La prueba de penetración (también llamada pen-test o pentesting) es la práctica de atacar de manera simulada servicios o infraestructuras informáticas con el fin de evaluar su seguridad.
Los probadores de seguridad asumen el papel de verdaderos hackers en busca de fallas de seguridad con las que los atacantes podrían recuperar datos sensibles, eliminar archivos, provocar la interrupción de servicios o, más generalmente, obtener acceso a sistemas informáticos a los que normalmente no podrían acceder.
En este editorial profundizaremos en las características para el diseño y ejecución de Pruebas de Penetración:
Es importante saber qué es una prueba de penetración, que no es equivalente a una evaluación de vulnerabilidad. Estas dos prácticas tienen propósitos diferentes y se llevan a cabo con herramientas y métodos diferentes.
Más información está disponible en nuestro servicio de Vulnerability Assessment
Aunque a primera vista la prueba de penetración puede parecer un proceso desorganizado cuyo objetivo es acceder a una infraestructura, en la práctica se analizan metódicamente varios aspectos de la seguridad que luego se incluirán meticulosamente en un informe.
De hecho, existen algunos marcos y metodologías de pruebas de penetración reconocidos a nivel internacional que se centran en diferentes aspectos de la seguridad y que se adaptan a diferentes escenarios y propósitos.
Un ejemplo es el estándar OSSTMM para el pentest - es posible leer el manual gratuitamente en el enlace: https://www.isecom.org/OSSTMM.3.pdf
El objetivo de estas pruebas es descubrir fallas de seguridad y analizar el impacto que podrían tener los accesos no autorizados.
Una prueba de penetración puede determinar cómo reacciona un sistema a un ataque, si es posible crear una brecha en las defensas de un sistema y qué información se puede obtener del sistema.The CISSP® and CAPCM Prep Guide
Las fases de una Prueba de Penetración
Interacciones Pre-Compromiso
Primer paso de cada pentest, quien realizará la prueba discute directamente con el cliente los objetivos, el propósito de la prueba y los aspectos legales.
Esta fase es fundamental para garantizar la completa legalidad de cada acción realizada por el equipo y para delinear las mejores metodologías para actuar.
Recolección de Inteligencia de Código Abierto
La recopilación de información sobre el cliente (OSINT) permite construir una base de partida para la prueba.
Dependiendo del pentest a realizar, las técnicas de Recolección de OSINT pueden ser más o menos ortodoxas. En un pentest puramente informático, generalmente se limita a búsquedas en línea con herramientas especializadas o ingeniería social.
Identificación de vulnerabilidades
A partir de la información recopilada, los probadores pueden encontrar y evaluar posibles vectores de ataque.
Para esta fase, generalmente se utilizan herramientas automatizadas que destacan posibles vulnerabilidades.
Explotación
Finalmente, los probadores pueden intentar el ataque en los vectores encontrados en el paso anterior.
Los ataques posibles son variados, múltiples y pueden involucrar tecnologías muy diferentes.
Algunos de estos ataques pueden estar orientados al acceso a un sistema, otros a extraer datos y otros a provocar fallos en el sistema. Es importante haber delineado cuidadosamente los límites en el paso 1 para evitar malentendidos durante esta fase.
Post-Explotación
Concluido el ataque, los probadores deben recopilar datos para un análisis de riesgos, es decir, evaluar qué tipo de daño podrían haber causado a la infraestructura atacada.
Además, durante esta fase es necesario que los probadores eliminen cualquier rastro de su ataque, como software instalado o cuentas creadas.
Informe
Los probadores deberán proporcionar documentación detallada sobre los vectores de ataque, los ataques realizados y el análisis de riesgos. Además, es necesario que el documento esté acompañado de recomendaciones para el cliente sobre cómo hacer más segura la infraestructura atacada.
Aunque estos pasos no son parte de un estándar, un probador de penetración respetable los seguirá de manera más o menos precisa, o mejor dicho, solicitará adaptar el flujo de trabajo a las necesidades del cliente en caso de pruebas específicas.
