Comandos de Terra Security
Descripción general
Terra Security es una plataforma de seguridad ofensiva agentica que combina pentesters humanos con agentes de IA para agilizar las pruebas de penetración y evaluaciones de vulnerabilidades. La plataforma lanzó Terra Portal en marzo de 2026 y recaudó $30M en financiación Serie A de Felicis, estableciéndose como líder en pruebas de seguridad impulsadas por IA.
Características clave
- Agentes de IA Ambiente: Reconocimiento autónomo, escaneo de vulnerabilidades y validación de explotación
- Agentes de IA Copilot: Explotación controlada dirigida por humanos con guía en tiempo real
- Gobernanza humana en el bucle: Controles de seguridad que garantizan pruebas responsables dentro del alcance definido
- Informes automatizados: Documentación completa de vulnerabilidades con orientación de remediación
- Integración empresarial: Pipelines CI/CD, sistemas de tickets, plataformas SIEM
Arquitectura de plataforma
Terra Portal (aplicación de escritorio/web)
├── Consola de gestión de agentes
├── Configuración de alcance e flujo de trabajo
├── Panel de monitoreo en tiempo real
├── Motor de informes de vulnerabilidades
└── Centro de integraciónConfiguración de Terra Portal
Instalación
Aplicación de escritorio
| Paso | Acción |
|---|---|
| 1 | Descargar Terra Portal desde terra.security |
| 2 | Ejecutar instalador (Windows/macOS/Linux) |
| 3 | Aceptar permisos de seguridad para acceso de red a nivel de sistema |
| 4 | Lanzar y autenticar con credenciales organizacionales |
| 5 | Configurar parámetros de proxy si es necesario |
Consola basada en web
Acceso mediante: https://portal.terra.security
Autenticación: SSO/OAuth o token de API
Requisitos: Navegador moderno (Chrome, Firefox, Safari, Edge)Configuración inicial
| Configuración | Descripción |
|---|---|
| Configuración de organización | Crear/unirse a organización, configurar permisos de administrador |
| Credenciales de API | Generar tokens de autenticación para acceso CI/CD y API |
| Configuración de red | Definir redes internas, configuración de proxy, requisitos de VPN |
| Preferencias de notificaciones | Alertas por correo electrónico, Slack, webhooks para actividad y hallazgos de agentes |
| Configuración predeterminada de agentes | Configuración base para instancias de agentes Ambiente y Copilot |
| Marco de cumplimiento | Seleccionar estándares aplicables (OWASP, PTES, NIST) |
Métodos de autenticación
# Autenticación de token de API
Authorization: Bearer YOUR_API_TOKEN
X-Organization-ID: org_xxxxx
# Integración SSO
Proveedor: Okta, Azure AD, Google Workspace
Aprovisionamiento automático: Habilitado/Deshabilitado
# Cuentas de servicio
Para CI/CD: Crear cuenta de servicio con permisos limitados
Rotación de tokens: Intervalo predeterminado de 90 díasTipos de agentes
Agentes de IA Ambiente
Agentes autónomos que operan dentro de parámetros de alcance y profundidad definidos para evaluar continuamente la posición de seguridad.
| Tipo de agente | Capacidades |
|---|---|
| Agente de descubrimiento de activos | Reconocimiento de red, catalogación de inventario, identificación de servicios |
| Agente de revisión de código | Análisis estático, escaneo de dependencias, detección de secretos |
| Agente de generación de casos de prueba | Creación automática de escenarios de prueba basados en activos descubiertos |
| Agente de análisis de alcanzabilidad | Mapeo de rutas de red, análisis de reglas de firewall, validación de control de acceso |
| Agente de pruebas de penetración autónomo | Escaneo de vulnerabilidades, intentos de explotación, validación de impacto |
| Agente de documentación | Recopilación de evidencia, validación de hallazgos, generación de informes |
| Agente de remediación | Recomendaciones de configuración, orientación de parches, sugerencias de controles |
Ejemplo de configuración
Configuración de agente ambiente:
Descubrimiento de activos:
habilitado: true
frecuencia_escaneo: daily
alcance: internal_networks_only
incluir_cloud: true
Revisión de código:
habilitado: true
repositorios: auto_discover
escanear_pull_requests: true
detección_secretos: strict
Pruebas de penetración autónomas:
habilitado: true
nivel_profundidad: 3
impacto_máximo: "informational"
revertir_cambios: true
umbral_aprobación_humana: criticalAgentes de IA Copilot
Agentes dirigidos por humanos que proporcionan asistencia en tiempo real durante la explotación controlada y las pruebas manuales.
