Simulador interactivo · NIST 800-115

Anatomía de 4 brechas web reales vistas desde dentro

Reproduce paso a paso cómo se ejecutaron MOVEit Transfer (2023), un ataque a la API de una fintech (2025), Accellion FTA (2021) y la brecha de Capital One (2019). Cada simulación recorre las fases Planificación · Descubrimiento · Ataque · Exfiltración con visualizaciones, payloads reales y consola de eventos en vivo.

Iniciar exploración Ver metodología
4
Brechas reales
200M+
Registros afectados
4×4
Fases NIST simuladas

Elige una brecha para reproducir

Cada tarjeta abre una simulación canvas con controles paso a paso, panel de payload y consola de logs que reconstruye el ataque tal como ocurrió.

CVE-2023-34362

MOVEit Transfer

El grupo CL0p explota una inyección SQL en MOVEit para volcar bases de datos de cientos de organizaciones y extorsionarlas.

SQLi CL0p 2023 60M+ regs
Lanzar simulación
OWASP API1 · IDOR

Fintech · API IDOR

Análisis hipotético basado en patrones 2025: enumerar /api/v1/user/{id} y descargar PII completa de miles de usuarios.

BOLA Burp 2025 PII
Lanzar simulación
CVE-2021-27101/02

Accellion FTA

SQLi + Command Injection encadenados sobre un appliance obsoleto. Salud pública comprometida y registros médicos exfiltrados.

SQLi+RCE Healthcare 2021 PHI
Lanzar simulación
SSRF · AWS IMDS

Capital One

SSRF a través de un WAF mal configurado: lectura del servicio de metadatos AWS, robo de credenciales IAM y descarga de buckets S3.

SSRF AWS 2019 106M regs
Lanzar simulación
Volver a ataques

MOVEit Transfer · Inyección SQL (CL0p, 2023)

El grupo CL0p explotó CVE-2023-34362 en MOVEit para volcar bases de datos y desplegar web shells. Pulsa Iniciar y avanza con Siguiente para recorrer cada fase NIST.

stream en vivo

Controles

1.0×

Payload activo

# Esperando inicio de simulacion...

Consola de eventos

Lección defensiva

  • Parchar rápido servicios expuestos: la ventana entre el aviso y la explotación es de días, no meses.
  • WAF con detección SQLi y reglas para payloads como '; DROP TABLE o UNION SELECT.
  • Segmentar el appliance de transferencia del resto de la red corporativa.
  • Monitorizar volcados de base de datos anómalos: tamaño y frecuencia de queries.
  • Pentest WSTG recurrente sobre cualquier formulario, header o cookie que llegue a la BD.
Volver a ataques

Fintech · API IDOR (hipotético, patrones 2025)

Un atacante encuentra Broken Object Level Authorization (OWASP API1:2023) en /api/v1/user/{id} y automatiza la descarga de PII. Reproduce el ataque y observa cómo crece el botín.

tráfico HTTP

Controles

1.0×

Respuesta API

// Inicia la simulacion para ver la respuesta del endpoint

Consola de eventos

Lección defensiva

  • Validación de propiedad en cada endpoint: el token debe estar atado al recurso solicitado.
  • OWASP WSTG-ATHZ-04: prueba de IDOR en cada parámetro numérico/UUID del path.
  • Rate limiting agresivo por token y por IP para frenar enumeración masiva.
  • Logs de acceso correlacionados: alerta si un mismo token consulta cientos de IDs distintos.
  • UUIDs no enumerables en vez de IDs incrementales.
Volver a ataques

Accellion FTA · SQLi + Command Injection (2021)

CL0p encadenó CVE-2021-27101 (SQLi) con CVE-2021-27102 (command injection) sobre un appliance obsoleto del sector salud para obtener una shell remota y exfiltrar historiales clínicos.

appliance FTA 9.12

Controles

1.0×

Payload encadenado

# Cadena SQLi -> command injection

Consola de eventos

Lección defensiva

  • Inventario continuo: detectar software con End-of-Life antes que el atacante.
  • Defensa en profundidad: un appliance no debe ser punto único de ingreso a datos clínicos.
  • Detección de web shells (cambios en directorios web, archivos .jsp/.php no firmados).
  • Logs centralizados y a prueba de borrado local (SIEM con write-once).
  • Cifrado en reposo de PHI: el volcado no debe ser explotable directamente.
Volver a ataques

Capital One · SSRF a AWS Metadata (2019)

Una mala configuración del WAF permitió Server-Side Request Forgery hacia el endpoint 169.254.169.254 del servicio IMDS de AWS, extrayendo credenciales temporales IAM y descargando 700+ buckets S3.

AWS · us-east-1

Controles

1.0×

Petición SSRF

# Esperando inicio...

Consola de eventos

Lección defensiva

  • IMDSv2 obligatorio: requiere token de sesión, bloquea SSRF clásico.
  • Validar destinos en peticiones del servidor: bloquear 169.254.0.0/16, 127.0.0.0/8, 10.0.0.0/8.
  • Least privilege en roles IAM: el rol del WAF no debería leer 700 buckets de PII.
  • GuardDuty / CloudTrail: alertar acceso anómalo a buckets desde IPs externas.
  • Cifrado de objetos S3 con KMS y políticas estrictas.

Las 4 fases del NIST 800-115

La guía NIST 800-115 define una metodología técnica para evaluaciones de seguridad. Todos los ataques reproducidos siguen este patrón cuando se observan desde la perspectiva del adversario.

1 · Planificación

Define objetivos, alcance y reglas de engagement. El atacante elige víctima por valor de datos y madurez de defensa.

2 · Descubrimiento

Reconocimiento activo y pasivo: escaneo, fingerprinting, enumeración de vulnerabilidades en servicios expuestos.

3 · Ataque

Explotación de las vulnerabilidades para ganar acceso, escalar privilegios o establecer persistencia.

4 · Reporte / Exfiltración

El pentester documenta hallazgos; el atacante exfiltra datos, extorsiona y borra rastros.

Plan de Defensa S-SDLC · 4 Sprints Scrum

Por cada fase del NIST 800-115, un sprint de 2 semanas que implementa los controles que habrían detenido los ataques. Tablero Kanban, Definition of Done y velocity en vivo.

Mapeo NIST ↔ S-SDLC ↔ Scrum

Fase NIST 1 PlanificaciónSSDLC: Requisitos + Diseño
Fase NIST 2 DescubrimientoSSDLC: Implementación + Verificación
Fase NIST 3 AtaqueSSDLC: Verificación + Release
Fase NIST 4 ExfiltraciónSSDLC: Operación + Respuesta

Cadencia del programa

Duración por sprint2 semanas
Equipo8 personas · cross-functional
Capacidad media38 SP
CeremoniasPlanning · Daily · Review · Retro

Cómo usar este simulador

  • 1. Elige una brecha de la sección anterior y pulsa Lanzar simulación.
  • 2. Usa Iniciar para reproducción automática, o Siguiente para avanzar paso a paso.
  • 3. Observa los 4 indicadores de fase NIST: se iluminan al entrar y se marcan al completarse.
  • 4. Revisa el panel de Payload activo: muestra el código/petición real usada en cada fase.
  • 5. Lee la consola de eventos para entender la secuencia técnica completa.
  • 6. Al terminar, repasa el cuadro Lección defensiva: qué controles habrían detenido el ataque.