En un mundo digital atravesado por los datos, la ciberseguridad en México se ha vuelto fundamental para las organizaciones. Y en ese contexto fue que el pentest cobró una mayor relevancia. A continuación explicamos en qué consiste y todo lo que se debe saber al respecto.
Cuando nos referimos a pruebas de pentest, hablamos de un ejercicio de ciberseguridad que tiene por objetivo encontrar las vulnerabilidades de un sistema informático. En otras palabras, podemos decir que se trata de ataques simulados realizados por hackers éticos en pos de identificar los puntos débiles de la seguridad de una organización. Al finalizarlos, lo ideal es que se trabaje sobre esos puntos vulnerables para evitar recibir ataques.
La historia del pentest
Cuando hablamos de pruebas de penetración, nos referimos a una tarea llevada a cabo por expertos informáticos, quienes son capaces de introducirse en un sistema digital determinado a través de los puntos vulnerables que este pueda llegar a tener.
El origen del pentest se remonta a los años 60’, cuando el mundo de las organizaciones recién comenzaba a conocer las amenaza de los ataques informáticos. Pero lo cierto es que para ese entonces solo lo llevaban a cabo organizaciones militares y gubernamentales con el fin de defender su información clasificada o detectar ataques terroristas.
Lógicamente, entrada la década del 90’, el pentesting se volvió usual entre los propietarios de sistemas informáticos de cualquier organización. Esto se debió al exponencial crecimiento del mundo digital y la importancia que fueron adquiriendo los datos.
Para ese entonces, el pentesting fue denominado como Hacking Ético, pues se trataba de un grupo de hackers que formaban parte del ‘lado bueno’ de la seguridad informática. Al día de hoy, las pruebas de penetración son esenciales para proteger los sistemas de cualquier organización debido a que permiten mantenerlos actualizados y evitar vulnerabilidades que puedan derivar en grandes pérdidas.
Certificaciones
Realizar una prueba de penetración no es una tarea fácil, es por eso que no cualquiera puede llevarla a cabo. Desde la Oficina de Revisión de Certificaciones de Seguridad Informática se otorga un certificado que acredita a una persona como pentester.
Dicho certificado es conocido como Certified Penetration Tester (CPT) y se obtiene luego de realizar un examen. Se trata de una certificación internacional que aplica también a México.
Herramientas y software para pentesting
A la hora de llevar a cabo pruebas de penetración en una organización, es importante conocer las diferentes herramientas y software disponibles.
Kali Linux
Uno de los sistemas más utilizados y recomendables del mercado es Kali Linux. Se trata de un sistema especializado en la seguridad de los sistemas informáticos que posee más de 300 herramientas para la realización de análisis de pentesting. Si existe una falla con Kali Linux la encontrarás sin mayores complicaciones.
Metasploit
En el mismo sentido, otra de las herramientas de pentesting más conocidas es Metasploit. Este último comienza a ser útil una vez que ya se han encontrado diferentes vulnerabilidades en un sistema y permite conocer cuáles son los alcances de estas. Es por sus propias características que esta herramienta se vuelve muy útil debido a que permite descubrir cuál es la gravedad del error.
Pentests de Caja Blanca, Negra y Gris
Estas pruebas que evalúan la ciberseguridad de una empresa pueden tener diferentes características según el nivel de información que protejan y cuánto se quiera asegurar el sistema.
Caja blanca
Por un lado, debemos mencionar a los pentests o pruebas de penetración de caja blanca. Se trata de una de las formas más completas de esta práctica y consiste en un ataque simulado integral que evalúa toda la infraestructura en red de la compañía.
Por lo general, en estas pruebas, los pentesters ya poseen la información más relevante de la empresa como contraseñas, IPs, Logins, etcétera. De esta manera, se realiza un ataque bien específico que permite encontrar las fallas más profundas del sistema.
Al significar un alto nivel de confidencialidad debido a los datos con los que cuentan los hackers éticos desde un inicio, los pentest de caja blanca suelen ser realizados por los equipos de IT de la empresa.
Caja negra
Por otro lado, encontramos los pentest de caja negra. A diferencia de las pruebas de caja blanca, que describimos anteriormente, en estos casos se trata de realizar ataques con la menor cantidad posible de información sensible de la empresa. Pues, de esta manera es posible asimilar esta simulación a un ataque externo común en el cual los hackers no poseen grandes cantidades de información.
Caja gris
Por último, encontramos los pentest de caja gris. Estos consisten en una mezcla de los de caja blanca y caja negra, pues los hackers éticos poseen algo de información sobre los sistemas de la empresa, pero es una cantidad baja a comparación del primer tipo de pruebas.
Se trata de una forma muy efectiva de detectar fallas y vulnerabilidades y quizá la más recomendable si se tiene que elegir un tipo de prueba de penetración para una organización.
Tipos de pentest
Existen diferentes criterios para clasificar las pruebas de penetración. En el apartado anterior vimos los diferentes tipos acorde al nivel de acceso al sistema de los hackers éticos y ahora analizaremos desde una perspectiva diferente.
Pentest de servicios en red
En primer lugar, debemos destacar a los pentest de servicios en red. Se trata de análisis que evalúan la infraestructura en red de una organización. El objetivo central es lograr un sistema informático más sólido a través de la configuración de firewall y de pruebas de filtrado stateful.
Pentest en aplicaciones web
Asimismo, también existen las pruebas de penetración en aplicaciones web. Es importante que las aplicaciones tengan sistemas de seguridad sólidos. Sobre todo aquellas que manejan grandes cantidades de información. Este tipo de pentest consiste en un análisis profundo y detallado de las vulnerabilidades de las mismas.