| Función de Copilot | Caso de uso |
|---|---|
| Guía de explotación | Asistencia paso a paso para flujos de trabajo de explotación manual |
| Interpretación de vulnerabilidades | Explicar hallazgos, evaluación de impacto, requisitos previos de explotación |
| Planificación de remediación | Generar estrategias de corrección, recomendaciones de parches, opciones de soluciones alternativas |
| Documentación de evidencia | Captura automatizada de pantalla/log, validación de hallazgos |
| Asistencia de informes | Generación de informes en tiempo real, creación de resumen ejecutivo |
Flujo de trabajo de interacción de Copilot
1. Pentester identifica vulnerabilidad
↓
2. Invocar Copilot: "/assist vuln_id"
↓
3. Copilot analiza contexto:
- Detalles de vulnerabilidad
- Configuración del sistema
- Datos históricos
↓
4. Proporciona recomendaciones:
- Pasos de explotación
- Herramientas/cargas necesarias
- Evaluación de riesgos
↓
5. Pentester ejecuta con guía
↓
6. Copilot documenta hallazgos automáticamenteConfiguración del flujo de trabajo
Definición de alcance
Define los límites y objetivos para la actividad del agente.
| Configuración | Opciones |
|---|---|
| Alcance de activo | Rangos de IP, nombres de host, dominios, cuentas de nube, APIs |
| Alcance de tecnología | Aplicaciones web, APIs, infraestructura, servicios de nube, móvil |
| Exclusiones | Bases de datos de producción, PII de clientes, sistemas de terceros |
| Etiquetado de entorno | Dev, Staging, Producción, Interno, Externo |
| Alcance regulatorio | Requisitos de cumplimiento de PCI-DSS, HIPAA, SOC2, GDPR |
Controles de profundidad e intensidad
| Control | Propósito | Niveles |
|---|---|---|
| Profundidad de reconocimiento | Qué tan exhaustivamente descubren activos los agentes | 1-5 (1=superficial, 5=exhaustivo) |
| Profundidad de explotación | Qué tan profundamente intentan explotar vulnerabilidades los agentes | 1-5 (1=solo detección, 5=compromiso total) |
| Intensidad/velocidad | Carga de consulta y frecuencia de prueba | Baja, Media, Alta, Personalizada |
| Ventanas de tiempo | Cuándo operan los agentes | Siempre, Horas comerciales, Horario personalizado |
| Agentes concurrentes | Máximo de instancias de agente simultáneas | 1-50+ por tipo de agente |
Controles de impacto
Mecanismos de gobernanza para garantizar pruebas responsables.
