Demuestre que sus controles funcionan — no solo que existen
BAS continua que simula la escalada de privilegios en AWS IAM, la exfiltración en S3, la evasión de CloudTrail y el movimiento lateral en la red. Cada hallazgo se asigna a MITRE ATT&CK y se vincula a sus controles de cumplimiento como evidencia verificable.
- Categorías de simulación
- 6
- Técnicas de MITRE
- 200+
- vs. coste de una prueba de penetración anual
- 90 % menos
- Marcos de cumplimiento
- 6
Cobertura de simulación en todo el ciclo de vida del ataque
Seis paquetes de escenarios que cubren los patrones de ataque en la nube de mayor impacto — cada uno probado contra su entorno real, no un entorno de pruebas aislado.
Escalada de privilegios en AWS IAM
CATAAM simula las rutas de escalada de privilegios en AWS IAM más comunes documentadas por investigadores de seguridad. Cada escenario prueba si sus políticas de IAM, SCP y límites de permisos bloquean realmente la escalada — no solo si las políticas existen.
- iam:CreatePolicyVersion — inyectar una nueva versión de política de administrador
- iam:AttachRolePolicy — adjuntar AdministratorAccess a un rol existente
- iam:PassRole a Lambda — asumir un rol mediante la invocación de una función
- Cadena sts:AssumeRole — escalada entre cuentas mediante política de confianza
- Abuso del perfil de instancia EC2 — extraer credenciales de los metadatos
Exfiltración de datos en S3 y elusión de ACL
Prueba si sus buckets de S3 están realmente protegidos — no solo etiquetados como privados. CATAAM valida la configuración de bloqueo de acceso público, las políticas de bucket y las ACL frente a escenarios reales de exfiltración documentados en informes de brechas en la nube.
- Detección de ACL de bucket público y prueba de acceso de lectura
- Configuración incorrecta de política de bucket — acceso entre cuentas
- Abuso de URL prefirmada mediante credenciales filtradas
- Prueba de elusión del bloqueo de acceso público de S3
- Replicación a un bucket controlado por el atacante
Evasión y detección de CloudTrail
Los atacantes desactivan CloudTrail pronto para evitar la detección. CATAAM prueba si su monitoreo detectaría y alertaría sobre los intentos de interrumpir el registro — y si las brechas existentes permitirían a un atacante operar sin ser detectado.
- Registro de CloudTrail desactivado — prueba de captura de eventos
- Validación de archivos de registro desactivada — detección de manipulación
- Manipulación del selector de eventos — evasión del filtrado de llamadas a la API
- Entrega a S3 detenida — simulación de brecha en el registro
- Verificación de la integridad de un trail multirregión
Exposición de red y movimiento lateral
Las configuraciones incorrectas de red son el vector de acceso inicial más común en las brechas en la nube. CATAAM mapea sus grupos de seguridad, sus relaciones de emparejamiento de VPC y la configuración del servicio de metadatos para identificar oportunidades de movimiento lateral antes de que los atacantes las encuentren.
- Resistencia a la fuerza bruta SSH (exposición de la autenticación por contraseña)
- Aplicación del servicio de metadatos de EC2 v1 vs. v2
- Permisos excesivos en grupo de seguridad — entrada 0.0.0.0/0
- Mapeo de rutas de movimiento lateral mediante emparejamiento de VPC
- Detección de exposición de un endpoint público de RDS
Debilidad de cifrado y de algoritmos
El cifrado débil es una vulnerabilidad invisible — los sistemas parecen sanos hasta que un atacante captura y descifra el tráfico. CATAAM prueba la solidez de los algoritmos en todos los endpoints externos y valida el cifrado en reposo en los recursos de almacenamiento en la nube.
- Detección de versión de TLS — exposición de SSLv3, TLS 1.0, TLS 1.1
- Enumeración de conjuntos de algoritmos débiles (RC4, DES, 3DES)
- Monitoreo de validez y vencimiento de certificados
- Verificación del estado de rotación de claves de KMS
- Validación del cifrado en reposo de EBS y RDS
Seguridad del correo y resiliencia ante el phishing
Los ataques por correo electrónico representan la mayoría de los accesos iniciales en las brechas empresariales. CATAAM valida su configuración de SPF, DMARC y DKIM para garantizar que los atacantes no puedan suplantar su dominio ni entregar correos maliciosos que eludan los filtros.
- Validación del registro SPF y verificación de su rigurosidad
- Aplicación de la política DMARC (none / quarantine / reject)
- Presencia del selector DKIM y solidez de la clave
- Detección de registro BIMI
- Monitoreo del registro de dominios similares
Simulación continua, no instantáneas anuales
La BAS se ejecuta de forma continua — detectando regresiones de control por cambios de configuración en el momento en que ocurren, no 12 meses después durante una prueba de penetración.
Seleccione los escenarios de simulación
Elija entre paquetes de escenarios prediseñados (AWS IAM, S3, red) o ejecute la suite completa. Los escenarios son seguros — prueban la eficacia de los controles sin causar daños ni pérdida de datos.
Ejecute contra su entorno real
La BAS se ejecuta en su entorno utilizando las mismas técnicas que usan los atacantes reales. No se necesitan agentes — simulaciones basadas en API de la nube con sondas de escalada de solo lectura.
Revise los hallazgos de MITRE ATT&CK
Cada hallazgo muestra el identificador de la técnica, la táctica, la gravedad, la referencia CVE cuando corresponde y un paso de remediación específico. Priorizado por el impacto para el atacante, no por la puntuación CVSS.
