El pentesting es una acción constituida por un conjunto de “test de penetración”, o penetration tests, que se basan en ataques hacia los sistemas informáticos con la intención de encontrar sus debilidades o vulnerabilidades. Están diseñados para clasificar y determinar el alcance y la repercusión de dichos fallos de seguridad. Como resultado de estos test podremos obtener una idea bastante coherente del peligro que corre nuestro sistema y de las defensas con las que contamos. Además, también podremos evaluar cómo de eficientes son dichas defensas.
Los pentests ayudan a determinar las posibilidades de éxito de un ataque; a identificar los fallos de seguridad que son consecuencia de vulnerabilidades de menor riesgo, pero explotadas de cierta manera; también dan pie a identificar otras vulnerabilidades que no son posibles de hallar con una red automatizada o software específico; y a comprobar la capacidad de los encargados de seguridad para detectar con éxito y responder a los ataques.
Tipos de Pentests: Caja Blanca, Negra y Gris
Hay algunas maneras de realizar pentesting, cada una de ellas tendrá una eficiencia diferenciada. Entre ellas, podemos destacar la White Box, la Black Box y la Gray Box.
Caja Blanca o White Box
La prueba White Box, o de “Caja Blanca”, es el Pentest más completo. Esto es porque parte de un análisis integral, que evalúa toda la infraestructura de red. En el caso de que se produzca un error en el sistema, es posible que, al iniciar el Pentesting, el hacker ético (o pentester, nombre dado a los profesionales que actúan con esas pruebas) ya posee conocimiento de todas las informaciones esenciales de la empresa, como topografía, contraseñas, IPs, logins y todos los demás datos que se refieren a la red, servidores, estructura, posibles medidas de seguridad, firewalls, etc.
Con estas informaciones preliminares, la prueba puede dirigir certero su ataque y descubrir lo que necesita ser mejorado y reorientado. Por ser un volumen alto de información preliminar, generalmente este tipo de Pentest es realizado por miembros del propio equipo de TI de la empresa.
Caja Negra o Black Box
La prueba Black Box, o “Caja Negra”, es casi como una prueba a ciegas, pues sigue la premisa de no poseer gran cantidad de información disponible sobre la corporación. Aunque sea dirigido, pues alcanzará a la empresa contratante y descubrirá sus vulnerabilidades, el Pentest de Caja Negra es el más cercano a seguir las características de un ataque externo.
Dadas estas características, sin gran mapeo de informaciones, actuará de forma extremadamente similar a la de cibercriminales – lo que es una gran experiencia, si no parte de forma maliciosa y sirve apenas como un método de reconocer fragilidades en la estructura de red.
Caja Gris o Gray Box
Definido como una mezcla de los dos tipos anteriores, el Gray Box – o “Caja Gris” – ya posee cierta información específica para realizar la prueba de intrusión. Sin embargo, esta cantidad de información es baja y no se compara a la cantidad de datos disponibles en un Pentest de Caja Blanca.
Dada esta forma, la prueba de Caja Gris invertirá tiempo y recursos para identificar tales vulnerabilidades y amenazas, basándose en la cantidad de información específica que tiene. Es el tipo de Pentest más recomendado, si existe la necesidad de contratar alguno de estos servicios.
¿Qué actividades comprende un Pentesting?
Un Pentesting comprende múltiples etapas con diferentes tipos de actividades en distintos ámbitos y entornos. La profundidad con que se lleven a cabo las actividades dependerá de ciertos factores, entre los que se destaca el riesgo que puede generar hacia el cliente alguno de los métodos que se apliquen durante la evaluación.
Se establece un previo acuerdo con el cliente para llevar a cabo las diferentes fases del análisis, que se describen a continuación:
Fase de reconocimiento: Posiblemente, esta sea una de las etapas que más tiempo demande. Asimismo, se definen objetivos y se recopila toda la información posible que luego será utilizada a lo largo de las siguientes fases. La información que se busca abarca desde nombres y direcciones de correo de los empleados de la organización, hasta la topología de la red, direcciones IP, entre otros. Cabe destacar que el tipo de información o la profundidad de la pesquisa dependerán de los objetivos que se hayan fijado en la auditoría.
Fase de escaneo: Utilizando la información obtenida previamente se buscan posibles vectores de ataque. Esta etapa involucra el escaneo de puertos y servicios. Posteriormente se realiza el escaneo de vulnerabilidades que permitirá definir los vectores de ataque.
Fase de enumeración: El objetivo de esta etapa es la obtención de los datos referente a los usuarios, nombres de equipos, servicios de red, entre otros. A esta altura de la auditoría, se realizan conexiones activas con el sistema y se ejecutan consultas dentro del mismo.
Fase de acceso: En esta etapa finalmente se realiza el acceso al sistema. Esta tarea se logra a partir de la explotación de aquellas vulnerabilidades detectadas que fueron aprovechadas por el auditor para comprometer el sistema.
Fase de mantenimiento de acceso: Luego de haberse obtenido el acceso al sistema, se busca la manera de preservar el sistema comprometido a disposición de quien lo ha atacado. El objetivo es mantener el acceso al mencionado sistema perdurable en el tiempo.
Si bien las fases que componen a la operatoria de un Pentesting son las mencionadas anteriormente, cabe señalar que a partir de los resultados obtenidos se genera la documentación correspondiente con los detalles que comprendieron la auditoría. Esta documentación es la que verá el cliente, y es la que servirá como guía para tomar las decisiones futuras pertinentes.
Finalmente, es importante tomar los recaudos necesarios para evitar sufrir ataques e incidentes en la empresa o negocio. Asimismo la seguridad debe ser gestionada contemplando la necesidad de la realización de auditorías cada cierto tiempo, el cual se considere adecuado para nuestra empresa o negocio.
¿Como está la seguridad de tu empresa o negocio? ¿Ya has realizado un Pentesting? ¿Estas pensando en hacer un Pentesting? ¡Cuentanos más sobre lo que quieres hacer con respecto al tema del Pentesting!