| Control | Configuración |
|---|---|
| Revertir cambios automáticamente | Reversión automática de modificaciones (habilitada de forma predeterminada) |
| Umbral de impacto | Máxima disrupción permitida (info, baja, media, alta) |
| Puerta de aprobación humana | Requerir aprobación para acciones de impacto crítico |
| Escalada automática | Alertar a administradores si el impacto excede el umbral |
| Límites de recursos | Límites de CPU/memoria/ancho de banda para actividad de agente |
| Ventana de reversión | Tiempo para reversión manual antes de reversión automática |
Plantillas de flujo de trabajo
Flujo de trabajo: Evaluación continua
Horario: Diariamente (02:00 UTC)
Agentes:
- ambient.asset_discovery (profundidad: 3)
- ambient.code_review (profundidad: 4)
- ambient.vulnerability_scanning (profundidad: 2)
Alcance: internal_networks
Impacto: bajo
Aprobación: automatizada
Flujo de trabajo: Prueba de penetración trimestral
Horario: Trimestral
Agentes:
- ambient.asset_discovery (profundidad: 5)
- ambient.autonomous_pentesting (profundidad: 4)
- copilot.exploitation (profundidad: 4)
Alcance: all_production_systems
Impacto: medio
Aprobación: requerida_humana
Duración: 2 semanas
Flujo de trabajo: Respuesta a incidentes
Disparador: manual
Agentes:
- ambient.reachability_analysis
- ambient.autonomous_pentesting (profundidad: 4)
- copilot.exploitation
Alcance: affected_systems
Impacto: alto (con aprobación)
Aprobación: requerida_humanaCaracterísticas de reconocimiento
Descubrimiento automático de activos
Los agentes de IA catálogán automáticamente los activos organizacionales y superficies de ataque.
| Método de descubrimiento | Cobertura |
|---|---|
| Escaneo de red | Análisis de rango CIDR, enumeración de servicios, huellas digitales de SO |
| Enumeración de DNS | Descubrimiento de subdominio, análisis de registros DNS, transferencias de zona |
| Enumeración de API de nube | Descubrimiento de cuentas AWS, Azure, GCP y mapeo de servicios |
| Rastreo web | Representación de JavaScript, descubrimiento de puntos finales ocultos, identificación de formularios |
| Transparencia de certificados | Descubrimiento de dominio histórico, seguimiento de certificados SSL/TLS |
| Análisis WHOIS/ASN | Propiedad de IP, mapeo de sistema autónomo, análisis geográfico |
| Escaneo de puertos | Puertos TCP/UDP, identificación de servicios, detección de versión |
Mapeo de superficie de ataque
Jerarquía de salida de descubrimiento:
Organización
├── Redes
│ ├── Redes internas
│ │ ├── Subredes
│ │ │ ├── Hosts
│ │ │ │ ├── Servicios (HTTP, SSH, DB, etc.)
│ │ │ │ │ ├── Puntos finales
│ │ │ │ │ └── Tecnologías
│ │ │ │ └── Vulnerabilidades
│ │ │ └── Relaciones
│ │ └── Reglas de firewall
│ └── Redes externas
├── Recursos de nube
│ ├── Cuentas AWS
│ ├── Suscripciones Azure
│ ├── Proyectos GCP
│ └── Almacenamiento en nube
├── Aplicaciones web
│ ├── Puntos finales
│ ├── Métodos de autenticación
│ ├── APIs
│ └── Integraciones de terceros
├── Repositorios de código
│ ├── Repos internos
│ ├── Exposición pública
│ └── Inventario de dependencias
└── Integraciones de terceros
├── Aplicaciones SaaS
├── Conexiones de API
└── Flujos de datosGestión de inventario de activos
| Característica | Descripción |
|---|---|
| Etiquetado automático | IA categoriza activos por tipo, criticidad, nivel de exposición |
| Mapeo de relaciones | Conecta activos mostrando flujos de datos y dependencias |
| Seguimiento de cambios | Detecta activos nuevos, activos eliminados, cambios de configuración |
| Puntuación de riesgo | Asigna riesgo basado en exposición, vulnerabilidades, criticidad |
| Seguimiento histórico | Mantiene historial de descubrimiento para análisis de tendencias |
| Capacidades de exportación | Formatos CSV, JSON, XLSX para herramientas externas |
Evaluación de vulnerabilidades
Escaneo impulsado por IA
Identificación inteligente de vulnerabilidades que combina múltiples métodos de detección.