Vincule con los controles de cumplimiento
Los resultados de la BAS completan automáticamente la evidencia de cumplimiento para SOC 2, ISO 27001, PCI-DSS y HIPAA. Los resultados positivos prueban la eficacia de los controles; los hallazgos generan tickets de remediación en Jira.
BAS vs. prueba de penetración tradicional
| Característica | BAS (CATAAM) | Prueba de penetración manual |
|---|---|---|
| Frecuencia | Continua (365 días) | Anual o trimestral |
| Rapidez de los resultados | Minutos | Semanas |
| Formato de la evidencia | Resultados de API con marca de tiempo | Informe PDF estático |
| Vinculación con el cumplimiento | Asignación automática a los controles | Asignación manual requerida |
| Cobertura de MITRE ATT&CK | Actualizada continuamente | Alcance puntual |
| Seguimiento de la remediación | En la plataforma con Jira | Flujo de trabajo separado |
| Modelo de coste | Por crédito, pago por uso | $15K–$50K por contratación |
La BAS y las pruebas de penetración son complementarias — no competidoras. La BAS de CATAAM se encarga de la cobertura continua; un experto en pruebas de penetración se ocupa de la explotación creativa.
Resultados de simulación en tiempo real
CATAAM ejecuta simulaciones BAS de forma continua contra su entorno. Los resultados llevan marca de tiempo, están asignados a MITRE y están disponibles de inmediato en su panel de cumplimiento — no enterrados en un PDF tres semanas después de finalizar una contratación.
- Rutas de escalada de IAM probadas en cada ciclo de análisis
- Desviación de configuración detectada minutos después de un cambio
- Evidencia de cumplimiento vinculada automáticamente en resultados PASS
- Tickets de Jira creados automáticamente ante nuevos hallazgos FAIL
Simulación de brechas y ataques — preguntas frecuentes
- ¿Qué es la simulación de brechas y ataques (BAS) y en qué se diferencia de una prueba de penetración?
- La simulación de brechas y ataques (BAS) ejecuta de forma continua y segura escenarios de ataque del mundo real contra su entorno. A diferencia de una prueba de penetración — que es una contratación manual puntual realizada por evaluadores humanos — la BAS se ejecuta de forma continua, produce resultados legibles por máquina y se integra directamente con sus flujos de cumplimiento. Una prueba de penetración es valiosa para una explotación profunda y creativa; la BAS es mejor para la validación continua de controles específicos, la generación de evidencia de cumplimiento y la detección de regresiones tras cambios de configuración.
- ¿Es seguro ejecutar en producción las simulaciones BAS de CATAAM?
- Sí. Los escenarios BAS de CATAAM están diseñados para probar la eficacia de los controles sin causar daños, pérdida de datos ni interrupción del servicio. Las simulaciones de escalada de IAM utilizan llamadas a la API de solo lectura para sondear los límites de permisos — no crean realmente nuevos usuarios administradores ni modifican recursos. Las pruebas de S3 validan los controles de acceso intentando operaciones de lectura que deberían bloquearse — no exfiltran datos. Las pruebas de red sondean la exposición de los servicios sin explotar vulnerabilidades. Cada simulación es no destructiva por diseño.
- ¿Cómo satisface la evidencia BAS los requisitos de cumplimiento como SOC 2 y PCI-DSS?
- La BAS produce resultados estructurados y con marca de tiempo que prueban que los controles son eficaces — no solo que están documentados. SOC 2 CC6 y CC7 exigen demostrar que los controles de acceso lógico y de operaciones del sistema funcionan; la BAS proporciona evidencia verificable de que la escalada de IAM está bloqueada, el monitoreo de CloudTrail está activo y los controles de red impiden el acceso no autorizado. El requisito 11 de PCI-DSS exige pruebas de penetración y análisis de vulnerabilidades — los resultados continuos de la BAS satisfacen ambos requisitos con evidencia de calidad de auditoría. Cada resultado se almacena en CATAAM y se vincula al control correspondiente.
- ¿Qué técnicas de MITRE ATT&CK cubre la BAS de CATAAM?
- La BAS de CATAAM cubre técnicas en las tácticas de Acceso inicial, Ejecución, Persistencia, Escalada de privilegios, Evasión de defensas, Acceso a credenciales, Descubrimiento, Movimiento lateral y Exfiltración — centradas en entornos en la nube. Las técnicas clave incluyen T1548 (Abuse Elevation Control Mechanism), T1530 (Data from Cloud Storage), T1562 (Impair Defenses), T1078 (Valid Accounts), T1021 (Remote Services), T1110 (Brute Force), T1530 (Data from Cloud Storage) y T1537 (Transfer Data to Cloud Account). La biblioteca de técnicas se actualiza a medida que se publican nuevos patrones de ataque en la nube.
- ¿Pueden los hallazgos BAS activar remediación automatizada o tickets de Jira?
- Sí. La integración de Jira de CATAAM crea automáticamente tickets de remediación a partir de los hallazgos BAS que superan el umbral de gravedad configurado. Cada ticket incluye el identificador de la técnica de MITRE ATT&CK, el hallazgo específico, el ARN del recurso afectado y el paso de remediación recomendado. Los tickets se rastrean en CATAAM junto al control de cumplimiento que afectan — de modo que el progreso de la remediación se refleja automáticamente en su panel de cumplimiento.
¿Listo para comprobar si sus controles funcionan de verdad?
Prueba gratuita de 14 días. Sin tarjeta de crédito. Primeros resultados de análisis BAS en minutos.
WATCH
Breach & Attack Simulation in action
Prove your controls work — safe, real attacks mapped to MITRE ATT&CK.