Pentest: Herramientas y tipos de pruebas. ¡Asegura tu empresa!

Pentest: Herramientas y tipos de pruebas. ¡Asegura tu empresa hoy mismo!

Realizar una prueba de penetración no es una tarea fácil, es por eso que no cualquiera puede llevarla a cabo.

Publicado el 18 Abr 2023

Redacción IT Masters Mag

pentest

En un mundo digital atravesado por los datos, la ciberseguridad en México se ha vuelto fundamental para las organizaciones. Y en ese contexto fue que el pentest cobró una mayor relevancia. A continuación explicamos en qué consiste y todo lo que se debe saber al respecto.

Qué es pentest

El pentest, o prueba de penetración, es un ejercicio de ciberseguridad que implica la simulación de ataques por parte de hackers éticos con el objetivo de identificar y evaluar las vulnerabilidades de un sistema informático. Estas pruebas buscan replicar posibles escenarios de amenazas para detectar puntos débiles en la seguridad y permitir que se tomen medidas preventivas. A través de diversas etapas, como reconocimiento, escaneo, explotación y eliminación de huellas, el pentest contribuye a mantener actualizados y seguros los sistemas, siendo esencial en el panorama de la ciberseguridad empresarial.

Cuando nos referimos a pruebas de pentest, hablamos de un ejercicio de ciberseguridad que tiene por objetivo encontrar las vulnerabilidades de un sistema informático. En otras palabras, podemos decir que se trata de ataques simulados realizados por hackers éticos en pos de identificar los puntos débiles de la seguridad de una organización. Al finalizarlos, lo ideal es que se trabaje sobre esos puntos vulnerables para evitar recibir ataques.

Diferentes denominaciones para pentest

  1. Evaluación de seguridad: Un examen controlado de la seguridad de un sistema informático para identificar y corregir vulnerabilidades.
  2. Simulación de ataque ético: Un ejercicio ético que simula un ataque real para evaluar la resistencia y la seguridad de un sistema.
  3. Test de intrusión: Un análisis técnico que busca proactivamente debilidades en la seguridad, imitando las tácticas de un posible atacante.
  4. Auditoría de seguridad: Un proceso de revisión y evaluación de los controles de seguridad de un sistema para garantizar su robustez.
  5. Análisis de vulnerabilidades: La identificación y evaluación de puntos débiles en un sistema que podrían ser explotados por amenazas potenciales.

La historia del pentest

Cuando hablamos de pruebas de penetración, nos referimos a una tarea llevada a cabo por expertos informáticos, quienes son capaces de introducirse en un sistema digital determinado a través de los puntos vulnerables que este pueda llegar a tener.
El origen del pentest se remonta a los años 60’, cuando el mundo de las organizaciones recién comenzaba a conocer las amenaza de los ataques informáticos. Pero lo cierto es que para ese entonces solo lo llevaban a cabo organizaciones militares y gubernamentales con el fin de defender su información clasificada o detectar ataques terroristas.

Lógicamente, entrada la década del 90’, el pentesting se volvió usual entre los propietarios de sistemas informáticos de cualquier organización. Esto se debió al exponencial crecimiento del mundo digital y la importancia que fueron adquiriendo los datos.

Para ese entonces, el pentesting fue denominado como Hacking Ético, pues se trataba de un grupo de hackers que formaban parte del ‘lado bueno’ de la seguridad informática. Al día de hoy, las pruebas de penetración son esenciales para proteger los sistemas de cualquier organización debido a que permiten mantenerlos actualizados y evitar vulnerabilidades que puedan derivar en grandes pérdidas.

Certificaciones pentesting

Realizar una prueba de penetración no es una tarea fácil, es por eso que no cualquiera puede llevarla a cabo. Desde la Oficina de Revisión de Certificaciones de Seguridad Informática se otorga un certificado que acredita a una persona como pentester.
Dicho certificado es conocido como Certified Penetration Tester (CPT) y se obtiene luego de realizar un examen. Se trata de una certificación internacional que aplica también a México.

Existen otras diversas certificaciones en el ámbito del pentesting reconocidas a nivel mundial. Algunas de las más destacadas incluyen Certified Ethical Hacker (CEH), Offensive Security Certified Professional (OSCP), y Certified Information Systems Security Professional (CISSP). Estas certificaciones son ampliamente reconocidas y aceptadas internacionalmente.