| Tipo de escaneo | Descripción |
|---|---|
| Escaneo basado en patrones | Firmas de vulnerabilidades conocidas (bases de datos CVSS, CWE) |
| Análisis de comportamiento | Detección de configuración anómala, brechas de controles de seguridad |
| Escaneo de dependencias | Detección de vulnerabilidades de librería/paquete con análisis de cadena de suministro |
| Detección de secretos | Claves de API, credenciales, tokens en código y configuración |
| Auditoría de configuración | Validación de cumplimiento de mejores prácticas de seguridad |
| Revisión de controles de acceso | Permisos excesivos, acceso no utilizado, violaciones de segregación |
| Análisis de criptografía | Algoritmos débiles, problemas de validación de certificados, brechas de cifrado |
Priorización de vulnerabilidades
Los agentes de IA priorizan automáticamente los hallazgos en función de:
Puntuación de prioridad = (CVSS × Explotabilidad) × Accesibilidad × Impacto empresarial
Factores:
- Puntuación base CVSS 3.1
- Explotabilidad:
* Requiere acceso de red
* Requiere interacción del usuario
* Requiere autenticación
* Complejidad del ataque
- Accesibilidad:
* Exposición externa
* Accesibilidad interna
* Acceso directo/indirecto
- Impacto empresarial:
* Exposición de PII
* Criticidad del sistema
* Impacto en ingresos
* Violación de cumplimiento
Salida: Crítico → Alto → Medio → Bajo → InformacionalCategorización de vulnerabilidades
| Categoría | Ejemplos |
|---|---|
| Autenticación | Credenciales predeterminadas, autenticación débil, fallos de gestión de sesión |
| Autorización | Escalada de privilegios, referencias inseguras directas a objetos, control de acceso roto |
| Fallos de inyección | Inyección SQL, inyección de comandos, inyección LDAP, inyección de plantilla |
| Exposición de datos sensibles | Datos sin cifrar, cifrado inadecuado, fuga de datos, exposición de PII |
| XML/Entidades externas | Ataques XXE, billion laughs, inyección de entidades externas |
| Control de acceso roto | Referencias inseguras diras a objetos, falta de control de acceso, traversal de rutas |
| Configuración de seguridad incorrecta | Configuración predeterminada, servicios innecesarios, mensajes de error detallados |
| Deserialización insegura | Inyección de objetos, gadget chains, ataques de deserialización |
| Uso de componentes con vulnerabilidades conocidas | Librerías obsoletas, dependencias sin parches |
| Logging insuficiente | Pistas de auditoría faltantes, monitoreo inadecuado, alertas pobres |
Flujos de trabajo de explotación
Explotación gobernada por humanos
Todas las actividades de explotación mantienen supervisión y control humanos.
Flujo de trabajo de explotación
1. Fase de descubrimiento
- Agentes identifican vulnerabilidad
- Evalúan explotabilidad
- Determinan requisitos previos
↓
2. Fase de planificación
- Generar estrategia de explotación
- Estimar impacto
- Identificar pasos de reversión
↓
3. Puerta de aprobación
- Si impacto crítico: requiere aprobación humana
- Si impacto medio: aprobación automática con notificación
- Si impacto bajo: aprobación automática
↓
4. Fase de ejecución
- Ejecutar pasos de explotación
- Monitorear comportamiento inesperado
- Capturar evidencia
↓
5. Fase de validación
- Confirmar explotación exitosa
- Documentar impacto
- Identificar oportunidades de movimiento lateral
↓
6. Fase de reversión
- Ejecutar pasos de reversión pre-planificados
- Verificar restauración del sistema
- Limpiar artefactos
↓
7. Fase de documentación
- Generar informe de hallazgos
- Documentar prueba de concepto
- Crear recomendaciones de remediaciónControles de seguridad durante la explotación
| Control | Función |
|---|---|
| Validación previa a la ejecución | Verificar que el objetivo esté en alcance antes de cualquier acción |
| Modo de ejecución en seco | Ejecutar lógica de explotación sin impacto real |
| Planificación de reversión | Pre-planificar y validar pasos de reversión antes de la ejecución |
| Monitoreo en tiempo real | Ver salud del sistema durante la explotación |
| Halt automático | Detener si se detectan condiciones inesperadas |
| Throttling de recursos | Limitar consumo de CPU/red/memoria |
| Límites de tiempo | Terminación automática después del umbral de duración |
| Logging de cambios | Pista de auditoría de todas las modificaciones |
| Modo aislamiento | Opcional: aislar objetivo durante pruebas |
Capacidades de explotación
| Tipo | Descripción |
|---|---|
| Prueba de credencial | Intentos de credencial predeterminada, fuerza bruta con controles |
| Explotación de vulnerabilidad conocida | Exploits basados en CVE con rutas de éxito probadas |
| Explotación de flujo de lógica | Fallos de lógica empresarial, manipulación de flujo de trabajo |
| Movimiento lateral | Movimiento posterior al compromiso con controles de alcance |
| Escalada de privilegios | Escalada a nivel de SO/local con validación de permisos |
| Validación de exfiltración de datos | Acceso a datos simulado sin extracción real |
| Prueba de mecanismo de persistencia | Validación de colocación de backdoor con eliminación automática |
Informes
Informes automatizados de vulnerabilidades
Terra Security genera informes completos automáticamente durante las pruebas.
