Pcysys: Nuestro objetivo es simular la mente y el comportamiento de un atacante real

Lo novedoso de Pcysys ha sido su capacidad para ofrecer un pentesting automatizado. El germen de la idea partió del propio fundador de la compañía, Arik Liberzon, quien dirigió un grupo de élite en la dirección de servicios informáticos de la Fuerza de Defensa de Israel responsable de las pruebas de penetración de redes de activos estratégicos y sistemas nacionales de misión crítica. Eran los tiempos en los que los ejercicios de red teaming y de hacking ético se hacían manualmente y por expertos, una figura que cada vez es más complicado fichar y retener debido a la escasez de profesionales en el sector. Y esto es lo que vio Liberzon, quien tras pasarse diez años realizando pruebas de penetración fundó Pcysys con el objetivo de automatizar todos esos ejercicios que se hacen manualmente, de crear un ciberdelincuente virtual capaz de exponer las debilidades y posibles puntos de brecha de seguridad de una empresa, nos cuenta Raúl Gordillo.

Este contenido salió publicado en el número de Mayo de 2021 de la revista IT Digital Secutity. Descárgatela.

“Donde una persona puede abarcar un ámbito limitado en un tiempo concreto, una máquina pueda abarcar mucho más de forma automática. Y ese es el concepto de cómo nace la compañía”, dice el responsable de Pcysys en España y Portugal, añadiendo que el tiempo y el alcance son las dos grandes limitaciones de un buen testing manual, junto con el talento.

En un proyecto de pentesting tradicional los expertos analizan la empresa y buscan puertas de entrada, pero como no disponen de tiempo infinito, pueden estar centrándose en una parte de la red, o de la infraestructura, y dejando otras atrás. Además, “dependes del talento del profesional que haga el pentesting cada vez. ¿Quién garantiza que se está haciendo un buen trabajo sobre tus activos?”, plantea Raúl Gordillo, añadiendo que hay que mantenerse muy al día de las últimas técnicas, tácticas y procedimientos de ataque que se estén lanzando al mercado.

Con un pentesting automático “es la máquina la que trabaja todo el tiempo en todas las partes de la red”, mientras el departamento de i+d de la compañía trabaja en las últimas técnicas de ataques que van surgiendo en el mercado para añadirlas a la plataforma; “nosotros desarrollamos todos nuestros exploits éticos y hasta que no comprobamos que es 99,99% seguro para que no haga daño en la red del cliente, no lo introducimos en la plataforma”, lo que significa que la herramienta de pentesting automatizado siempre va a estar actualizada con las últimas vulnerabilidades, técnicas de ataque, etc.

Mercado en alza

“Las empresas se están dando cuenta de que su red es dinámica, que está cambiando constantemente, y la única forma de validar su postura de seguridad es realizando este tipo de ejercicios, pero de forma continua”, responde Raúl Gordillo cuando le preguntamos qué es lo que está impulsando el mercado de soluciones de pentesting automatizado.

¿Significa eso que el pentesting manual está acabado? “No, porque la inteligencia humana también es necesaria”, asegura Raúl Gordillo. Añade que cuanto tienes a un hacker ético haciendo tareas repetitivas; la máquina puede realizar las tareas automáticas que no tienen un valor muy grande, pero que se van a realizar mucho más rápido, mientras la persona se puede dedicar a temas donde aporte su valor”.

En todo caso PenTera se ofrece en un modelo de servicio que las empresas más enfocadas en pentesting manual pueden utilizar con sus clientes; “aseguramos que lo que esa empresa, con una persona o con un equipo, puede tardar a lo mejor diez días en un cliente, nosotros tardamos unas horas, o un día, y el resto del tiempo lo puede dedicar a valor añadido, o poder ir a más clientes”.

Evolución

La compañía nace como una herramienta automática de pentesting de red interna. Se asume una amenaza interna o una brecha de seguridad que no se ha detectado y se analiza qué puede hacer esa persona que está dentro, hasta dónde puede llegar, qué información puede exfiltrar… La plataforma ha ido incrementando su capacidad con nuevas tipologías de ataques, nuevos sistemas operativos, nuevos protocolos, etc. La próxima gran evolución, disponible a finales de este año, es un módulo de red externa que realizará pruebas de entrada en las organizaciones.

La plataforma PenTera puede comprobar si el atacante ha saltado de la red IT a la red OT, “pero no tenemos desarrollados exploits para atacar redes OT, por ahora”.

Sobre la tipología de un cliente de Pcysys dice Raúl Gordillo que el cliente objetivo tiene que tener cierto grado de madurez de seguridad y que el modelo de negocio es una suscripción anual o multianual basado en número de endpoints que permite al cliente hacer los ejercicios que quiera tantas veces como quiera.

Después de las pruebas de penetración, el sistema genera información y señala los riesgos y fallas de seguridad, para que las organizaciones puedan solucionarlos y mejorar sus defensas de ciberseguridad. La plataforma prioriza los riesgos y permite a las organizaciones concentrarse en sus vulnerabilidades más críticas, aliviando la responsabilidad de protegerse contra los miles de ataques no críticos. Según la empresa, su sistema de pruebas de penetración no tiene agentes y no es una simulación, sino una infracción real de la vida real.

Antes del nombramiento de Raúl Gordillo como responsable de Pcysys en Iberia, la compañía estaba presente en la región a través de Ireo. En los últimos meses se ha hecho un gran esfuerzo por incrementar el número de partners y certificarlos, explica Raúl Gordillo, añadiendo que “la estrategia es definir un modelo de partners no muy amplio y trabajar con ellos las oportunidades”.