ISAAF

``

Contexto y relación con Pentesting

  • Pentesting
  • Testeo de la junta
  • Marco metodológico orientado a evaluación integral de seguridad en sistemas de información
  • Aplicable a auditorías técnicas, organizativas y de cumplimiento
  • Enfoque estructurado para entornos de la Administración Pública y organizaciones reguladas

ISSAF / ISAAF Framework

  • ISSAF Framework
  • [Framework de testeo ISAFF Marco de Desarrollo de la Junta de Andalucía](https://www.juntadeandalucia.es/servicios/madeja/contenido/recurso/552)
  • Framework histórico y académico enfocado en Information Systems Security Assessment
  • Proporciona un ciclo completo de evaluación: planificación, ejecución, análisis y reporte
  • Complementario a metodologías modernas (PTES, OWASP, NIST), con fuerte énfasis en documentación y trazabilidad

Objetivos del ISAAF

  • Identificar vulnerabilidades técnicas y organizativas
  • Evaluar controles de seguridad existentes
  • Medir el nivel de exposición al riesgo
  • Proveer recomendaciones accionables y priorizadas
  • Servir como base para planes de mejora continua

Principios metodológicos

  • Evaluación basada en riesgos
  • Reproducibilidad de pruebas
  • Evidencia verificable
  • Separación clara entre fases
  • Neutralidad tecnológica

Fases del framework ISAAF

Planificación y alcance

  • Definición de objetivos de la evaluación
  • Identificación de activos críticos
  • Delimitación del alcance técnico y organizativo
  • Aprobaciones legales y administrativas
  • Reglas de compromiso (ROE)

Recolección de información

  • Análisis documental
  • Entrevistas con personal clave
  • Identificación de arquitectura y flujos
  • Enumeración de tecnologías
  • Revisión de políticas y procedimientos

Análisis y evaluación

  • Evaluación de arquitectura de seguridad
  • Análisis de configuración
  • Revisión de controles de acceso
  • Análisis de redes y comunicaciones
  • Evaluación de aplicaciones y sistemas
  • Identificación de amenazas y vectores de ataque

Explotación controlada

  • Validación práctica de hallazgos
  • Pruebas de penetración dirigidas
  • Explotación limitada y documentada
  • Confirmación de impacto real
  • Preservación de evidencias

Post-explotación y análisis de impacto

  • Evaluación del alcance del compromiso
  • Análisis de escalada lateral y vertical
  • Impacto en confidencialidad, integridad y disponibilidad
  • Evaluación de persistencia potencial

Reporte y cierre

  • Documentación técnica detallada
  • Resumen ejecutivo
  • Clasificación de riesgos
  • Recomendaciones técnicas y organizativas
  • Plan de mitigación
  • Lecciones aprendidas

Dominios de evaluación ISAAF

Seguridad organizativa

  • Políticas de seguridad
  • Gestión de riesgos
  • Gestión de incidentes
  • Concienciación y formación
  • Cumplimiento normativo

Seguridad física

  • Control de accesos físicos
  • Protección de infraestructuras
  • Continuidad del negocio
  • Gestión de visitantes

Seguridad lógica

  • Sistemas operativos
  • Redes
  • Aplicaciones
  • Bases de datos
  • Identidades y accesos

Comunicaciones

  • Arquitectura de red
  • Segmentación
  • Perímetros
  • Enlaces externos
  • Protocolos y cifrado

Tipos de pruebas soportadas

  • Análisis de vulnerabilidades
  • Pentesting interno
  • Pentesting externo
  • Auditoría de configuración
  • Revisión de código (limitada)
  • Evaluaciones de cumplimiento

Ventajas del uso de ISAAF

  • Metodología formal y documentada
  • Alineación con entornos gubernamentales
  • Enfoque integral más allá del pentesting técnico
  • Útil para auditorías completas de seguridad
  • Buen soporte para informes ejecutivos

Limitaciones y consideraciones

  • Framework extenso y pesado
  • Menos actualizado que marcos modernos
  • Requiere adaptación a tecnologías actuales
  • No orientado a automatización
  • Mejor usado como marco base combinado con otras metodologías

Integración con otros marcos

  • Complementable con Pentesting técnico moderno
  • Alineable con OWASP para aplicaciones web
  • Compatible con NIST SP 800-53 / 800-115
  • Útil como capa metodológica sobre PTES