Dado que el uso de medios informáticos se vuelve cada vez más central en el mundo empresarial, realizar pruebas de penetración de calidad se vuelve fundamental para evitar daños a la imagen o, más concretamente, pérdidas monetarias.
Sanciones por parte del garante de la privacidad, compromisos de servicios basados en la web o acceso a secretos industriales por parte de terceros son solo algunas de las posibles consecuencias de un ataque informático; los escenarios en los que una brecha de seguridad puede llevar a pérdidas económicas son infinitos.
Por este motivo, realizar pruebas de penetración debe considerarse una inversión.
¿Qué factores evalúa un pentest?
Es bueno saber que existen muchos tipos de pentest y que no todos se centran en la seguridad de computadoras y redes.
El manual OSSTMM mencionado anteriormente, prevé como canales a probar, además de la seguridad de las comunicaciones e información, también la seguridad del espectro electromagnético y la seguridad física.
Diferentes tipos de pruebas de penetración evalúan diferentes aspectos de la seguridad de una infraestructura. Cada vez más, la prueba de penetración se asocia exclusivamente con la acepción informática del término, sin embargo, las pruebas de tipo "hacking ético" prevén que los probadores asuman el papel de un hacker malicioso y, por lo tanto, dependiendo del objetivo, pueden involucrar todos los aspectos de esta práctica.
Aunque el hacking ético puede estar limitado al ámbito informático, no es raro ver pruebas que incluyen herramientas físicas de interceptación de radio o intentos reales de intrusión en edificios para llevar a cabo un ataque.
Una práctica a menudo asociada con estas pruebas es la de la ingeniería social, es decir, la manipulación de personas con el fin de obtener información o acceso a infraestructuras críticas.
Para volver a la pregunta: ¿Qué factores evalúa un pentest?
La respuesta depende en gran medida de los probadores de penetración a los que se recurra y de los marcos y metodologías de pruebas de penetración que empleen.
Es importante evaluar la metodología que mejor se adapte a la prueba de seguridad que se desea obtener y, por lo tanto, recurrir a profesionales capaces de asegurar una prueba de calidad según las especificaciones que se deseen adoptar.
Sin embargo, es necesario especificar que, en caso de necesitar pruebas específicas, es posible obtenerlas incluso fuera de las metodologías clásicas de pruebas de penetración. Piense, por ejemplo, en la prueba de penetración de infraestructuras IoT o en la prueba de penetración de aplicaciones móviles para las que aún no se han desarrollado verdaderos estándares.
Conclusiones
El penetration testing comprende diversas prácticas incluso muy diferentes entre sí, no se limita a la informática y prevé diferentes metodologías para evaluar la seguridad de redes, sistemas, infraestructuras y edificios.
Aunque existen manuales que describen exhaustivamente los pasos a seguir para realizar una prueba de penetración, es posible que nuevas tecnologías o nuevos tipos de infraestructura no estén tratados en los estándares disponibles en un momento dado. Por este motivo, es importante recurrir a un probador de penetración competente que sea capaz de evaluar la seguridad según los requisitos del cliente, por inusuales que sean.
Para proceder con una prueba de penetración, se recomienda:
-
Entender sus propias necesidades de prueba
Elegir, por lo tanto, una metodología de prueba que se adapte a sus necesidades.
Si una metodología resulta ser incompleta o inadecuada, redactar sus propios requisitos y discutir con un probador de penetración sobre la viabilidad;
-
Evaluar las modalidades con las que se desea llevar a cabo la prueba;
-
Iniciar la fase de Interacciones Pre-Compromiso para evaluar mejor los requisitos y dar inicio a la prueba.
Una prueba de penetración puede permitir a una empresa evitar incidentes de seguridad informática que pueden resultar costosos en términos económicos y que pueden dañar el nombre de la empresa. Por este motivo, es bueno considerar la prueba de seguridad como una inversión.
Referencias:
The CISSP® and CAPCM Prep Guide: Platinum Edition, John Wiley & Sons, ISBN 978-0-470-00792-1
