Hard2bit

Tecnología · Seguridad ofensiva

Pentesting de una plataforma de datos para clientes institucionales

Una empresa tecnológica cuyas plataformas procesan y distribuyen datos de alto valor para clientes institucionales y corporativos — de los que exigen garantías, no promesas — nos encargó un pentest autorizado de sus aplicaciones web, sus APIs de distribución de datos y su infraestructura expuesta. Sus clientes son organizaciones institucionales y corporativas muy exigentes: una fuga de datos entre clientes sería letal comercialmente — y el pentest periódico es, además, un requisito que esos mismos clientes le exigen.

Sector

Tecnología · plataformas de datos

Plataforma

web + APIs de distribución de datos

Servicio

Pentesting de aplicaciones y APIs

Foco

aislamiento multi-tenant

Hallazgos

11 (2 altas, 0 críticas)

Resultado

cierre verificado con retest

El punto de partida

Las plataformas de la compañía son su negocio: aplicaciones web desde las que sus clientes acceden a sus productos de datos, y APIs que los distribuyen de forma programática. Cada cliente — organizaciones institucionales y corporativas con exigencias de seguridad muy altas — opera sobre la misma plataforma compartida. En un modelo así, la pregunta que quita el sueño es una: ¿puede el cliente A ver, por cualquier vía, los datos del cliente B?

No era una inquietud teórica. Varios de sus clientes exigían contractualmente pruebas de intrusión periódicas realizadas por un tercero independiente, y las renovaciones empezaban a pedir evidencia. Se acordó un pentest con alcance y reglas de enfrentamiento firmadas: qué sistemas, qué técnicas, qué ventanas horarias y qué canal de aviso inmediato si aparecía algo grave a mitad de prueba.

Cómo lo abordamos

  1. Reconocimiento y modelado de amenazas — mapa de la superficie expuesta y de los flujos de datos de la plataforma, para decidir dónde golpearía primero un atacante real: cuentas de cliente, APIs de distribución e infraestructura perimetral. Las pruebas se priorizaron por impacto de negocio, no por catálogo.
  2. Pruebas OWASP sobre las aplicaciones web — autenticación, gestión de sesión, inyecciones y, sobre todo, control de acceso: qué puede hacer cada rol y qué puede alcanzar una cuenta legítima más allá de lo que le corresponde.
  3. Foco en el aislamiento entre tenants — la prueba central del encargo: con cuentas legítimas de un cliente, intentar acceder a datos, trabajos y metadatos de otros por todas las vías — identificadores predecibles, autorización a nivel de objeto, filtrados incompletos en listados y buscadores.
  4. Abuso de las APIs de distribución de datos — autorización a nivel de objeto en cada endpoint, límites de consumo y cuotas (¿puedo descargar más de lo contratado?), y abuso de la lógica de negocio de la distribución programática.
  5. Infraestructura expuesta — inventario y prueba de todos los servicios accesibles desde internet, incluidos los que no deberían estarlo: paneles de administración, entornos auxiliares y servicios olvidados.
  6. Informe, plan de corrección y retest — cada hallazgo con evidencia reproducible, impacto y corrección recomendada, más un resumen ejecutivo para dirección. Tras las correcciones, retest formal de cada vulnerabilidad y certificación escrita del cierre.

Resultados

11

vulnerabilidades identificadas y documentadas con evidencia reproducible

2 altas

resueltas y verificadas con retest en menos de tres semanas

1 requisito

el informe de pentest se convirtió en pieza estándar de sus renovaciones con clientes institucionales

De las 11 vulnerabilidades, ninguna era crítica explotable sin autenticación — pero las dos altas tocaban justo donde más duele. La primera: una debilidad de control de acceso que permitía, con una cuenta legítima, acceder a metadatos de trabajos de otros clientes — no a los datos en sí, pero suficiente para revelar qué encargaba cada cliente y cuándo. La segunda: endpoints internos de administración accesibles desde internet con autenticación débil. El resto — varias medias y bajas — se documentó con la misma evidencia reproducible y un plan de corrección priorizado.

El equipo del cliente corrigió las dos altas en menos de tres semanas y el retest verificó el cierre de ambas. El efecto comercial llegó después: el informe — hallazgos, correcciones y cierre certificado por un tercero independiente — pasó a formar parte del paquete estándar que la compañía presenta en sus renovaciones con clientes institucionales. Lo que empezó como un requisito se convirtió en un argumento de venta.

Claves del caso

  • En plataformas multi-tenant, el aislamiento entre clientes es LA prueba que importa: una sola fuga entre tenants vale más que diez hallazgos de catálogo.
  • Las APIs de datos son a la vez el producto y la superficie de ataque: probarlas como las usaría un cliente malintencionado es probar el negocio.
  • El pentest periódico deja de ser un gasto cuando tus propios clientes lo exigen como garantía: se convierte en un activo comercial.

Preguntas frecuentes

¿Qué se prueba en un pentest de una plataforma de datos multi-tenant?

Todo lo que un atacante — o un cliente malintencionado con cuenta legítima — podría intentar. Sobre las aplicaciones web, las pruebas OWASP habituales: autenticación, gestión de sesión, inyecciones, control de acceso. Sobre las APIs de datos, autorización a nivel de objeto (¿puedo pedir recursos que no son míos cambiando un identificador?), límites de consumo y abuso de la lógica de negocio. Y la prueba que más importa en multi-tenancy: el aislamiento entre clientes — con una cuenta legítima del tenant A, intentar acceder a datos, trabajos o metadatos del tenant B por todas las vías posibles.

¿Qué son las reglas de enfrentamiento y por qué protegen a ambas partes?

Un documento firmado antes de empezar que define qué sistemas están en alcance, qué técnicas se permiten, en qué ventanas horarias se prueba, qué está explícitamente prohibido y a quién se avisa si se encuentra algo grave a mitad de prueba. Protegen al cliente porque garantizan que las pruebas no dañarán la operación ni los datos de sus propios clientes; y protegen al equipo de pentesting porque delimitan legalmente una actividad que, sin autorización escrita, sería un delito. Sin reglas de enfrentamiento firmadas no hay pentest serio.

¿Qué recibe el cliente al final del pentest?

Dos informes y una verificación. Un informe técnico con cada vulnerabilidad documentada: descripción, evidencia reproducible paso a paso, impacto y recomendación concreta de corrección, priorizada por riesgo real. Un resumen ejecutivo en lenguaje de negocio, pensado para dirección y para clientes que pidan garantías. Y un retest incluido: cuando el cliente corrige, volvemos a probar cada hallazgo y certificamos por escrito qué quedó cerrado.

¿Sirve el informe de pentest ante clientes y auditorías?

Sí — y en este caso se convirtió precisamente en eso. Un informe de un tercero independiente, con metodología reconocible, hallazgos documentados y cierre verificado con retest, es evidencia que un cliente institucional o un auditor puede valorar. No es un sello decorativo: demuestra que la plataforma se somete a pruebas ofensivas periódicas y que los hallazgos se corrigen en plazos concretos.

Servicios relacionados

¿Aguantaría tu plataforma a un cliente malintencionado?

Nuestro pentesting prueba tus aplicaciones y APIs como lo haría un atacante con cuenta legítima: aislamiento entre clientes, autorización a nivel de objeto e infraestructura expuesta. Con evidencia reproducible, retest incluido y un informe que puedes enseñar a tus clientes.