Cómo empezar en el pentesting

Iniciar en el pentesting requiere comprender los fundamentos de seguridad informática. Primero, hay que adquirir conocimientos sólidos sobre redes, sistemas operativos y protocolos. Familiarizarse con herramientas como Kali Linux y Metasploit. Practicar en entornos virtuales y participar en plataformas de ciberseguridad para ganar experiencia. Obtener certificaciones, como Certified Ethical Hacker (CEH), puede respaldar tu habilidad. La ética, constante actualización y práctica son clave. Comienza explorando laboratorios virtuales y retos de ciberseguridad para desarrollar habilidades prácticas.

Herramientas y software para pentesting

A la hora de llevar a cabo pruebas de penetración en una organización, es importante conocer las diferentes herramientas y software disponibles.

Kali Linux

Uno de los sistemas más utilizados y recomendables del mercado es Kali Linux. Se trata de un sistema especializado en la seguridad de los sistemas informáticos que posee más de 300 herramientas para la realización de análisis de pentesting. Si existe una falla con Kali Linux la encontrarás sin mayores complicaciones.

Metasploit

En el mismo sentido, otra de las herramientas de pentesting más conocidas es Metasploit. Este último comienza a ser útil una vez que ya se han encontrado diferentes vulnerabilidades en un sistema y permite conocer cuáles son los alcances de estas. Es por sus propias características que esta herramienta se vuelve muy útil debido a que permite descubrir cuál es la gravedad del error.

Pentests de Caja Blanca, Negra y Gris

Estas pruebas que evalúan la ciberseguridad de una empresa pueden tener diferentes características según el nivel de información que protejan y cuánto se quiera asegurar el sistema.

Pentest de caja blanca

Por un lado, debemos mencionar a los pentests o pruebas de penetración de caja blanca. Se trata de una de las formas más completas de esta práctica y consiste en un ataque simulado integral que evalúa toda la infraestructura en red de la compañía.
Por lo general, en estas pruebas, los pentesters ya poseen la información más relevante de la empresa como contraseñas, IPs, Logins, etcétera. De esta manera, se realiza un ataque bien específico que permite encontrar las fallas más profundas del sistema.

Al significar un alto nivel de confidencialidad debido a los datos con los que cuentan los hackers éticos desde un inicio, los pentest de caja blanca suelen ser realizados por los equipos de IT de la empresa.

Pentest de caja negra

Por otro lado, encontramos los pentests de caja negra. A diferencia de las pruebas de caja blanca, que describimos anteriormente, en estos casos se trata de realizar ataques con la menor cantidad posible de información sensible de la empresa. Pues, de esta manera es posible asimilar esta simulación a un ataque externo común en el cual los hackers no poseen grandes cantidades de información.

Pentest de caja gris

Por último, encontramos los pentests de caja gris. Estos consisten en una mezcla de los de caja blanca y caja negra, pues los hackers éticos poseen algo de información sobre los sistemas de la empresa, pero es una cantidad baja a comparación del primer tipo de pruebas.
Se trata de una forma muy efectiva de detectar fallas y vulnerabilidades y quizá la más recomendable si se tiene que elegir un tipo de prueba de penetración para una organización.

Escáneres de vulnerabilidades

Hay varios escáneres de vulnerabilidades en el mercado, y la elección del mejor puede depender de las necesidades específicas y del entorno en el que se planee utilizarlo. Algunos de los escáneres de vulnerabilidades bien valorados son:

