Las pruebas de penetración (también llamadas pentest o pentesting) se utilizan para practicar o simular servicios de ataque a infraestructuras de TI con el fin de evaluar su seguridad.
Los probadores de seguridad desempeñarán el papel de piratas informáticos reales que buscan agujeros en la seguridad, por donde los atacantes podrían robar datos confidenciales, eliminar archivos, provocar la interrupción de servicios o, en general, obtener acceso a la computadora. Sistemas a los que normalmente no podrían acceder.
En este artículo exploraremos lo que se necesita para diseñar y ejecutar una Prueba de Penetración:
Es importante saber qué es una prueba de penetración, ya que no es lo mismo que una evaluación de vulnerabilidad. Estas dos prácticas tienen propósitos diferentes y se llevan a cabo con diferentes herramientas y métodos.
Puede encontrar más información en nuestro sitio web.Vulnerability Assessment
Las pruebas de penetración tienen como objetivo acceder a una infraestructura, y aunque a primera vista pueden parecer un proceso complicado, en la práctica se analizan metódicamente diversos aspectos de la seguridad que luego se incluirán escrupulosamente en un informe.
De hecho, existen algunosmarcos y metodologías para las pruebas de penetración que son reconocidos internacionalmente y que se enfocan en diferentes aspectos de la seguridad adaptándose a diferentes escenarios y propósitos.
Un ejemplo, es la metodología OSSTMM para pruebas de penetración. Puedes leer el manual de forma gratuita en este enlace:https://www.isecom.org/OSSTMM.3.pdf
El objetivo de estas pruebas es descubrir agujeros de seguridad y analizar el impacto que puede tener cualquier acceso.
Una prueba de penetración puede determinar cómo reacciona un sistema a un ataque, si se puede violar un agujero en la seguridad, y qué información se puede obtener de él.Guía de preparación para CISSP® and CAPCM
Las fases de una prueba de penetración
Interacciones previas
El primer paso de cada pentest, es el análisis de los objetivos con el cliente, identificar cuál es el propósito de la prueba y los aspectos legales.
Esta fase es fundamental para garantizar la completa legalidad de cada acción realizada por el equipo y para perfilar las mejores metodologías que se usarán.
Recopilación de inteligencia de fuentes abiertas
La recuperación de información con el cliente (OSINT) permite construir un punto de partida para la prueba.
Dependiendo del pentest a realizar, las técnicas de Inteligencia de fuentes abiertas (OSINT Gathering) pueden ser más o menos ortodoxas. Por ejemplo, en un pentest puramente informático uno suele limitarse a realizar búsquedas online con herramientas especializadas o ingeniería social.
Identificación de vulnerabilidades
A partir de la información recopilada, los probadores pueden encontrar y evaluar posibles vectores que puedan ser atacados.
Para esta fase solemos confiar en herramientas automatizadas que resaltan las posibles vulnerabilidades.
Explotación
Finalmente, los probadores pueden intentar atacar los vectores encontrados en el paso anterior.
Los posibles ataques son variados, múltiples y pueden involucrar tecnologías muy diferentes.
Algunos de estos ataques pueden estar dirigidos a acceder a un sistema, otros a extraer datos y otros a causar fallas en el sistema. Es importante haber delineado cuidadosamente los límites en el paso 1 para evitar malentendidos durante esta fase.
Post-Explotación
Una vez se completa el ataque, los probadores deben recopilar todos los datos para un análisis de riesgo o para evaluar qué tipo de daño podrían haber causado a la infraestructura atacada.
Además, durante esta fase, los probadores deben eliminar todos los rastros de su ataque, como el software instalado o las cuentas creadas.
Informe
Los probadores tendrán que proporcionar documentación detallada sobre los vectores que fueron atacados, los ataques exitosos y los análisis de riesgo. También es necesario que este informe vaya acompañado de recomendaciones para el cliente sobre cómo hacer más segura la infraestructura atacada.
Aunque estos pasos no forman parte de un estándar, el probador de penetración podrá seguirlos con mayor o menor precisión, o mejor dicho, requerirá adaptar el flujo de trabajo a las necesidades del cliente en caso de pruebas específicas.
