Elección de activos en VESTA: el punto de partida para una ciberresiliencia real
El Proyecto VESTA nace de una convicción muy concreta: la resiliencia en ciberseguridad no se consigue acumulando pruebas, sino tomando decisiones estratégicas desde el primer momento. En un contexto marcado por el aumento de las amenazas, la entrada en vigor de NIS2 y la creciente complejidad tecnológica de las entidades esenciales, Tarlogic Security impulsa VESTA como una respuesta estructurada y europea a estos retos. En este marco, la elección de activos en VESTA se convierte en el eje que articula todo el proyecto.
Un punto de partida que determina dónde poner el foco, cómo priorizar riesgos y, en última instancia, cómo transformar los ejercicios de seguridad ofensiva en mejoras reales y sostenibles para las organizaciones críticas.
VESTA —adVanced pEntesting Services for proTection of essentiAl entities— es un proyecto europeo impulsado por Tarlogic y financiado a través de la Open Call 2 de Pruebas de Penetración y Evaluación de Vulnerabilidades de CYSSDE.
Su objetivo es claro: ayudar a entidades esenciales, especialmente de los sectores financiero y energético, a ser más resilientes frente a amenazas cada vez más complejas, en plena era NIS2.
Para lograrlo, el proyecto contempla 115 servicios de pruebas de penetración y evaluación de vulnerabilidades en sistemas, aplicaciones, redes, cloud, entornos web e incluso tecnologías emergentes como la inteligencia artificial.
El punto de partida de las pruebas es simple: antes de atacar, simular o evaluar nada, hay que responder a una pregunta clave: ¿qué merece realmente ser analizado primero? Ahí es donde entra en juego, con todo su peso, la elección de activos en VESTA.
Elegir bien importa (mucho)
No todos los activos son iguales. No todos sostienen el negocio. No todos exponen el mismo riesgo. Por eso, el proyecto no propone «analizarlo todo», sino que impulsa una elección de activos en VESTA que sigue una metodología clara, repetible y muy orientada al impacto real.
Una hoja de ruta que se traduce en decisiones, prioridades y mejoras tangibles.
El objetivo final es priorizar aquellos activos cuya explotación tendría un mayor impacto en la continuidad del negocio, la seguridad de la información o el cumplimiento normativo, ofreciendo a las entidades participantes una visión clara y accionable de sus riesgos reales.
Criterios clave en la selección de activos
Estos son los principales criterios que se tendrán en cuenta en el marco de las pruebas de evaluación de vulnerabilidades:
Criticidad del negocio
Este criterio evalúa el impacto potencial que tendría la explotación de una vulnerabilidad sobre los procesos críticos de la organización.
No todos los activos tienen el mismo peso en la operativa diaria: algunos soportan servicios esenciales, transacciones financieras, suministro energético o procesos regulatorios.
VESTA prioriza aquellos activos cuya indisponibilidad, alteración o compromiso podría generar interrupciones graves, pérdidas económicas significativas o consecuencias legales y reputacionales.
Nivel de exposición
La superficie de ataque es un factor determinante. Se analiza si el activo está expuesto a Internet, accesible desde redes internas o reservado a usuarios con privilegios elevados.
Los activos con exposición externa suelen ser más susceptibles a ataques oportunistas, masivos y automatizados, mientras que los internos o privilegiados pueden facilitar movimientos laterales y escaladas de privilegios en caso de compromiso.
Evaluar este nivel de exposición permite ajustar las pruebas al riesgo real asociado a cada activo.
Tipo de tecnología
VESTA abarca una amplia variedad de tecnologías: aplicaciones web y móviles, infraestructuras de red, sistemas tradicionales, plataformas cloud o soluciones basadas en inteligencia artificial.
Cada una presenta vectores de ataque, configuraciones y riesgos específicos. La selección de activos tiene en cuenta esta diversidad tecnológica para asegurar una cobertura completa y adaptada a los entornos reales de las entidades, evitando enfoques genéricos que no reflejen su complejidad operativa.
Sensibilidad de los datos
Los activos que procesan, almacenan o transmiten información sensible requieren una atención especial.
Datos financieros, información personal, credenciales, secretos industriales o información estratégica elevan significativamente el riesgo asociado a una brecha de seguridad.
En el marco de VESTA, este criterio permite identificar activos cuyo compromiso podría derivar en incidentes de alto impacto desde el punto de vista legal, regulatorio o de privacidad.
Interdependencias con otros sistemas
En entornos complejos, los activos no funcionan de forma aislada. Dependencias técnicas y funcionales pueden convertir un sistema aparentemente secundario en un punto de entrada crítico hacia otros más relevantes.
Por ello, se analizan las relaciones entre sistemas, flujos de datos e integraciones, evaluando cómo la explotación de un activo puede afectar en cascada al resto del ecosistema tecnológico.
Mucho más que pentesting
Al final, la elección de activos en VESTA no es solo un paso previo al pentesting. Es una declaración de intenciones.
Es decidir proteger lo que de verdad importa, con pruebas alineadas con marcos de referencia como MITRE ATT&CK, OWASP, NIST o CIS Controls, pero siempre aterrizadas en la realidad de cada entidad.
La aplicación sistemática de estos criterios permite a Tarlogic diseñar escenarios de prueba realistas orientados a generar resultados prácticos.
Y es que la resiliencia no se improvisa. Se construye con criterio, con experiencia y con decisiones bien tomadas desde el principio. En VESTA, todo empieza ahí: en elegir bien los activos para que cada prueba cuente, cada hallazgo importe y cada recomendación tenga un impacto real y duradero.