VERDE es la mayor cooperativa de ahorro y crédito de Uruguay y fue fundada en 1972. Es una organización constituida por más de 290 mil socios, con agencias en tres departamentos, y puntos de promoción en todo el país.
VERDE emprendió un proyecto ambicioso para mejorar sus servicios digitales. Supervisada por el Banco Central del Uruguay, la cooperativa buscaba desarrollar un portal web innovador que no solo facilitara el manejo de las finanzas de sus socios, sino que también garantizara la seguridad de sus datos. Una parte crucial de este proyecto fue un exhaustivo proceso de Pentesting para asegurar la integridad de la aplicación.
Para garantizar que la aplicación cumpliera con estándares adecuados de seguridad, se realizó un proceso de Pentesting con enfoque de caja blanca. Este proceso incluyó:
• Ejecución de un exhaustivo análisis de vulnerabilidades.
• Planificación y ejecución del Pentesting utilizando herramientas de terceros y propietarias, complementadas con análisis manuales detallados.
• Entrega de un informe comprensivo con los hallazgos, riesgos identificados y recomendaciones de remediación.
Se siguió la metodología de la última versión de la guía de pruebas OWASP Web Security Testing Guide. En este proceso, se evaluaron aspectos críticos como:
• Configuración y despliegue
• Gestión de identidad
• Autenticación y autorización
• Gestión de sesiones
• Validación de entradas
• Manejo de errores
• Criptografía
• Lógica de negocio
• Debilidades del lado del cliente
• APIs
El proyecto culminó exitosamente con una mejora significativa en la seguridad del portal GRIN. A través de un proceso de Ethical Hacking, se identificaron y mitigaron vulnerabilidades críticas, asegurando que la aplicación cumpliera con estándares adecuados de seguridad.
Se llevaron a cabo dos revisiones exhaustivas, enfocadas en el análisis de los controles de acceso y la protección de información sensible tanto en tránsito como en reposo. Estas revisiones incluyeron una atención especial a funcionalidades clave, como la gestión de préstamos y transacciones, garantizando que dichas operaciones se ejecutaran de manera segura y precisa, resguardando los datos de los usuarios y las operaciones internas.
Este trabajo no solo fortaleció la seguridad del portal y sus comunicaciones internas, sino que también estableció un marco robusto que permitirá a GRIN enfrentar futuros desafíos con confianza. Asimismo, subraya la importancia de realizar revisiones de seguridad continuas y adoptar medidas proactivas para proteger los activos digitales y preservar la integridad operativa.
Adicionalmente, el proceso permitió identificar y corregir comportamientos anómalos, reforzando la postura de seguridad desde el desarrollo. Esto incluyó el reconocimiento de puntos de falla clave, la implementación de soluciones efectivas y su consideración en futuras mejoras o nuevas funcionalidades.
¿Buscas fortalecer la seguridad de tu aplicación? Conoce más sobre nuestros servicios de Ciberseguridad.
MGAP: Guías Digit...
CONTÁCTANOS
