Las empresas se ven obligadas a poner en marcha medidas de seguridad para proteger la privacidad y confidencialidad de la información que manejan. Una de las acciones más comunes es el pentesting o elaboración de test de penetración. ¿En qué consisten y cómo pueden ayudar a tu empresa?
En este artículo hablamos de:
¿Qué es el Pentesting?
El término pentesting surge de la unión de las palabras “penetration” y “testing“. Es una práctica que se emplea habitualmente en ciberseguridad para prevenir fallos y detectar vulnerabilidades.
Un test de penetración consiste someter a un equipo a ataques informáticos de forma voluntaria, con el objetivo de detectar brechas de seguridad y establecer medidas para prevenir ataques externos.
Los ataques de pentesting son realizados por expertos en ciberseguridad y con el conocimiento de la empresa. Por tanto, se considera una forma de hacking legal.
El pentesting puede realizarse tanto en compañías y organizaciones, para poner a prueba sus sistemas, equipos y empleados, como hacer pentesting web, es decir, poner a prueba la ciberseguridad una página web.
Con un mundo cada vez más digitalizado y con mayores riesgos para la seguridad informática y la seguridad de la información, estos test de ciberseguridad se vuelven una herramienta imprescindible para las organizaciones, tanto privadas como públicas, puesto que tienen como fin detectar vulnerabilidades de un sistema para que las organizaciones puedan los peligros a los que se enfrentan en su día a día. Estos ataques organizados sirven para saber cuáles son los fallos de seguridad de la organización y permiten poner en marcha acciones para estar prevenido ante estos riesgos.
Además, también permite mejorar la orientación de la empresa en materia de ciberseguridad. No solo se trata de establecer medidas para eliminar las vulnerabilidades a corto plazo, sino de establecer un plan de seguridad a largo plazo basado en normas y criterios de actuación que deben implantarse en toda la empresa.
Por último, los test de penetración también contribuyen a aumentar la seguridad en las aplicaciones o soluciones que se desarrollen en un futuro. En base a los resultados de los test, los programadores y equipos de IT de la empresa sabrán cómo desarrollar soluciones más seguras y fiables que estén a salvo de estas vulnerabilidades.
Tipos de pentesting
Existen diferentes tipos de pentesting, definidos por la forma en la que se pueden llevar a cabo estas pruebas:
- De caja negra: En el pentesting de caja negra el experto en ciberseguridad no dispone de información alguna acerca del equipo que debe atacar. Se trata de un test realizado a ciegas, y es el método que más se asemeja a la forma de proceder de los ciberdelincuentes.
- De caja blanca: El pentesting de caja blanca es aquel en el que se dispone de toda la información acerca del sistema a atacar. Suele ser el más completo, ya que se realiza un análisis integral de todo el sistema basándose en la información proporcionada. Habitualmente, este tipo de pentesting es realizado por los propios equipos IT de la empresa.
- De caja gris: Por su parte, el pentesting de caja gris es una mezcla de los dos anteriores. Los encargados de atacar el equipo solo tienen cierta información acerca del sistema, por lo que deberán invertir tiempo en encontrar vulnerabilidades en base a la información aportada.
Auditoría de pentesting (fases)
Ahora que ya sabemos qué es el pentesting y qué tipos hay, veamos cómo se desarrolla el proceso de una auditoría de pentesting, que se divide en cuatro fases diferentes.
Cabe señalar que para que un análisis de penetración resulte satisfactorio es necesario pasar por todas las etapas que vamos a describir a continuación.
Auditoría
En esta primera fase el pentester evalúa los datos que tiene del sistema y el tipo de análisis que debe realizar. Normalmente, estas dos variables son proporcionadas por el cliente que solicita la prueba.
Reunión de información
En este punto el pentester debe recabar información sobre el equipo u otras variables que puedan afectar a la seguridad del sistema, por ejemplo, la forma de proceder de los empleados o el número de equipos conectados. Gracias a esta información empezará a entender qué tipo de acciones debe realizar, por ejemplo ataques DDoS, uso de exploits, etc.