  1. Acunetix: Especializado en escaneo de vulnerabilidades en aplicaciones web, destacando problemas específicos de seguridad web.
  2. Burp Suite: Enfocado en pruebas de seguridad para aplicaciones web, permite la identificación y explotación de vulnerabilidades.
  3. Nessus: Ampliamente reconocido por su capacidad para identificar vulnerabilidades en sistemas y redes.
  4. Nexpose (Rapid7): Proporciona escaneo de red, evaluación de activos y análisis de vulnerabilidades con una interfaz intuitiva.
  5. Nikto: Herramienta de código abierto que se centra en encontrar problemas en servidores web, como configuraciones mal implementadas.
  6. Nmap: Aunque es un escáner de red, también puede identificar vulnerabilidades en sistemas y servicios.
  7. OpenVAS: Herramienta de escaneo de vulnerabilidades de código abierto que realiza análisis exhaustivos.
  8. OWASP ZAP: Herramienta de seguridad para encontrar vulnerabilidades en aplicaciones web, desarrollada por la comunidad OWASP.
  9. Qualys: Ofrece servicios en la nube para escaneo de vulnerabilidades y cumplimiento de políticas de seguridad.
  10. Retina (BeyondTrust): Ofrece escaneo de vulnerabilidades y evaluación de cumplimiento para sistemas y aplicaciones.
  11. Snort: Aunque es un sistema de prevención de intrusiones, puede detectar vulnerabilidades y ataques en tiempo real.

Tipos de pentesting

Existen diferentes criterios para clasificar las pruebas de penetración. En el apartado anterior vimos los diferentes tipos acorde al nivel de acceso al sistema de los hackers éticos y ahora analizaremos desde una perspectiva diferente.

Pentest de servicios en red

En primer lugar, debemos destacar a los pentest de servicios en red. Se trata de análisis que evalúan la infraestructura en red de una organización. El objetivo central es lograr un sistema informático más sólido a través de la configuración de firewall y de pruebas de filtrado stateful.

Pentest en aplicaciones web

Asimismo, también existen las pruebas de penetración en aplicaciones web. Es importante que las aplicaciones tengan sistemas de seguridad sólidos. Sobre todo aquellas que manejan grandes cantidades de información. Este tipo de pentest consiste en un análisis profundo y detallado de las vulnerabilidades de las mismas.

Pentest sobre redes inalámbricas

En otro sentido, no podemos dejar de mencionar las pruebas sobre red inalámbrica. Se trata de uno de los tipos de prueba de penetración más importantes y consiste en testear los protocolos de red, los puntos de acceso y lógicamente las distintas credenciales que haya en la organización.

Pentest de software

También encontramos las pruebas de penetración en software, páginas y programas de creación de contenido y Web Browsers tales como Explorer o Chrome. Este tipo de pentest es conocido como pruebas de ClientSide y se realiza en las computadoras de diferentes usuarios.

Pentest de ingeniería social

Por último, tenemos las pruebas de ingeniería social. Este tipo de pentest es esencial debido a que una de las formas más comunes mediante las cuales los hackers adquieren información es a través de los empleados de la empresa. Es por eso que cada tanto es necesario recordar la importancia de la confidencialidad de algunos datos.

Entonces… ¿Qué tipos de pentesting existen?

Existen diferentes tipos de pentesting y también distintas formas de clasificarlo. Una de las distinciones es acorde a la cantidad de información con la que se lanzan a atacar los pentesters. Según este último criterio, existen los pentest de caja blanca, de caja negra y de caja gris.
Asimismo, existe otra clasificación que se relaciona con aquellos que se intenta proteger. En ese sentido, podemos diferenciar entre pruebas de penetración de aplicaciones web, de infraestructura de red, de software, de ingeniería social y de servicios de red.

Diferencia entre pruebas de penetración y evaluación de vulnerabilidades

Es necesario aclarar que las pruebas de penetración (auditorías pentesting) no son lo mismo que las evaluaciones de vulnerabilidades. Si bien el objetivo de estas actividades es encontrar fallas en un sistema de seguridad, existen ciertas diferencias.
En primer lugar, en las evaluaciones de vulnerabilidades se escanea sobre una lista de riesgos conocidos que ya están identificados en una base de datos preexistente, mientras que, en el pentesting, las pruebas se basan en objetivos.

Asimismo, las pruebas de penetración adecuan las herramientas a utilizar según sus objetivos mientras que en la evaluación de vulnerabilidades siempre se usan los mismos métodos.

¿Cómo se hacen las pruebas de penetración o auditorías? Pasos

Las pruebas de penetración o test de intrusión informática se realizan mediante el seguimiento de diferentes pasos o etapas. A continuación, analizaremos cada una de ellas.