Dado que el uso de la tecnología de la información se vuelve cada vez más importante en el mundo corporativo, realizar pruebas de penetración de calidadse vuelve esencial para evitar daños a la imagen de una empresa o más importante aún, pérdidas monetarias.
Las sanciones por parte del prestador de la privacidad, el compromiso de los servicios basados en la web o el acceso a secretos comerciales por parte de terceros son solo algunas de las posibles consecuencias de un ciberataque; los escenarios en los que una brecha de seguridad puede conducir a pérdidas financieras son infinitos.
Por todas estas razones, hacer una prueba de penetración es realmente una inversión
¿Qué factores evalúa un pentest?
È es bueno saber que existen muchos tipos de pentest y que no todos ellos se centran en la seguridad informática y de la red.
El manual de la metodología OSSTMM antes mencionado, propone diferentes canales a probar, además de poner a prueba la seguridad de las comunicaciones y de la información, también puedes hacer pruebas a la seguridad del espectro electromagnético e incluso a la seguridad física.
Diferentes tipos de pruebas de penetración evalúan diferentes aspectos de la seguridad de una infraestructura. Las pruebas de penetración se asocian cada vez más al sentido meramente informático, e incluso la pruebas de tipo "hackeo ético" requieren que los probadores desempeñen el papel de un hacker informático malintencionado y, por lo tanto, según el objetivo, pueden ser de interés todos los aspectos de esta metodología.
Aunque el hacking ético puede estar limitado al ámbito de TI, no es extraño ver pruebas que incluyen instrumentos físicos de interceptación de radio o incluso intentos reales de entrar en edificios para llevar a cabo un ataque.
Una práctica que suele asociarse a estas pruebas es la de la ingeniería social o manipulación del personal para poder acceder a infraestructuras críticas.
Para volver a la pregunta: ¿Qué factores evalúa un pentest?
La respuesta depende en gran medida de los probadores de penetración que dirigen el ataquemarco y las metodologías de penetración que se empleen.
Es importante evaluar la metodología que mejor se adapte a las pruebas y los resultados de seguridad que desea obtener y luego recurrir a profesionales capaces de garantizar que las pruebas que se hagan sean de calidad.
Sin embargo, se debe especificar que, en caso de que se requieran pruebas específicas, es posible obtenerlas incluso fuera de los métodos clásicos de pruebas de penetración. Por ejemplo, piense en las pruebas de penetración a infraestructuras IoT (Internet Of Things) o pruebas de penetración a aplicaciones para las cuales no se han desarrollado aún unos estándares.
Conclusiones
Laspruebas de penetración incluyen varias prácticas que también son muy diferentes entre sí, no se limitan a la tecnología de la información y proporcionan diferentes metodologías para evaluar la seguridad de redes, sistemas, infraestructuras y edificios.
Aunque existen manuales que describen muy bien los pasos a seguir para realizar una prueba de penetración, es posible que las nuevas tecnologías o nuevos tipos de infraestructura no estén contemplados en los estándares que ya existen. Por esta razón, es importante ponerse en contacto con un probador de penetración profesional y competente que pueda evaluar la seguridad de acuerdo con los requisitos del cliente, por más "inusuales" que sean.
Para proceder con una prueba de penetración es recomendable:
-
Comprender muy bien las necesidades de la prueba
Así poder elegir una metodología de prueba que se adapte a sus necesidades.
Si una metodología resulta ser incompleta o inadecuada, puedes elaborar tus propios requisitos y discutir la viabilidad con un probador de penetración;
-
Evalúa las formas en las que quisieras completar la prueba
-
Inicie la fase de interacción previa para evaluar mejor los requisitos y comenzar las pruebas.
Un test de penetración puede permitir a una empresa evitar incidentes de ciberseguridad que pueden resultar muy costosos en términos económicos y que pueden arruinar el nombre de la empresa. Por esta razón, es bueno considerar las pruebas de seguridad como una inversión.
Riferimenti:
The CISSP® and CAPCM Prep Guide: Platinum Edition, John Wiley & Sons, ISBN 978-0-470-00792-1