Componentes del informe
| Sección | Contenidos |
|---|---|
| Resumen ejecutivo | Hallazgos clave, descripción general de riesgo, cronograma de remediación |
| Detalles de vulnerabilidad | ID de hallazgo, título, severidad, CVSS, descripción, evidencia |
| Prueba de concepto | Recorrido de explotación paso a paso, capturas de pantalla, registros |
| Evaluación de impacto | Impacto empresarial, exposición de datos, alcance de compromiso del sistema |
| Guía de remediación | Recomendaciones de corrección priorizadas, guía de parches, soluciones alternativas |
| Mapeo de cumplimiento | Vincular hallazgos a estándares (OWASP, PTES, NIST, PCI-DSS) |
| Cronograma y métricas | Duración de prueba, estadísticas de cobertura, detalles de alcance |
| Resumen de gestión | Cronograma de riesgo, tendencia de vulnerabilidad, panel de métricas |
Personalización de informe
Configuración de plantilla de informe:
Formatos de salida:
- PDF: Variantes ejecutiva, detallada o técnica
- HTML: Versión interactiva y compartible
- JSON: Integración de API, automatización de tickets
- CSV: Importación masiva a herramientas
Opciones de personalización:
marca: organization_logo
secciones:
- incluir_evidencia: true
- incluir_cronograma: true
- incluir_remediacion: true
- incluir_cumplimiento: true
destinatarios:
- ciso@company.com
- security-team@company.com
horario:
- diariamente: summary_report
- semanalmente: comprehensive_report
- en_critico: immediate_alertGestión del ciclo de vida de hallazgos
| Estado | Descripción |
|---|---|
| Abierto | Nuevo hallazgo, aún no abordado |
| Reconocido | Organización confirmó recepción y evaluó |
| En progreso | Esfuerzo de remediación en curso |
| Resuelto | Corrección aplicada y validada |
| Falso positivo | Hallazgo determinado como inválido, razonamiento documentado |
| Riesgo aceptado | Decisión empresarial de aceptar riesgo, aprobado |
| Diferido | Aceptado pero no priorizado para cronograma actual |
Integración
Integración de pipeline CI/CD
Incrustar pruebas de Terra Security en flujos de trabajo de desarrollo.
# Ejemplo de GitLab CI
security_scan:
stage: test
script:
- terra-cli scan \
--workflow continuous \
--scope repository \
--report-format json \
--output artifacts/terra-report.json
artifacts:
reports:
sast: artifacts/terra-report.json
paths:
- artifacts/terra-report.json
expire_in: 30 days
# Ejemplo de GitHub Actions
name: Terra Security Scan
on: [pull_request, push]
jobs:
security:
runs-on: ubuntu-latest
steps:
- uses: actions/checkout@v3
- name: Terra Security Scan
env:
TERRA_API_KEY: ${{ secrets.TERRA_API_KEY }}
run: |
terra-cli scan \
--scope ./src \
--depth 3 \
--fail-on criticalIntegración de sistema de tickets
Crear y gestionar automáticamente hallazgos de seguridad en rastreadores de problemas.