Casos de uso típicos

  • Auditorías de seguridad en administraciones públicas
  • Evaluaciones integrales de sistemas críticos
  • Revisiones previas a certificaciones
  • Análisis de madurez en seguridad
  • Base para planes estratégicos de ciberseguridad

ISAAF – Extensiones y conceptos avanzados

Gobierno, roles y responsabilidades

  • Definición clara de roles durante la evaluación
    • Equipo evaluador
    • Responsables del sistema
    • Propietarios del riesgo
    • Observadores institucionales
  • Separación entre funciones técnicas y de supervisión
  • Gestión de conflictos de interés
  • Cadena de custodia de la información
  • Alineación con marcos legales nacionales y autonómicos
  • Autorizaciones formales de pruebas
  • Cláusulas de confidencialidad
  • Gestión de datos personales durante la evaluación
  • Responsabilidad ante impactos no previstos
  • Evidencias admisibles en procedimientos administrativos o judiciales

Gestión de riesgos dentro del proceso ISAAF

  • Identificación de riesgos derivados de la propia evaluación
  • Evaluación de impacto de pruebas intrusivas
  • Priorización dinámica de hallazgos
  • Aceptación formal del riesgo
  • Trazabilidad riesgo → activo → control → recomendación

Métricas e indicadores (KPIs)

  • Nivel de exposición por dominio
  • Porcentaje de controles efectivos
  • Tiempo medio de mitigación
  • Repetición de hallazgos históricos
  • Ratio de riesgos aceptados vs mitigados
  • Indicadores de madurez en seguridad

Modelos de madurez aplicables

  • Evaluación del nivel de madurez organizativa
  • Escalas típicas
    • Inicial
    • Gestionado
    • Definido
    • Medido
    • Optimizado
  • Uso del ISAAF como base para roadmaps de madurez
  • Comparación entre evaluaciones periódicas

Artefactos y entregables del framework

Documentos previos

  • Documento de alcance
  • Análisis preliminar de riesgos
  • Inventario de activos
  • Matriz de responsabilidades

Evidencias técnicas

  • Capturas
  • Logs
  • Resultados de herramientas
  • Diagramas de arquitectura
  • Pruebas de concepto controladas

Informes finales

  • Informe técnico completo
  • Informe ejecutivo
  • Anexo de evidencias
  • Plan de acción priorizado
  • Hoja de ruta de mejora

Normalización y estandarización

  • Uso de plantillas reutilizables
  • Nomenclatura homogénea de hallazgos
  • Clasificación consistente de riesgos
  • Versionado de informes
  • Archivo histórico de evaluaciones

Herramientas de apoyo compatibles

  • Herramientas de inventariado
  • Escáneres de vulnerabilidades
  • Sistemas de ticketing para seguimiento
  • Repositorios de evidencias
  • Dashboards de riesgo
  • Herramientas GRC como capa superior

Relación con cumplimiento normativo

  • Soporte para auditorías ENS
  • Base para cumplimiento ISO/IEC 27001
  • Evidencias reutilizables para auditorías externas
  • Evaluaciones de impacto en protección de datos
  • Integración con controles regulatorios

Gestión del conocimiento

  • Lecciones aprendidas por evaluación
  • Reutilización de escenarios de prueba
  • Base histórica de hallazgos
  • Mejora progresiva de metodologías internas
  • Transferencia de conocimiento a la organización evaluada

Automatización y adaptación moderna

  • Limitaciones del ISAAF clásico
  • Uso del framework como capa metodológica
  • Integración con pipelines de seguridad
  • Apoyo en herramientas automáticas sin perder rigor
  • Adaptación a entornos cloud e híbridos

Comparativa conceptual con marcos actuales

  • ISAAF como marco de evaluación global
  • PTES como marco de ataque técnico
  • OWASP como marco especializado en aplicaciones
  • NIST como marco normativo y de control
  • Uso combinado para evaluaciones completas

Uso estratégico del ISAAF

  • Marco base para programas de seguridad
  • Apoyo a decisiones de inversión
  • Evaluación de proveedores críticos
  • Auditorías recurrentes de alto nivel
  • Pilar metodológico en organismos públicos

