Pentesting Cloud (AWS, Azure y GCP)
La mayoría de las brechas en cloud no vienen de un 0-day, sino de una configuración insegura: un bucket público, un rol de IAM con permisos excesivos o una clave expuesta. Auditamos tu nube como lo haría un atacante real.
Combinamos dos enfoques: una revisión de configuración (configuration review) que compara tu entorno contra los CIS Benchmarks y detecta malas prácticas en IAM, redes, cifrado y registro; y un pentesting que parte de un acceso acotado para descubrir hasta dónde puede llegar un atacante que compromete una identidad. Mapeamos las rutas de escalada de privilegios entre roles, funciones serverless, contenedores y servicios gestionados.
Roles de IAM con privilegios excesivos, almacenamiento expuesto, secretos en variables de entorno, metadatos de instancia accesibles (SSRF) y falta de segmentación entre cargas de trabajo.
No nos limitamos a pasar una herramienta de CSPM. Explotamos las rutas de escalada de verdad y te explicamos el impacto de negocio de cada hallazgo, no una lista genérica de checks.
Solicita tu diagnóstico gratuito
Te respondemos en menos de 24h con una propuesta adaptada.
Metodología de pentesting cloud
Definición de alcance
Acordamos las cuentas, suscripciones o proyectos a evaluar, el nivel de acceso (configuration review con rol de solo lectura y/o pentesting con identidad acotada) y las reglas de compromiso del proveedor.
Revisión de configuración
Evaluamos IAM, redes, cifrado, registro y servicios gestionados frente a los CIS Benchmarks. Identificamos desviaciones y malas configuraciones con impacto de seguridad.
Explotación y escalada
Partiendo de un acceso acotado, buscamos rutas de escalada de privilegios entre roles, funciones, contenedores y servicios. Verificamos el alcance real de un compromiso.
Informe ejecutivo y técnico
Entregamos hallazgos clasificados por criticidad, con evidencias, impacto y recomendaciones de remediación priorizadas y alineadas con buenas prácticas del proveedor.
¿Qué recibes?
Informe ejecutivo
Postura de seguridad cloud para dirección: riesgos clave, exposición y plan de remediación priorizado.
Informe técnico detallado
Cada hallazgo con el recurso afectado, la configuración insegura, la ruta de explotación y los pasos concretos de remediación.
Presentación de resultados
Sesión con tu equipo de plataforma/DevOps para repasar hallazgos y definir prioridades de remediación.
Por qué CISEC
Explotación real, no solo CSPM
Una herramienta de postura te da una lista de checks. Nosotros demostramos qué puede hacer un atacante de verdad encadenando configuraciones inseguras hasta el dato crítico.
Equipo OSCP con experiencia cloud
Pentesters certificados OSCP que conocen los modelos de IAM y los servicios gestionados de AWS, Azure y GCP. Hablas directamente con quien audita tu nube.
Pentesting continuo con AISAC
Tu infraestructura cloud cambia a diario con cada despliegue de IaC. Con AISAC, nuestra plataforma de pentesting continuo, vigilamos la exposición de forma recurrente entre auditorías.
Cumplimiento que cubre
Este servicio te ayuda a demostrar el cumplimiento de los principales marcos normativos aplicables en España.
Preguntas frecuentes
¿Listo para dar el siguiente paso?
Solicita tu diagnóstico gratuito. Te respondemos en menos de 24 horas con un presupuesto adaptado.