Pentesting: cuando los hackers son aliados

Jun 26, 2021 | Ciberseguridad

El Pentesting permite a las empresas identificar vulnerabilidades en su infraestructura de TI para prevenir ciberataques. Conoce todo sobre esta útil técnica.
Pentesting: Cuando el Hacker es Nuestro Aliado
Tiempo de lectura: 9 minutos

La calificación de riesgo global se otorga a aquellos eventos o condiciones inciertas detectadas que pueden causar un impacto negativo en uno o varios sectores durante un lapso de 10 años.

Esta es la calificación que da el Foro Económico Mundial a los ciberataques en su informe que involucra la opinión de 750 expertos que fueron consultados para su elaboración. ¿Lo preocupante? Siete de cada 10 expertos clasificaron a los ciberataques a infraestructuras y datos como una de las mayores preocupaciones.

Ambos temas son parte de la lista de los 10 principales riesgos globales del 2020, y de los siguientes años, ocasionando daños económicos, tensiones geopolíticas y la pérdida generalizada de la confianza en internet, independientemente de las ventajas que ha ofrecido la tecnología.

El informe del Foro Económico Mundial fue enfático al asegurar que los ciberataques comienzan a aparecer con normalidad en industrias como la energética, salud o transporte, cuando anteriormente sólo se les esperaba en el sector financiero, realidad que representa un nuevo reto para las empresas pero también para los expertos en ciberseguridad.

Precisamente, ante este panorama, el pentesting se convierte en una técnica primordial de análisis que da a empresas y organizaciones información sobre sus sistemas de ciberseguridad y sus vulnerabilidades.

¿Qué es Pentesting?

Pentestig significa Penetration Testing o prueba de penetración. Se trata de una simulación de ciberataque que es previamente planeado en la compañía, porque es un ejercicio simulado en el que se pondrá a prueba la vulnerabilidad o robustez del sistema informático.

Recordemos que toda empresa con información delicada debe contar con un Web Application Firewall (WAF) o Firewall de Aplicaciones Web, así que un Pentesting o Penetration Testing pondrá a prueba las interfaces de protocolo de aplicación (API) o los servidores (back y front-end) para detectar en dónde están las entradas susceptibles de ataques.

La información proporcionada por la prueba de penetración se utiliza para ajustar sus políticas de seguridad WAF, verificar el cumplimiento de las políticas de seguridad y parchear las vulnerabilidades detectadas.

A las pruebas de penetración también se les conoce como hacking ético porque las realizan hackers éticos que, por supuesto, son expertos en tecnología y que pueden ser parte de la compañía, o bien, son contratados para realizar los ataques imitando las acciones que realizaría un ciberdelincuente en una situación real. Y, justo, se tratará de poner a prueba los protocolos de ciberseguridad.

El Pentesting está considerado como una medida de seguridad informática proactiva que tendrá una serie de mejoras basadas en los informes que genere la prueba. A diferencia de los enfoques no proactivos, que mejoran o revisan sus políticas de ciberseguridad una vez que han sufrido una violación en su red.

¿Para qué sirve el Pentesting?

Como lo determina el estudio del Foro Económico Mundial, los ciberataques han aumentado considerablemente en todas sus modalidades, como phishing, pharming o ransomware, dejando en una situación de alta vulnerabilidad a las empresas.

Lo anterior se exacerba todavía más con la situación en la que se realizan los negocios hoy en día debido a la pandemia, y ello no solamente considera los procesos de trabajo a distancia, sino también a las compras en línea, al intercambio de información y datos valiosos entre compañías y entre sus clientes.

Un ataque de ransomware en el que un ciberdelincuente logró secuestrar los datos, impidiendo que la empresa acceda a una red o a un servidor, ha sucedido y también ha dejado desastres sumamente cuantiosos y de gran impacto negativo en el prestigio de las empresas.

Justamente para ello las pruebas de penetración o Pentesting resultan ser una solución idónea, ahorrándole a la empresa cuantiosas pérdidas económicas al detectar las áreas débiles e identificando claramente cuáles son los puntos flacos que se deben reforzar, mitigando los riesgos de seguridad cibernética mucho, mucho antes de que se conviertan en una catástrofe.