| Integración | Características |
|---|---|
| Jira | Auto-crear problemas, asignar a equipos, establecer prioridad, vincular a épicas |
| Azure DevOps | Crear elementos de trabajo, integrar con backlogs, rastrear remediación |
| GitHub Issues | Crear problemas, vincular a PRs, rastrear resolución |
| Linear | Crear problemas con campos personalizados, vincular a proyectos |
| ServiceNow | Crear incidentes/solicitudes de cambio, flujo de trabajo de gestión de incidentes |
| Slack | Notificaciones en tiempo real, resúmenes de hallazgos, seguimiento de remediación |
Integración de SIEM y monitoreo
| Plataforma | Tipo de integración |
|---|---|
| Splunk | Ingerir registros de hallazgos, crear búsquedas, alertas, paneles |
| ELK Stack | Alimentar a Elasticsearch para análisis y visualización |
| Datadog | Exportación de métricas, correlación de APM, alertas |
| New Relic | Datos de seguridad de aplicaciones, seguimiento de vulnerabilidades |
| Prometheus | Exportación de métricas para paneles de seguridad |
| CloudWatch | Integración de AWS, streaming de registros, publicación de métricas |
Controles de seguridad
Aplicación de alcance
Prevenir pruebas fuera de límites autorizados.
Aplicación de alcance:
Alcance de red:
rangos_permitidos:
- 10.0.0.0/8
- 192.168.1.0/24
rangos_bloqueados:
- 0.0.0.0/0
aplicación: strict
Alcance de activo:
activos_permitidos:
- etiqueta: testing_approved
- etiqueta: staging_only
activos_bloqueados:
- etiqueta: production
- etiqueta: customer_data
- nombre_host: "*prod*"
aplicación: strict
Alcance de aplicación:
aplicaciones_permitidas:
- internal_web_apps
- staging_environments
aplicaciones_bloqueadas:
- production_databases
- customer_data_stores
aplicación: strictLimitación de profundidad
Controlar qué tan profundamente operan los agentes.
| Nivel de profundidad | Reconocimiento | Explotación | Alcance |
|---|---|---|---|
| 1 - Ligero | Descubrimiento básico, sin escaneo intrusivo | Solo detección | Activos pre-aprobados |
| 2 - Estándar | Escaneo activo, identificación de vulnerabilidad | Intentos de explotación segura | Alcance de prueba estándar |
| 3 - Moderado | Enumeración detallada, revisión de configuración | Movimiento lateral limitado | Alcance extendido con aprobación |
| 4 - Avanzado | Mapeo completo, análisis de dependencia | Explotación avanzada, pruebas limitadas de persistencia | Alcance total con supervisión |
| 5 - Exhaustivo | Reconocimiento completo, todas las técnicas disponibles | Explotación total, actividades posteriores al compromiso | Alcance máximo con aprobación humana |
Controles de impacto
Prevenir daño no intencional.
Umbrales de control de impacto:
Límites de severidad:
informational: auto_approved
low: auto_approved
medium: auto_approved_with_monitoring
high: human_approval_required
critical: human_approval_required_escalated
Límites de impacto del sistema:
cpu_threshold: 50%
memory_threshold: 75%
network_bandwidth: 50% capacity
availability_impact: none_allowed
Límites de impacto de datos:
no_data_exfiltration: enforced
no_permanent_changes: enforced_with_rollback
no_credential_capture: enforced
audit_logging: always_enabledGobernanza humana en el bucle
Supervisión humana en puntos críticos de decisión.
| Disparador | Aprobación requerida | Cronograma |
|---|---|---|
| Descubrimiento de vulnerabilidad crítica | Líder del equipo de seguridad | 2 horas |
| Explotación de alto impacto | CISO o delegado autorizado | 4 horas |
| Actividad fuera de alcance detectada | Halt inmediato, revisión de seguridad | N/A |
| Comportamiento inesperado | Agente suspendido, investigación manual | N/A |
| Intento de acceso a datos | Bloqueado, escalada inmediata | N/A |
| Prueba de sistema de producción | Equipo de seguridad + infraestructura | Aviso de 24 horas |
Logging de auditoría y cumplimiento
Pista de auditoría completa para cumplimiento e investigación.