Evolución y estado actual

  • Framework con valor conceptual vigente
  • Relevancia en entornos regulados
  • Necesidad de adaptación tecnológica
  • Mayor peso como marco de referencia que como guía operativa
  • Utilidad principal en evaluaciones formales y estructuradas

ISAAF – Caso práctico aplicado

Contexto del caso

  • Organización pública autonómica
  • Portal web corporativo + intranet interna
  • Servicios expuestos
    • Web institucional (DMZ)
    • API interna
    • Active Directory
    • Base de datos de gestión
  • Objetivo
    • Evaluación integral siguiendo ISAAF
    • Enfoque técnico y organizativo
    • Uso como base para plan de mejora

Alcance definido

  • Red externa (IP pública)
  • Red interna corporativa
  • Aplicación web principal
  • Infraestructura de autenticación
  • Exclusiones
    • Denegación de servicio real
    • Ingeniería social activa

Fase ISAAF: planificación aplicada

  • Identificación de activos críticos
    • Portal web
    • Servidor de autenticación
    • Datos personales
  • Clasificación de impacto
    • Confidencialidad: alta
    • Integridad: media
    • Disponibilidad: alta
  • Reglas de compromiso
    • Ventana horaria
    • Sin modificación persistente
    • Evidencias documentadas

Fase ISAAF: recolección de información

  • Análisis documental
    • Política de seguridad
    • Esquema ENS
    • Diagramas de red
  • Enumeración pasiva
    • DNS
    • Subdominios
    • Tecnologías web
  • Identificación de controles
    • WAF
    • Firewall perimetral
    • Antivirus corporativo

Fase ISAAF: evaluación técnica

Red y perímetro

  • Puertos expuestos innecesarios
  • Segmentación insuficiente
  • Servicios legacy activos

Sistemas

  • Servidores sin hardening completo
  • Versiones obsoletas
  • Servicios con permisos excesivos

Aplicación web

  • Autenticación débil
  • Validación de entradas insuficiente
  • Gestión de sesiones mejorable

Configuración evaluada – Firewall perimetral

Ejemplo de revisión de reglas

allow tcp any any 443
allow tcp admin_net any 22
deny ip any any

`

  • Problema identificado
    • Red administrativa con acceso SSH sin restricciones adicionales
  • Recomendación
    • Bastionado por IP
    • MFA
    • Registro centralizado

Configuración evaluada – Servidor web

Hardening básico revisado

ServerTokens Prod
ServerSignature Off
TraceEnable Off
  • Estado
    • Correcto pero incompleto
  • Recomendación
    • Cabeceras de seguridad
    • Limitación de métodos HTTP

Configuración evaluada – Active Directory

Política de contraseñas

MinimumPasswordLength = 8
PasswordHistorySize = 5
MaxPasswordAge = 90
  • Hallazgo
    • Longitud mínima insuficiente
  • Recomendación
    • ≥12 caracteres
    • Passphrases
    • MFA para accesos privilegiados

Fase ISAAF: explotación controlada

  • Validación de impacto
    • Acceso no autorizado a panel interno
    • Enumeración de usuarios
  • No persistencia
  • Evidencias capturadas
    • Logs
    • Screenshots
    • Hashes anonimizados

Fase ISAAF: post-explotación

  • Posible escalada lateral
  • Acceso a información sensible
  • Riesgo de compromiso de identidad
  • Impacto elevado en confidencialidad

Clasificación de riesgos

  • Riesgo alto
    • Debilidad en autenticación
  • Riesgo medio
    • Segmentación de red
  • Riesgo bajo
    • Hardening parcial

Recomendaciones priorizadas

  • Corto plazo
    • MFA
    • Revisión de accesos administrativos
  • Medio plazo
    • Segmentación de red
    • Hardening completo
  • Largo plazo
    • Programa continuo de evaluación ISAAF

Entregables generados

  • Informe técnico detallado
  • Resumen ejecutivo
  • Anexo de evidencias
  • Matriz riesgo–control–recomendación
  • Roadmap de mejora

Valor del caso práctico

  • ISAAF como marco estructural
  • Permite trazabilidad completa
  • Facilita auditoría y cumplimiento
  • Base sólida para mejora continua
  • Integrable con pentesting técnico moderno

Recursos y herramientas de Pentesting y Ciberseguridad (2025)