Pentesting también es una prueba interesante para el área de Tecnología de la compañía porque el hacker ético piensa, actúa y ataca como lo haría un ciberdelincuente. Conoce sus intenciones, su persistencia, su tesón y, con base en ello, puede ser un extraordinario ejercicio de evaluación de las políticas de ciberseguridad de la empresa.

Tipos de Pentesting

El Pentesting o prueba de penetración se adapta a todo tipo de organización y puede tener distintos tipos dependiendo de cuál sea el nivel de ciberseguridad, el expertise del departamento de Tecnología de la empresa y los estándares establecidos en temas de seguridad.

Los Pentesting se catalogan de la siguiente forma:

Pentesting de caja blanca (white box)

Su nombre se debe a que el hacker ético, mejor conocido como pentester, tiene conocimiento del sistema que va a hackear. Puede tratarse de un pentester contratado, o bien, puede ser parte de la empresa y fungir este rol debido a las circunstancias.

Tiene en su poder la estructura de la red, passwords, direcciones IP, firewalls, etcétera. Toda esta información le va a permitir realizar un análisis completo de la infraestructura y, por ende, también sabrá qué puede mejorarse.

Pentesting de caja negra (black box)

El pentester no tiene datos de la empresa, así que debe conseguirlos tal cual como lo haría un ciberdelincuente. Esta es una prueba “a ciegas” que es sumamente apegada a la realidad, así que sus hallazgos serán sumamente valiosos sobre la vulnerabilidad de la red.

Pentesting de caja gris (grey box)

El pentester tiene algunos datos, aunque no todos. Podríamos decir que es una mezcla de las dos anteriores dado que la intención de dar información radica en reducir el tiempo dedicado a encontrar los huecos si se partiera de cero.

Así como existen condiciones para el hacker ético también las habrá para la empresa:

  • Prueba ciega: el hacker ético o pentester sólo tiene el nombre de la empresa al que deberá atacar. Por su parte, el personal de TI conoce de este ataque, aunque no sabe ni cuándo llegará ni a qué parte se dirigirá; sin embargo, está enterado del ataque.
  • Prueba doble ciego: en esta modalidad el pentester no tiene más que el nombre de la compañía y, lo interesante es que el personal de TI de la empresa tampoco sabe absolutamente nada… tal cual pasa en la vida real. De tal suerte que no está ni advertido ni tampoco puede prever lo que está por suceder.
  • Pruebas dirigidas: el personal de TI y el pentester trabajan en conjunto y están en constante comunicación de lo que sucede desde fuera y al interior. Sin lugar a dudas es un ejercicio muy valioso para la compañía porque puede conocer en tiempo real y por la información del hacker lo que sucede desde fuera permitiéndole conocer cuál sería el pensamiento real de un ciberdelincuente.

Métodos de prueba de pentesting

Métodos de Pentesting

En Pentesting existen dos tipos de métodos de prueba:

Pruebas externas: como su nombre lo dice son situaciones externas a la compañía como su página web, aplicaciones web, los servidores de dominio y de correo. La función del hacker ético será penetrar y extraer la información.

Pruebas internas: aquí se simula el ataque de un interno malintencionado porque recordemos que muchas veces las personas de la compañía son las que abren las puertas… y no nos referimos a que lo hagan con premeditación, alevosía y ventaja… sino que puede suceder sin que ellos estén del todo conscientes. Por ejemplo, a través de un ataque de phishing es posible obtener las credenciales para entrar a un sistema como si se tratara de una persona al interior de la empresa.

Etapas en una prueba de Pentesting

Los pentesters han diseñado un proceso de siete pasos que se llevan a cabo en las pruebas para obtener resultados óptimos:

  1. Preparación: la empresa debe definir qué es lo que desea evaluar porque precisamente este es el objetivo de la Penetration.
  2. Testing: cuando la compañía no ha analizado qué es lo que desea medir se vuelve compleja. A diferencia de cuando la compañía ha hecho una auditoría completa de sus sistemas y conoce cuáles son los posibles puntos de entrada. Sin embargo, la claridad en este punto será de suma importancia para el éxito del Pentesting.
  3. Plan de ataque: ya sea que el director, o bien, el departamento de TI, diseñen un plan de ataque para que también puedan definir cuál será el nivel de acceso que le brindarán al pentester: caja blanca, negra o gris y, en todo caso cuál será su nivel de participación en el mismo: prueba ciega, doble ciega o dirigida. 
  4. El equipo: La elección del Pentester es de los puntos más determinantes para el éxito. Sobre todo, lo indispensable es encontrar la especialización. Por ejemplo, si la empresa quiere probar su firewall deberá buscar hackers éticos expertos en firewalls. Es común ver que las compañías contratan empresas de consultoría especializadas que cada vez más ofrecen sus servicios de pruebas de penetración siguiendo las metodologías de cualquier casa consultora.
  5. Los datos robados: Aquí es donde podemos medir en cuestión de dinero y de reputación cuál es el valor de los datos que están en peligro de ser robados.
  6. La prueba: Al igual que el punto de partida la definición de la prueba también es compleja porque existen programas automatizados que son utilizados para realizar ataques programados. Sin embargo, es decisión de cada uno de los Pentester definir cuáles son las herramientas que utilizará, dependiendo de cuál sea el objetivo inicial que se le haya planteado.
  7. El informe: Es valiosísimo tener un informe claro que no solamente detalle los hallazgos, sino que también brinde algunas recomendaciones sobre las posibles soluciones.

El proceso de prueba de la pluma se puede dividir en cinco etapas.

¿Cómo hacer un Pentesting?

Como ya vimos, una prueba de penetración es un tema serio que sigue una metodología. De hecho, la preparación de un Pentester es rigurosa y durante el proceso sigue un plan que debe asegurar un buen análisis del sistema que se va a hackear, para encontrar todos los posibles fallos o entradas. Para ello debe de seguir los pasos que a continuación de mencionan:

  • Planificación y reconocimiento: para definir objetivos, alcances y métodos de prueba a emplearse. También considerará recopilar información como nombre de dominio, de red, servidores de correo, etc.
  • Escaneo: para conocer cómo responderá la aplicación a varios intentos de intrusión y se lleva a cabo usando:
  • Análisis estático: inspección del código de una aplicación para estimar la forma en que se comporta mientras se ejecuta. Estas herramientas pueden escanear la totalidad del código en una sola pasada.
  • Análisis dinámico: inspección del código de una aplicación en estado de ejecución. Esta es una forma más práctica de escanear, ya que proporciona una vista en tiempo real del rendimiento de una aplicación.
  • Acceso obtenido: se realizan los ataques para encontrar puertas de entrada, fallas, etc. Aquí es donde se roban datos, se interceptan y se miden también las políticas de ciberseguridad y su efectividad.
  • Mantener el acceso: una vez que se ha logrado penetrar también se debe medir el tiempo que se permanece para robar datos confidenciales de una organización.
  • Análisis: el informe es la etapa de culminación y debe incluir:
  1.  Vulnerabilidades específicas que fueron explotadas.
  2.  Datos sensibles a los que se logró tener acceso.
  3.  La cantidad de tiempo que el pentester pudo permanecer en el sistema sin ser detectado.

Con el informe, el equipo de TI o la empresa de ciberseguridad contratada podrá tomar las medidas necesarias para reforzar la seguridad, conocer los distintos ataques, la cantidad y el valor de los datos robados, entre otras cosas.

Este informe indica los pasos a seguir ya que es aquí donde se concentrarán todos los detalles que son precisos para que después del Penetration Testing el equipo de TI tenga una serie de recomendaciones jerarquizadas de los que es importante y de lo que es urgente, sobre todo, si se toma en cuenta que en el informe no se incluirá el valor de la información perdida… esa es tarea de la propia empresa que conoce cuál es el valor de su información.

Así que, el Informe del Penetration Testing es el primer paso a una serie de análisis y de generación de estrategia de parte de la compañía para realizar un plan de acción para eliminar las puertas de entrada o puntos vulnerables.

¿Cuál es la diferencia entre Pentesting y una evaluación de vulnerabilidades?

Podrían confundirse porque por el nombre parecen ser lo mismo pero, en realidad, se complementan.

