PENTESTING
El concepto
El pentesting, también conocido como prueba de penetración, consiste en la simulación de un ataque a un sistema software o hardware con el objetivo de encontrar vulnerabilidades para prevenir ataques externos.
Toda organización maneja información para su funcionamiento diario. Es habitual que se utilicen herramientas para su tratamiento en ordenadores, teléfonos móviles, tablets, líneas de comunicaciones, etc. En cualquier caso, trabajar con información, conlleva una serie de riesgos.
¿Qué pasaría si nuestra empresa fuera víctima de una fuga de información o sufriera un ataque de denegación de servicio? Ante estas amenazas, tenemos que analizar los sistemas que soportan la gestión de la información en la empresa, para evaluar los riesgos asociados a su utilización.
Para facilitar esta labor, existen una serie de métodos y herramientas que permiten realizar un análisis conocido como test de penetración, test de intrusión, pen test o pentesting.
¿Qué es el pentesting?
Un pentesting es un conjunto de ataques simulados dirigidos a un sistema informático con una única finalidad: detectar posibles debilidades o vulnerabilidades para que sean corregidas y no puedan ser explotadas. Estas auditorías comienzan con la recogida, en fuentes de acceso abierto, de información sobre la empresa, los empleados, usuarios, sistemas y equipamientos. Continúa con un análisis de vulnerabilidades que se intentarán explotar, incluso con técnicas de ingeniería social, atacando a los sistemas hasta conseguir sus objetivos. Finalmente, se realiza un informe que indica si los ataques tendrían éxito, y en caso afirmativo porqué y qué información o acceso obtendrían, es decir, se simulan ataques tal y como los llevaría a cabo un ciberdelincuente que quisiera hacerse con el control del sistema o con la información en él contenida. De esta forma, se puede determinar:
-
Si el sistema informático es vulnerable o no
-
Evaluar si las defensas con las que cuenta, son suficientes y eficaces
-
Valorar la repercusión de los fallos de seguridad que se detecten
En la preparación del pentesting se realiza un plan con un conjunto de ataques dirigidos, según la tecnología que se utilice en la empresa y sus necesidades de seguridad. Para ello, los auditores cuentan con metodologías, —algunas específicas según la tecnología o estándares de seguridad que queramos implantar, y otras más generales—, que les ayudan a realizarlas de forma sistemática. Tendremos que elegir qué pruebas queremos que realicen y sobre qué aplicaciones o servicios.
De caja blanca
Si disponen de toda la información sobre los sistemas, aplicaciones e infraestructura, pudiendo simular que el ataque se realiza por alguien que conoce la empresa y sus sistemas.
De caja gris
Si dispone de algo de información pero no de toda.
De caja negra
Si no dispone de información sobre nuestros sistemas; en este caso, se simula lo que haría un ciberdelincuente ajeno.
No obstante, cuando contratamos un servicio de pentesting además de acordar la finalidad del servicio, el objeto del análisis y qué tipo de prueba queremos que realicen, como se trata de un ataque «permitido» tenemos que tener en cuenta algunas cuestiones legales.