Vivimos en una era de constantes cambios tecnológicos y uno de los principales retos en ciberseguridad está relacionado precisamente con estos cambios. Para evitar ciberataques y proteger los sistemas y las personas es crucial que la seguridad avance a la misma velocidad que lo hacen las nuevas tecnologías, es ahí donde entra en juego el trabajo de un pentester.
¿Qué es el pentesting?
La estrategia de ciberseguridad de una organización es efectiva cuando se ponen a prueba de manera constante los procesos tecnológicos y las personas que los utilizan. De esta forma, en caso de sufrir un ataque real, la organización sabría cómo actuar. Esta labor se denomina pentesting o test de penetración y quienes la llevan a cabo son los llamados pentester. Teniendo en cuenta lo anterior, un pentesting se podría definir como el ataque a los sistemas de una organización con la intención de descubrir fallos de seguridad existentes.
Tipos de pentesting
La tarea del pentester siempre va ligada a las necesidades de la organización. Por eso, cada test de penetración es diferente y el éxito del mismo depende, en gran medida, de la experiencia y habilidad de quien lo desarrolla.
Dependiendo de la cantidad de información requerida y la manera en la que se vayan a realizar las pruebas de intrusión, se diferencian principalmente tres tipos de pentesting:
Pentesting de caja blanca (white box)
Es el pentest más completo, debido a que parte de un análisis integral el cual evalúa toda la infraestructura de red. En este caso, el pentester ya conoce todos los aspectos de seguridad de la empresa (medidas, estructura de red, contraseñas, etc.).
Pentesting de caja negra (black box)
En este caso el pentester no posee información sobre la entidad y actúa de forma muy similar a un ciberdelincuente para tratar de reconocer fallos en la estructura de red.
Pentesting de caja gris (grey box)
En este caso no se posee información específica para realizar el test de penetración, por eso, requiere de tiempo y recursos en identificar la información necesaria acerca de las posibles vulnerabilidades existentes. Es el tipo de pentest más recomendado por los especialistas.
¿Cómo se realiza un test de penetración?
Un pentesting se debe efectuar siguiendo una serie de pasos predeterminados.
Primera toma de contacto
En la que se acuerda el tipo de test que se hará, en base al objetivo de la prueba y los servicios críticos de la organización. En esta fase es fundamental el intercambio de información.
Recopilación de información
Aquí se obtiene toda la información posible sobre la organización que pueda ser de utilidad para buscar y explotar vulnerabilidades. Para ello se emplean una serie de herramientas que permiten escanear puertos, analizar páginas web, analizar metadatos, etc.
Búsqueda de vulnerabilidades
Existen herramientas que automatizan el proceso de detección de vulnerabilidades, como Acunetix o Nessus. Lo más recomendable para el pentesting es apoyarse en estas herramientas, pero realizando la labor final de manera manual. Una vez se conocen las vulnerabilidades, es momento de explotarlas y sacar provecho de ellas.
Análisis de resultados y la elaboración de informes
Indican las vulnerabilidades encontradas y cómo han sido explotadas. Además, los pentester plantean diversas medidas para mejorar la seguridad y la capacidad de una organización para prevenir posibles ataques externos y mitigarlos en el menor tiempo posible si llegan a materializarse.
Beneficios de un pentest
El pentesting, en ocasiones, es criticado porque permite que terceros ataquen de manera directa sobre sistemas e infraestructuras de red; sin embargo, el pentesting presenta numerosos beneficios para quienes lo contratan:
- Consiguen anticiparse a los ciberatacantes y medir el nivel y capacidad de seguridad de una organización.
- Permite asegurar la continuidad del negocio, manteniendo una relación efectiva con la seguridad corporativa.
Lucía Martínez Zamora, analista de concienciación en ciberseguridad en Deloitte.