| Tipo de registro | Contenidos | Retención |
|---|---|---|
| Acciones de agente | Cada acción tomada, marca de tiempo, resultado, usuario | 2 años |
| Cambios de hallazgo | Cambios de estado, asignaciones, comentarios | 3 años |
| Decisiones de aprobación | Quién aprobó qué, cuándo, justificación | 3 años |
| Violaciones de alcance | Actividades bloqueadas, intentos fuera de alcance | 2 años |
| Cambios del sistema | Modificaciones realizadas durante pruebas, registros de reversión | 1 año |
| Registros de acceso | Acceso a portal, llamadas de API, actividad del usuario | 1 año |
Uso de API y CLI
Autenticación
# Establecer token de API
export TERRA_API_KEY="tk_your_api_token_here"
export TERRA_ORG_ID="org_xxxxx"
# O en archivo de configuración
~/.terra/config.yaml:
api_key: tk_xxxxx
org_id: org_xxxxx
api_endpoint: https://api.terra.securityComandos CLI (patrones comunes)
# Listar activos
terra-cli assets list \
--scope all \
--format json
# Iniciar flujo de trabajo de escaneo
terra-cli scan start \
--workflow continuous \
--target 10.0.0.0/24 \
--depth 3 \
--agents asset-discovery,code-review
# Verificar estado de escaneo
terra-cli scan status \
--scan-id scan_xxxxx
# Obtener hallazgos
terra-cli findings list \
--scan-id scan_xxxxx \
--severity critical,high \
--format json
# Generar informe
terra-cli report generate \
--scan-id scan_xxxxx \
--template comprehensive \
--format pdf \
--output findings_report.pdf
# Aprobar explotación
terra-cli exploit approve \
--finding-id vuln_xxxxx \
--justification "Production test window authorized"
# Gestionar alcance
terra-cli scope update \
--add-asset tag=testing_approved \
--remove-range 192.168.1.0/24
# Ver registros de agente
terra-cli logs \
--agent-id agent_xxxxx \
--level debugPuntos finales de API (RESTful)
# Autenticación
POST /api/v1/auth/token
Solicitud: {"api_key": "..."}
Respuesta: {"access_token": "...", "expires_in": 3600}
# Listar vulnerabilidades
GET /api/v1/findings?severity=critical&status=open
Encabezados: Authorization: Bearer {token}
# Crear escaneo
POST /api/v1/scans
Cuerpo: {"workflow": "continuous", "scope_id": "...", "depth": 3}
# Actualizar estado de hallazgo
PATCH /api/v1/findings/{finding_id}
Cuerpo: {"status": "in_progress", "assigned_to": "user_id"}
# Aprobar explotación
POST /api/v1/findings/{finding_id}/approve-exploit
Cuerpo: {"justification": "...", "approved_by": "user_id"}
# Generar informe
POST /api/v1/scans/{scan_id}/report
Cuerpo: {"template": "comprehensive", "format": "pdf"}
# Flujo de eventos de agente (WebSocket)
WS /api/v1/agents/{agent_id}/events
Flujo: {"event": "action", "action": "...", "timestamp": "..."}Mejores prácticas para pruebas de penetración agentica
Planificación y preparación
-
Definir alcance claro
- Documentar rangos IP exactos, dominios y activos
- Enumerar exclusiones explícitas (BDs de producción, datos de clientes)
- Especificar ventanas de prueba y limitaciones
- Obtener autorización escrita antes de pruebas
-
Configurar comportamiento de agente
- Establecer niveles de profundidad apropiados para objetivos
- Habilitar controles de impacto y mecanismos de reversión
- Configurar ventanas de tiempo para evitar uso pico
- Empezar conservador, aumentar profundidad gradualmente
-
Establecer gobernanza
- Definir criterios de aprobación y responsables de decisiones
- Configurar procedimientos de escalada
- Configurar monitoreo y alertas
- Documentar procedimientos de respuesta a incidentes
Ejecución
-
Empezar poco
- Comenzar con agentes de descubrimiento de activos en modo de baja profundidad
- Validar que la aplicación de alcance funciona
- Revisar calidad de hallazgos y tasa de falsos positivos