Atacar el equipo
Esta es una de las fases más importantes. En ella el pentester utiliza diferentes métodos de ataque para detectar vulnerabilidades y brechas de seguridad en el sistema. Durante esta fase, el experto en ciberseguridad debe tener acceso constante al sistema que debe atacar.
Elaboración de informes
El último paso es la elaboración de un informe en el que se detallen los objetivos atacados, los fallos de seguridad detectados y las acciones a realizar para prevenirlos o minimizarlos.
El contrato de pentesting
Ya hemos visto cómo hacer pentesting por parte del experto en ciberseguridad. Pero, ¿debe la empresa tomar alguna precaución?
La respuesta es sí.
Ten en cuenta que un test de penetración es un servicio, y como tal, debería existir un contrato entre la empresa y el pentester o equipo de pentesters (siempre que este servicio se externalice).
Hay que tener en cuenta que el auditor de seguridad va a realizar acciones que podrían poner en riesgo los equipos informáticos, y que son susceptibles de exponer información confidencial o privada de la empresa.
Por tanto, para acceder a los equipos y realizar un test de penetración es necesario elaborar un contrato de pentesting en el que se obtenga autorización expresa e inequívoca del titular para realizar el test. Cualquier acción de este tipo sin la autorización pertinente estaría incurriendo en una conducta delictiva.
El contrato de pentesting deberá dejar claras una serie de limitaciones a la labor del pentester:
- La imposibilidad de utilizar a su favor o en contra de la empresa las brechas de seguridad detectadas o la información confidencial a la que se haya tenido acceso como resultado de las pruebas.
- La obligación de destruir toda aquella información que no sea imprescindible para la realización de la prueba de penetración.
- El compromiso de no divulgar ningún tipo de información a la que se ha tenido acceso.
Asimismo, el contrato entre pentester y empresa deberá incluir otras cláusulas en las que se indique:
- Las autorizaciones que la empresa otorga al auditor de ciberseguridad.
- La información que está disponible para la realización del test.
- Las técnicas que el pentester empleará para atacar el sistema informático.
- El tratamiento de la información obtenida, especialmente de los datos confidenciales.
Además, si durante la prueba de pentesting, el auditor va a tener acceso a datos personales que puedan estar almacenados o en uso en los sistemas analizados, la empresa u organización deberá formalizar con él un contrato de encargado de tratamiento.
Herramientas para pentesting de redes
Existen numerosas herramientas de pentesting que se utilizan para la detección de vulnerabilidades y fallos de seguridad. Te decimos cuáles son algunas de las más conocidas.
FOCA: La herramienta de pentesting FOCA se denomina a sí misma como un instrumento pensado por pentesters que hacen pentesting. Gracias a ello cuenta con un gran número de opciones imprescindibles a la hora de hacer auditorías de seguridad. Hace uso de la información facilitada por las fuentes OSINT, es decir, aquellas fuentes abiertas que están disponibles públicamente.
Kali Linux: Es una distribución basada en Linux que incluye más de 300 herramientas con las que realizar pruebas de penetración. Sin duda es una de las más completas del mercado y es usada por un gran número de expertos en ciberseguridad.
NMap: Es una de las soluciones de hacking ético más veteranas y conocidas. Permite escanear los puertos de un servidor en busca de brechas de seguridad. Muchos expertos en ciberseguridad la utilizan para conocer las fallas de seguridad pública en las empresas.
Metasploit: Metasploit no solo es eficaz para la detección de vulnerabilidades, sino que su auténtico poder se muestra a la hora de conocer el verdadero alcance de las brechas de seguridad y para establecer medidas para subsanarlas.
Nessus: Esta herramienta destaca por su gran sencillez y por la facilidad para comprender su interfaz. Gracias a ello es una de las más recomendables para aquellos que quieran iniciarse en el pentesting. Otra de sus grandes ventajas es que permite probar vulnerabilidades sin establecer ningún parámetro, por lo que es ideal para principiantes en temas de ciberseguridad.
Esto es todo por nuestra parte. Si necesitas más ayuda relacionada con la ciberseguridad de tu empresa, tenemos otros artículos que pueden interesarte, por ejemplo, con información sobre la oficina de seguridad del internauta.