Una evaluación de vulnerabilidad contiene la lista detallada de cuáles fueron las debilidades de seguridad que se encontraron y las sugerencias sobre cómo corregirlas.

El Pentesting suele tener un objetivo específico. Por ejemplo, si deseamos saber cuál es el nivel de vulnerabilidad de un firewall y qué tan factible es su violación, el resultado sería un informe de intentos, herramientas y nivel de complejidad de la penetración del firewall, pero también los métodos que un pirata informático utiliza para entrar a través de un firewall.

Una prueba de penetración tiene una meta que, generalmente, es: 

1. Identificar sistemas pirateados

2. Intentar piratear un sistema específico

3. Llevar a cabo una violación de datos

Algunas herramientas de Pentesting

Como lo mencionamos anteriormente, un Pentester debe ser una persona conocedora de la tecnología, que además domine varias herramientas para lograr su cometido. Aquí algunas de las que son indispensables para desempeñar su trabajo:

Escáneres de puertos: para buscar cuáles están abiertos en un sistema y que ayudan a identificar el sistema operativo y las aplicaciones de la red.

Escáneres de vulnerabilidades: detecta las aplicaciones que son vulnerables dentro del sistema, así como los errores de configuración que existen y que son un punto flaco por el cual podría suceder el ataque.

Detector de redes: además de conocer el nivel del tráfico de la red también pretende robar algunas credenciales expuestas para introducirse en la red.

Proxy web: un proxy web permite que un hacker intercepte y modifique el tráfico entre su navegador y el servidor web de una organización para buscar campos de formulario ocultos y otras características HTML que posteriormente explotará, gracias a su vulnerabilidad, mediante sitios web apócrifos.

Cracker de contraseñas: los crackers de contraseñas o descifradores de contraseñas le ayudan al hacker a determinar si los passwords son débiles o no se actualizan constantemente. 

La lista puede extenderse todavía más. Sin embargo, estas son algunas de las herramientas más empleadas por un Pentester para realizar su tarea.

RELACIONADO: ¿Cómo hacer un plan de concientización en seguridad de la información?

Conclusión

Como hemos visto, cada vez son más preocupantes los ataques que reciben las empresas sin importar su tamaño o giro. Si bien algunas compañías tienen miedo a muchas de las tendencias tecnológicas, la realidad es que cada día son más necesarias, no sólo frente a la nueva realidad que vivimos en medio de la pandemia, sino por los nuevos requerimientos de un público que ha probado ya las mieles de la tecnología. 

La ciberseguridad juega aquí el papel protagónico y las pruebas de penetración son extraordinarias para tener de aliado a un hacker que actúa de la misma forma en que lo hacen los ciberdelincuentes, con la ventaja de éste trabaja para nuestro beneficio encontrando las puertas de entrada que no vemos y que vuelven a la empresa altamente vulnerable.

Marcelo Ivan Sotelo Santamaria

Marcelo Ivan Sotelo Santamaria

Licenciado en Administración de Empresas, con más de 20 años de experiencia en Tecnologías de la Información y Ciberseguridad.

0 comentarios

Enviar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Artículos relacionados

Fortinet para protección de SAP

Fortinet para protección de SAP

Ago 10, 2023

En los últimos años, cada vez más empresas han migrado la gestión de sus operaciones hacia las soluciones tecnológicas como el ERP de SAP Business ONE. Los líderes empresariales reconocen que los softwares de gestión empresarial les han permitido adoptar prácticas que...

leer más
¿Qué es la solución de comunicaciones unificadas?

¿Qué es la solución de comunicaciones unificadas?

Ago 1, 2023

En las empresas, implementar una solución de comunicaciones unificadas permite mejorar la colaboración e incrementar la productividad entre los colaboradores. Hoy en Tec Innova te contaremos en qué consiste este sistema y cómo ayudará a tus empleados a mejorar su...

leer más
Tipos de direcciones IP: conócelas

Tipos de direcciones IP: conócelas

Jul 20, 2023

Probablemente más de una vez hayas escuchado el concepto de dirección IP: algo que usamos a diario mientras navegamos por internet, aunque no nos damos cuenta de su importancia. Hoy en el blog de Tec Innova te contaremos qué son y cuántos tipos de direcciones IP...

leer más