- Construir confianza antes de pruebas más profundas
-
Monitorear continuamente
- Ver paneles de agentes en tiempo real
- Revisar hallazgos conforme se descubren
- Validar que los agentes permanezcan dentro del alcance
- Responder inmediatamente a anomalías
-
Aprovechar Copilots
- Usar agentes Copilot para explotación compleja
- Documentar orientación y recomendaciones
- Capturar evidencia sistemáticamente
- Validar hallazgos antes de cerrar
-
Gestionar hallazgos
- Priorizar por impacto empresarial, no solo severidad
- Vincular a contexto empresarial y tolerancia de riesgo
- Coordinar con equipos de desarrollo
- Rastrear progreso de remediación
Posterior a las pruebas
-
Informes completos
- Generar informes en niveles de detalle apropiados
- Personalizar para diferentes partes interesadas
- Incluir orientación de remediación accionable
- Programar distribución de informe
-
Seguimiento de remediación
- Monitorear cambios de estado de hallazgo
- Re-probar hallazgos críticos después de correcciones
- Validar controles compensadores si corrección permanente retrasada
- Documentar decisiones de aceptación de riesgo
-
Mejora continua
- Analizar tasa de falsos positivos de agente
- Ajustar configuraciones basadas en resultados
- Aumentar automatización dónde sea estable
- Mantener supervisión humana para decisiones complejas
- Compartir aprendizajes con equipos de desarrollo
Consideraciones de seguridad
-
Proteger credenciales de acceso
- Almacenar claves de API en bóvedas seguras
- Rotar credenciales regularmente
- Limitar alcance de tokens a permisos necesarios
- Auditar uso de clave de API
-
Mantener pistas de auditoría
- Habilitar logging completo
- Archivar registros para retención de cumplimiento
- Revisar registros periódicamente para anomalías
- Integrar con SIEM para correlación
-
Respuesta a incidentes
- Tener procedimientos de reversión para todos los cambios
- Documentar comportamientos inesperados
- Mantener información de contacto para halt de emergencia
- Briefing de equipos de respuesta a incidentes sobre capacidades de agente
Recursos
Documentación y comunidad oficial
| Recurso | URL |
|---|---|
| Sitio web de Terra Security | https://terra.security |
| Portal de documentación | https://docs.terra.security |
| Referencia de API | https://api.terra.security/docs |
| Foro comunitario | https://community.terra.security |
| Integración GitHub | https://github.com/terra-security |
Aprendizaje y certificaciones
| Programa | Descripción |
|---|---|
| Pentester agentico certificado | Certificación oficial para competencia en plataforma Terra Security |
| Configuración de agente | Módulo de capacitación para configuración de flujo de trabajo y agente |
| Gobernanza de explotación | Mejores prácticas para pruebas con humanos en el bucle |
| Patrones de integración | Capacitación de integración CI/CD, tickets y SIEM |
Blog y artículos
- “IA agentica en seguridad: El futuro de las pruebas de penetración” - Blog de Terra Security
- “Balanceando automatización con supervisión humana en pruebas de seguridad” - SANS Institute
- “De manual a autónomo: Escalando pruebas de seguridad” - Revista InfoSec
Tecnologías relacionadas
- Guía de pruebas OWASP - https://owasp.org/www-project-web-security-testing-guide
- PTES Estándar de ejecución de pruebas de penetración - https://www.pentest-standard.org
- Marco de ciberseguridad NIST - https://www.nist.gov/cyberframework
- Puntuación CVSS - https://www.first.org/cvss
Última actualización: 30 de marzo de 2026 Plataforma: Terra Security Portal v2.0+ Enfoque: Pruebas de penetración agentica de IA con gobernanza humana Nivel de habilidad: Avanzado