejor prueba de cumplimiento». Una prueba de penetración es un ciberataque simulado en la red de una empresa.
- Horizon3.ai opera NodeZero, una de las plataformas de pruebas de penetración más reconocidas del mundo, en la UE.
Madrid, 9 de octubre de 2024 - La empresa de ciberseguridad Horizon3.ai ha duplicado su capacidad de pruebas de penetración en Europa. Según Horizon3.AI Europe GmbH, con sede en Fráncfort del Meno, la empresa está ampliando sus servicios en respuesta a un aumento de la demanda tras la inminente aplicación del reglamento sobre seguridad de las redes y de la información (NIS2) en la Unión Europea. «De nuestras numerosas conversaciones con los clientes se desprende claramente que muchas organizaciones acaban de darse cuenta de que una prueba de penetración es la mejor manera, y probablemente la única legalmente, de proporcionar una prueba vinculante del cumplimiento del NIS2», afirma Dennis Weyel, Director Técnico Internacional responsable de Europa en Horizon3.ai.
En una prueba de penetración (conocida en la jerga como «pentest»), la red informática de una empresa es atacada deliberadamente en nombre de la misma para evaluar su ciber-resiliencia. «Un pentest puede imaginarse como un ciberataque a gran escala y altamente sofisticado, pero a diferencia de un ataque real, la empresa tiene el control», explica Dennis Weyel sobre este enfoque. Horizon3.ai opera una de las plataformas de pentesting más completas del mundo, NodeZero, en su sede de Fráncfort, que se pone a disposición de organizaciones e instituciones públicas a través de socios conocidos como proveedores de servicios gestionados (MSP) y proveedores de servicios de seguridad gestionados (MSSP).
A través de las capacidades ampliadas de NodeZero, tanto las redes de TI in situ en las empresas (on-premise) como las configuraciones en entornos comunes en la nube como AWS o Azure pueden someterse a una evaluación de seguridad, informa Horizon3.ai. El proveedor ha introducido su propia solución llamada «NodeZero Cloud Pentesting» poco antes de que entre en vigor la obligación NIS2, que ayuda a las empresas a identificar y remediar vulnerabilidades explotables complejas y rutas de ataque ocultas en sus entornos en la nube.
El BCE como pionero en pruebas de penetración en Europa
En Europa, el Banco Central Europeo (BCE) ha avanzado significativamente en el concepto de pentesting para el sector financiero. Este año, el BCE está sometiendo a más de 100 bancos de la UE a una prueba de penetración, a la que se refiere como «prueba de estrés para la ciberresiliencia». Con la anunciada directiva NIS2 de la UE, que entrará en vigor en breve, el concepto de prueba de penetración como evaluación última de la ciberresiliencia se está ampliando más allá del sector financiero a otras muchas industrias clasificadas como Infraestructuras Críticas (KRITIS). Entre los sectores afectados figuran la energía, el transporte, la banca, las infraestructuras de los mercados financieros, la sanidad, el agua potable, las aguas residuales, las infraestructuras digitales, la gestión de servicios de TIC, la administración pública, el espacio, los servicios postales y de mensajería, la gestión de residuos, la fabricación, producción y distribución de productos químicos, la producción, transformación y distribución de alimentos, la producción y fabricación de dispositivos médicos, maquinaria y vehículos, así como los dispositivos eléctricos/electrónicos, los proveedores digitales y la investigación.
NIS2 no sólo afecta a las propias empresas de infraestructuras críticas (KRITIS), sino también a sus proveedores, clientes y otros socios comerciales. Dennis Weyel señala: «La demanda de pentesting ha aumentado drásticamente no sólo en la UE, sino también en Norteamérica y Asia, porque muchas empresas con sede allí cuentan entre sus clientes a empresas con sede en la UE que forman parte de cadenas de suministro internacionales. Cualquier ataque a un socio comercial puede afectar directamente a todas las empresas conectadas».
Un pentest como prueba decisiva para la resiliencia cibernética
Según Horizon3.ai, durante una prueba de penetración con NodeZero, se enumeran todos los dispositivos, máquinas y sistemas conectados y, a continuación, se comprueba si presentan vulnerabilidades de seguridad. «El software obsoleto en dispositivos fuera de la red central es uno de los puntos de entrada más comunes para los ciberdelincuentes», afirma Dennis Weyel. Cita ejemplos como cajas registradoras, cámaras de vigilancia, impresoras, máquinas CNC, robots de fabricación y automatización de edificios. Siguiendo el principio de que «una cadena es tan fuerte como su eslabón más débil», NodeZero examina todos estos componentes como parte de una prueba de penetración para garantizar una cadena de seguridad sin fisuras y señalar las vulnerabilidades que deben abordarse lo antes posible, por ejemplo, mediante una actualización de software.
Según el operador de la plataforma, una prueba de penetración con NodeZero no solo descubre vulnerabilidades técnicas, sino también debilidades humanas que ponen en peligro la seguridad de la red corporativa. Horizon3.ai afirma basarse en la ingeniería social para este fin, por ejemplo, comprobando si las contraseñas relacionadas con la seguridad pueden derivarse de las actividades de los empleados en las redes sociales. «Si un empleado combina el nombre de su mascota, sobre la que publica regularmente, con su propia fecha de nacimiento para crear una contraseña, entonces la seguridad de la red corporativa no está en buena forma», pone como ejemplo Dennis Weyel, y añade: «NodeZero identifica esos riesgos humanos de seguridad durante un ataque simulado que nunca se detectarían con el mero uso de software defensivo».