  1. Reconocimiento (Recopilación de información): Obtención de datos relevantes sobre el sistema objetivo.
  2. Escaneo: Identificación de los puntos de entrada y evaluación de la topología de red.
  3. Explotación: Intento de aprovechar las vulnerabilidades identificadas para obtener acceso.
  4. Mantenimiento de acceso: Conservación del acceso obtenido para futuras pruebas y evaluaciones.
  5. Análisis de vulnerabilidades: Evaluación detallada de las debilidades identificadas en el sistema.
  6. Post-Explotación: Exploración de la red y sistemas comprometidos después de obtener acceso.
  7. Eliminación de Huellas (Limpieza): Borrado de evidencia para simular un ataque real y garantizar la seguridad del sistema. Esta es la última etapa del proceso. Esta fase es crítica para garantizar que no queden vulnerabilidades explotadas que puedan ser utilizadas por actores malintencionados después de la prueba
  8. Informe: Documentación detallada de hallazgos, riesgos y recomendaciones.
  9. Validación: Confirmación de que las vulnerabilidades identificadas han sido corregidas y el sistema es seguro.

Cómo se presentan los resultados despúes de una auditoría de pentesting

La presentación de los resultados de una prueba de pentesting es una parte crucial del proceso, ya que proporciona información detallada sobre las vulnerabilidades encontradas y las recomendaciones para mejorar la seguridad. Aquí hay una estructura común para presentar los resultados:

  1. Resumen ejecutivo:
    • Breve resumen para los líderes y tomadores de decisiones.
    • Destaca las principales vulnerabilidades y riesgos.
  2. Alcance y metodología:
    • Detalles sobre el alcance de la prueba y la metodología utilizada.
    • Aclara las limitaciones y restricciones.
  3. Descripción general del entorno:
    • Información sobre la infraestructura y las tecnologías evaluadas.
  4. Hallazgos:
    • Lista detallada de todas las vulnerabilidades encontradas.
    • Clasificación por nivel de gravedad (baja, media, alta, crítica).
    • Evidencia técnica y descripción clara.
  5. Riesgos y recomendaciones:
    • Evaluación de los riesgos asociados con cada vulnerabilidad.
    • Recomendaciones específicas para remediar cada vulnerabilidad.
  6. Plan de acción:
    • Detalla los pasos recomendados para abordar cada vulnerabilidad.
    • Prioriza las acciones según la criticidad.
  7. Validación y verificación:
    • Descripción de cómo se validaron las vulnerabilidades.
    • Información sobre las pruebas de verificación realizadas.
  8. Conclusión:
    • Resumen general de los resultados.
    • Enfatiza la importancia de abordar las vulnerabilidades.
  9. Anexos:
    • Información técnica adicional, capturas de pantalla, registros, etc.

Es fundamental que la presentación sea clara y comprensible tanto para los expertos técnicos como para los líderes no técnicos. Además, debe incluir un espacio para preguntas y discusiones, para asegurar una comprensión completa de los resultados y facilitar la toma de decisiones para mejorar la seguridad.

¿En qué beneficia un pentest?

El beneficio principal de esta actividad es la posibilidad de mantener los sistemas de seguridad actualizados. Es un hecho que los delincuentes cibernéticos se actualizan día a día y por ende, aquellos sistemas que no lo hagan quedarán vulnerables a ataques.

Es por eso que es necesaria la constante evaluación de la infraestructura en red de la organización. En definitiva, la ciberseguridad permite proveer tranquilidad a una empresa cuyos datos son de gran valor y evitar ataques cibernéticos que puedan significar grandes pérdidas de dinero.

¿Cuál es el costo de un pentesting?

Las pruebas de penetración o pentesting tienen diferentes costos según el grado de complejidad que conlleven. Esto quiere decir que el precio puede variar acorde a las características de la organización que lo solicite y su sistema informático. Por lo general, el costo de un pentesting para una pequeña o mediana empresa es de alrededor de 30.000 pesos mexicanos.

Consideraciones legales

A la hora de contratar un servicio de pentesting en cualquier compañía es necesario tener en cuenta ciertas consideraciones y previsiones legales. Esto se debe básicamente al hecho de que los hackers éticos están incurriendo en una conducta que es calificada como un delito. Claro está que técnicamente esto no es así, pero para que todo quede claro y bien documentado es necesario tenerlo en cuenta.