Pentest sobre redes inalámbricas
En otro sentido, no podemos dejar de mencionar las pruebas sobre red inalámbrica. Se trata de uno de los tipos de prueba de penetración más importantes y consiste en testear los protocolos de red, los puntos de acceso y lógicamente las distintas credenciales que haya en la organización.
Pentest de software
También encontramos las pruebas de penetración en software, páginas y programas de creación de contenido y Web Browsers tales como Explorer o Chrome. Este tipo de pentest es conocido como pruebas de ClientSide y se realiza en las computadoras de diferentes usuarios.
Pentest de ingeniería social
Por último, tenemos las pruebas de ingeniería social. Este tipo de pentest es esencial debido a que una de las formas más comunes mediante las cuales los hackers adquieren información es a través de los empleados de la empresa. Es por eso que cada tanto es necesario recordar la importancia de la confidencialidad de algunos datos.
Entonces… ¿Qué tipos de pentesting existen?
Existen diferentes tipos de pentesting y también distintas formas de clasificarlo. Una de las distinciones es acorde a la cantidad de información con la que se lanzan a atacar los pentesters. Según este último criterio, existen los pentest de caja blanca, de caja negra y de caja gris.
Asimismo, existe otra clasificación que se relaciona con aquellos que se intenta proteger. En ese sentido, podemos diferenciar entre pruebas de penetración de aplicaciones web, de infraestructura de red, de software, de ingeniería social y de servicios de red.
Diferencia entre pruebas de penetración y evaluación de vulnerabilidades
Es necesario aclarar que las pruebas de penetración no son lo mismo que las evaluaciones de vulnerabilidades. Si bien el objetivo de estas actividades es encontrar fallas en un sistema de seguridad, existen ciertas diferencias.
En primer lugar, en las evaluaciones de vulnerabilidades se escanea sobre una lista de riesgos conocidos que ya están identificados en una base de datos preexistente, mientras que, en el pentesting, las pruebas se basan en objetivos.
Asimismo, las pruebas de penetración adecuan las herramientas a utilizar según sus objetivos mientras que en la evaluación de vulnerabilidades siempre se usan los mismos métodos.
¿Cómo se hacen las pruebas de penetración? Pasos
Las pruebas de penetración se realizan mediante el seguimiento de diferentes pasos o etapas. A continuación, analizaremos cada una de ellas.
Reconocimiento
En este primer paso del pentesting el objetivo central es conocer el sistema que se quiere vulnerar. Es por esto que consiste en reunir toda la información relevante que sea posible para poder planificar un ataque simulado.
En esta fase aún no comienza el ataque, sino que solo se recopilan datos importantes como direcciones IP y datos personales y correos electrónicos de los diferentes empleados.
Escaneo
Una vez que hemos reunido la información relevante es necesario analizarla. Pues de eso se trata la fase de escaneo, de revisar los distintos puntos de entrada del sistema informático a agredir y decidir cuál es el más conveniente.
Explotación
La tercera etapa de un pentest es el ataque al sistema informático de la compañía en cuestión. Pues una vez reunida la información, analizada y decidido el mejor enfoque para atacar, se procede a la intrusión.
Si los hackers éticos o pentesters logran acceder al sistema, tratarán de avanzar lo más posible, incluso a niveles privilegiados. El objetivo es evaluar qué tan seguro es el sistema y el daño que se le podría provocar a la empresa si sufriera un ataque.
Eliminación de huellas
Por último, es esencial que, una vez realizada la intrusión, al finalizar el pentest, se eliminen todos los rastros del ataque. De esa manera se logrará evitar que futuros atacantes reales utilicen esas huellas para causar un daño real.
¿En qué beneficia un pentest?
El beneficio principal de esta actividad es la posibilidad de mantener los sistemas de seguridad actualizados. Es un hecho que los delincuentes cibernéticos se actualizan día a día y por ende, aquellos sistemas que no lo hagan quedarán vulnerables a ataques.
Es por eso que es necesaria la constante evaluación de la infraestructura en red de la organización. En definitiva, la ciberseguridad permite proveer tranquilidad a una empresa cuyos datos son de gran valor y evitar ataques cibernéticos que puedan significar grandes pérdidas de dinero.
¿Cuál es el costo de un pentesting?
Las pruebas de penetración o pentesting tienen diferentes costos según el grado de complejidad que conlleven. Esto quiere decir que el precio puede variar acorde a las características de la organización que lo solicite y su sistema informático. Por lo general, el costo de un pentesting para una pequeña o mediana empresa es de alrededor de 30.000 pesos mexicanos.
Consideraciones legales
A la hora de contratar un servicio de pentesting en cualquier compañía es necesario tener en cuenta ciertas consideraciones y previsiones legales. Esto se debe básicamente al hecho de que los hackers éticos están incurriendo en una conducta que es calificada como un delito. Claro está que técnicamente esto no es así, pero para que todo quede claro y bien documentado es necesario tenerlo en cuenta.
Es por esto que, a la hora de realizar la contratación, las empresas firman un contrato en el cual autorizan de forma expresa e inequívoca a los hackers a vulnerar sus sistemas de seguridad con el objetivo de encontrar vulnerabilidades.
De todas formas, en dicho contrato se establecen los límites que la empresa considera necesarios para la correcta realización de la prueba de seguridad. Los pentest son, por lo general, sobre ciertos equipos específicos que se autorizan a atacar.