El Director Técnico Internacional responsable de Europa en Horizon3.ai explica la diferencia entre ataque y defensa en este contexto: «En la mayoría de las empresas se ejecutan decenas de programas para defenderse de los ciberataques, y eso es bueno. Sin embargo, es igualmente necesario comprobar regularmente, mediante pruebas de penetración, lo bien que este software defensivo resiste realmente a diferentes escenarios de ataque. Esta prueba de fuego de la ciberresiliencia es un mandato de NIS2». En el caso del phishing, una de las formas más comunes de ataque mediante ingeniería social, en la que se atrae a un empleado para que haga clic en un enlace tóxico, NodeZero ayuda a la contención posterior ayudando a las organizaciones a minimizar los permisos que un empleado individual tiene en la red corporativa a lo necesario para su trabajo. Por lo tanto, si una sola cuenta es pirateada, los atacantes siguen sin poder acceder a toda la red.
Dennis Weyel establece una conexión con la política: «La burocracia de la UE puede parecer exagerada en muchos ámbitos, pero con NIS2, la UE ha establecido un nivel de seguridad que sin duda se necesita con urgencia, ya que convierte los escenarios de ataque en la prueba definitiva de la resistencia cibernética. En este caso, la política va realmente por delante de la economía, ya que la prisa actual por NodeZero sólo puede explicarse por el urgente retraso de muchas empresas».
Horizon3.ai da prioridad a las empresas que pertenecen al grupo central de KRITIS, como hospitales o proveedores de energía. «Hemos creado una vía rápida para los operadores de infraestructuras críticas», afirma Dennis Weyel. Pone dos ejemplos para ilustrar la priorización: «Un ciberataque a un hospital, por ejemplo, puede ser cuestión de vida o muerte. Un apagón generalizado podría afectar a miles de hogares».
Establecer una rutina mensual de pentesting
Según sus propias declaraciones, Horizon3.ai se ha preparado para una mayor expansión de las capacidades de NodeZero. El operador de la plataforma no teme un exceso de capacidad. «Una prueba al mes no es excesiva, desde luego, teniendo en cuenta que en Europa se descubren más de 1.600 nuevas vulnerabilidades al mes, de las que casi un tercio están clasificadas como críticas o de alto riesgo», afirma Dennis Weyel, que ofrece un punto de referencia para el cumplimiento de la norma NIS2*. Su recomendación personal: una prueba a la semana. Señala las estadísticas que muestran que cada día se descubren más de 60 nuevos puntos de entrada potenciales para los ciberdelincuentes.
Como NodeZero realiza todas las comprobaciones de seguridad de forma autónoma desde la nube, los costes de personal y financieros para las empresas auditadas son bajos, señala. «Toda empresa mediana puede y debe someter su ciberresiliencia a una prueba de penetración al menos con la misma regularidad con la que paga el alquiler mensual de su espacio de oficinas», recomienda Dennis Weyel, «porque las consecuencias de la negligencia pueden ser igual de graves: sin alquiler, la empresa pierde su sede como base para el funcionamiento de las operaciones comerciales; en caso de ciberataque, su funcionalidad técnica y organizativa, incluidos todos los procesos operativos, datos y secretos comerciales, están en peligro. Además, existe una responsabilidad personal que llega hasta el consejo de administración o la dirección, no sólo con respecto a los organismos estatales en términos de cumplimiento del NIS2, sino también con respecto a los accionistas, los socios comerciales y, en caso de robo de datos, los clientes».
* https://www.enisa.europa.eu/publications/enisa-threat-landscape-2024
Acerca de Horizon3.ai y NodeZero: Horizon3.ai ofrece una plataforma en la nube llamada NodeZero que permite a las empresas y a las autoridades públicas realizar un autoataque a su infraestructura informática para comprobar su ciberresiliencia (lo que se conoce como pruebas de penetración o pentests). Los costes son bajos gracias al concepto de nube, lo que hace que las pruebas de penetración periódicas sean asequibles incluso para las pequeñas y medianas empresas. Horizon3.ai analiza constantemente el panorama de la ciberdelincuencia para poder tener en cuenta de inmediato las vulnerabilidades emergentes a través de la nube. NodeZero no solo detecta las vulnerabilidades, sino que también proporciona consejos concretos sobre cómo solucionarlas. Con la plataforma, Horizon3.ai ayuda a empresas y autoridades a cumplir los crecientes requisitos normativos en materia de ciberresiliencia, que sugieren la realización de un autoataque interno al menos una vez a la semana. Solicite una demostración gratuita en: www.horizon3.ai.
Aviso de marca comercial: NodeZero es una marca comercial de Horizon3.ai
Para más información: Horizon3.AI Europe GmbH, Sebastian-Kneipp-Str. 41, 60439 Fráncfort del Meno, Web: www.horizon3.ai
Agencia de relaciones públicas: euromarcom public relations GmbH, www.euromarcom.de, team@euromarcom.de
- - - -