Colecciones y listas amplias de herramientas

  • Recursos recopilados (repositorios + listas)
    • Repositorio con más de 500 herramientas y recursos de ciberseguridad (incluye pentesting, respuesta a incidentes, análisis de red, etc.) Reddit
    • Guía de 35+ herramientas tradicionales y de IA para pentesting en 2025 (EC-Council) EC-Council

Plataformas y distros especializadas

  • Kali Linux — Entorno base para pentesting con cientos de herramientas preinstaladas y actualizaciones constantes en 2025 ACSMI
  • ParrotOS Security — Alternativa ligera enfocada en pentesting y privacidad Medium

Herramientas de evaluación y explotación

Frameworks y explotación

  • Metasploit Framework — Framework de explotación modular líder del sector, con soporte para desarrollo de exploits y post-explotación integrados en 2025 ACSMI
  • Armitage — GUI para Metasploit que facilita la gestión de campañas de explotación Medium

Escaneo y reconocimiento de red

  • Nmap — Escaneo de red y puertos con scripting avanzado y fiabilidad mejorada en IPv6/UDP para 2025 CyberSamir
  • Wireshark — Inspección profunda de tráfico con análisis en tiempo real de anomalías CyberSamir

Escaneo de vulnerabilidades

  • Nessus — Scanner de vulnerabilidades con cobertura ampliada incluyendo IoT y cloud CyberSamir
  • Intruder — Escaneo en la nube y priorización de vulnerabilidades (destacado en listados 2025) LinkedIn

Web y aplicaciones

  • Burp Suite (Incluye Community Edition) — Interceptación y análisis de aplicaciones web; en 2025 incorpora IA y ML en escaneos avanzados CyberSamir
  • OWASP ZAP — DAST gratuito con modo headless y CI/CD integrado ACSMI
  • SQLmap — Detección y explotación automática de inyecciones SQL (incluido en top herramientas 2025) LinkedIn
  • MobSF (Mobile Security Framework) — Framework para pentesting de apps móviles LinkedIn

Otros frameworks técnicos

  • Shodan — Motor OSINT para descubrir dispositivos expuestos públicamente (muy útil en fase de reconocimiento) El Vigilante Digital
  • SploitCraft & Agentic Security (IA y fuzzing) — Herramientas emergentes que combinan fuzzing, técnicas avanzadas y rule sets personalizables EC-Council

Herramientas de colaboración, reporting y automatización

  • Dradis Framework — Centro de colaboración para consolidar hallazgos, notas y evidencias durante pruebas ofensivas Wikipedia
  • SecReport — Plataforma colaborativa potenciada por IA para generación y estandarización de reportes de pentesting EC-Council
  • PentestGPT / HackingBuddyGPT — Automatización de comandos, selección de herramientas y análisis potenciado por modelos de lenguaje El Vigilante Digital

Proyectos de investigación y tecnologías emergentes

  • PenTest++ — Investigación de herramientas de pentesting automatizado con IA y supervisión humana arXiv
  • AutoPentest — Uso de agentes LLM autónomos para pruebas black-box que realizan múltiples pasos interconectados arXiv
  • Investigación sobre agentes de ataque visual (HackWorld) — Explora capacidades de CUAs para vulnerar apps web complejas arXiv
  • Investigación LLM con árboles de ataque estructurados — Mejora de pipelines de pentesting automatizado guiado por modelos y matrices tácticas como MITRE ATT&CK arXiv

Cursos y formación actualizados (2025)

  • Curso Máster en Pentesting y Hacking Ético (Udemy) — Desde fundamentos hasta herramientas como Nmap, Hydra, Metasploit Udemy
  • Curso de Hacking Ético con Nmap (Udemy) — Enfoque práctico en escaneo y análisis de redes Udemy
  • Curso Hacking Web 2025 — Pentesting web desde cero con teoría y práctica combinada Udemy

Tendencias de adopción y uso de IA en 2025

  • HexStrike-AI — Herramienta que integra LLM con más de 150 herramientas de pentesting y explotación TechRadar
  • A pesar de avances en IA, muchas organizaciones aún son cautelosas y priorizan un enfoque híbrido con supervisión humana ITPro

Recursos extra para aprendizaje y comunidad

  • Proyectos comunitarios como iHack.red con guías y contenido técnico especializado en español Reddit
  • Hilos semanales en comunidades (por ejemplo, recursos y scripts útiles) para estar al día con actualizaciones prácticas Reddit