Es por esto que, a la hora de realizar la contratación, las empresas firman un contrato en el cual autorizan de forma expresa e inequívoca a los hackers a vulnerar sus sistemas de seguridad con el objetivo de encontrar vulnerabilidades.

De todas formas, en dicho contrato se establecen los límites que la empresa considera necesarios para la correcta realización de la prueba de seguridad. Los pentest son, por lo general, sobre ciertos equipos específicos que se autorizan a atacar.

Contratar pentesting en México

En México, hay varias empresas y consultoras especializadas en ciberseguridad que ofrecen servicios de pentesting. Algunas opciones recomendadas incluyen:

  1. KIO Networks: Una empresa mexicana con servicios de seguridad informática, incluyendo pruebas de penetración.
  2. Softtek: Ofrece servicios de seguridad cibernética, incluyendo evaluaciones de seguridad y pruebas de penetración.
  3. Neoris: Otra empresa de tecnología con servicios de ciberseguridad, que podría incluir pruebas de penetración.
  4. Alcance Libre: Una empresa especializada en ciberseguridad con enfoque en pruebas de penetración.
  5. Pandora Security Labs: Ofrecen servicios de pruebas de penetración y auditorías de seguridad en México.

Antes de contratar cualquier servicio, es recomendable investigar y comparar las opciones disponibles, verificar las credenciales y experiencias de la empresa, y asegurarse de que cumplen con los estándares de seguridad y ética. Además, es esencial discutir claramente los alcances y objetivos de las pruebas de penetración antes de proceder.

Servicios estandarizados de pruebas de penetración gubernamentales

Los servicios estandarizados de pruebas de penetración gubernamentales son evaluaciones de seguridad cibernética realizadas por entidades gubernamentales para evaluar la resistencia y la preparación de los sistemas de información y redes del gobierno frente a posibles amenazas. Estas pruebas de penetración siguen estándares y metodologías específicas para identificar y abordar vulnerabilidades en sistemas críticos. El objetivo principal es fortalecer la ciberseguridad del gobierno y proteger la integridad de la información sensible. Estos servicios suelen estar en línea con las mejores prácticas de seguridad cibernética y contribuyen a garantizar la resiliencia de las infraestructuras gubernamentales ante posibles ataques cibernéticos.

Estos estándares y metodologías específicas utilizados por los gobiernos pueden variar según el país y las políticas de ciberseguridad adoptadas. Sin embargo, algunos de los estándares internacionales ampliamente reconocidos y utilizados en diversas pruebas de penetración incluyen:

  1. NIST SP 800-115: Publicado por el Instituto Nacional de Estándares y Tecnología de EE. UU. (NIST), proporciona una guía para realizar pruebas de penetración.
  2. OSSTMM (Open Source Security Testing Methodology Manual): Una metodología de pruebas de penetración ampliamente utilizada y de código abierto que ofrece un enfoque técnico y detallado.
  3. OWASP Testing Guide: Desarrollado por la Open Web Application Security Project (OWASP), se centra en pruebas específicas de aplicaciones web y servicios web.
  4. CIS Critical Security Controls: Establecidos por el Center for Internet Security (CIS), estos controles ofrecen un conjunto de mejores prácticas para mejorar la ciberseguridad.
  5. ISO/IEC 27001 e ISO/IEC 27002: Estándares internacionales que proporcionan un marco para la gestión de la seguridad de la información.

En el ámbito gubernamental, algunos países pueden tener sus propios estándares y regulaciones específicas para pruebas de penetración en sectores críticos, como infraestructuras críticas y sistemas gubernamentales. Por ejemplo, el gobierno de EE. UU. puede seguir las directrices establecidas por la Ley de Modernización de la Ciberseguridad y la Estrategia Nacional de Ciberseguridad.

¿Qué te ha parecido este artículo?

Si piensas que este post es útil...

¡Síguenos en nuestras redes sociales!

Redacción IT Masters Mag
Redacción IT Masters Mag

Un equipo de profesionales del periodismo, la comunicación, las artes gráficas y los medios digitales.

email Contácteme

Temas

Canales

Artículos relacionados

  • Ciberseguridad en México: lo que debe saber

    20 Mar 2024

    por Redacción IT Masters Mag

    Compartir

Siguiente

Ciberseguridad en México: lo que debe saber

Artículo 1 de 2