fbpx

Hablemos de Pentesting

Hablemos de Pentesting

Primeramente es necesario comprender que la velocidad de los avances tecnológicos se debe considerar elemento importante, pues hoy podría estar pretérito lo que ayer era un estándar.

Con esto queremos determinar que una estrategia de seguridad será más efectiva si se testan normalmente los procesos y la tecnología, incluso una manera de hacer este test es por medio de ataques simulados que nos permitan construir protocolos para prepararse en caso de que exista un ataque real.

Actualmente se presentan constantes cambios de tecnología y uno de los mayores retos de la ciberseguridad informática precisamente son estos avances, para proteger los sistemas y evitar ciberataques. Es esencial que la ciberseguridad y la tecnología avancen al mismo tiempo, por esta razón entra en expansión el pentesting y labor de pentester.

¿Has escuchado acerca de estos términos?

El pentesting es una técnica diseñada para atacar diversos sistemas o escenarios con el objetivo de encontrar y evitar los fallos de seguridad en el mismo. También lo conocemos como test de penetración y es una de las prácticas en este momento con más demanda. ¿Por qué? Gracias a este test una empresa podrá saber a que está expuesta, y cuál es su nivel de eficiencia al momento de defenderse.

Algo importante que debemos mencionar es que el pentesting no se detiene a descubrir vulnerabilidades, este avanza al siguiente paso, el cual es explorar dichas vulnerabilidades con la finalidad de dirigir y a su vez estudiar los ataques simulados que pueden aparecer en el mundo real contra la seguridad de la empresa y los activos de una organización IT (sean físicos o digitales).

¿Cómo funciona?

Los especialistas de esta área (llamados pentester) aprovechan métodos manuales y software para realizar el primer reconocimiento, luego de esto reúnen la información de la compañía desde el punto de vista del cibercriminal, luego examinan los puntos de ingreso vulnerables y posteriormente parten de la brecha en el sistema e informan cómo lo hicieron.

¿Quieres saber cuáles son las tareas de un pentester?

El pentester realiza un trabajo basado en el seguimiento de pasos o procesos con la finalidad de garantizar una buena evaluación y ofrecer resultados. Se encargan de:

– Recoger información: aquí deberán realizar un conjunto de pruebas para poder analizar las vulnerabilidades y escapes de información empleando herramientas que estén a su disposición.

– Acceder al sistema: una vez obtenida dicha información y también la forma en la que se actuará, se organizan los ataques y se conserva el ingreso al objetivo a atacar.

– Elaborar un informe: deberá aparecer la gravedad o impacto de los fallos de seguridad atacados, para reducirlos o eliminarlos.

En el mundo de la seguridad informática, es una de la profesiones con más demanda, los profesionales de esta labor son actualmente muy solicitados.

¿Cuáles son las fases de un test de penetración (pentesting)?

El test de penetración es acordado entre el pentester y la empresa o persona que quiere poner a prueba sus sistemas informáticos para corregir e identificar posibles vulnerabilidades y peligros en relación con la misma.

Esto para el cliente es una auditoría de importancia, pues es un proceso que reflejará bastante información. Aquí el pentester actuará como un atacante más y aportará información desde una perspectiva completamente distinta al propio dispositivo de IT de la compañía.

El objetivo variará en base a las necesidades del cliente, es decir, se puede pedir al pentester: actuar como atacante interno, efectuar ataques de ingeniería social, probar una aplicación web, probar sistemas físicos de la seguridad en empresa, entre otros.

Cualquier tipo de test de penetración se debe desarrollar siguiendo unos pasos establecidos para poder mostrar posteriormente buenos resultados:

1) Fase de contacto: esta es la fase inicial para acordar con el cliente en que va a consistir el test de penetración. Aquí se acordará (por escrito) varios semblantes del pentesting como por ejemplo:

– Qué servicios se incluirán

– Acordar si se realizará el pentest en cualquier momento u hora.

– Las IPs.

– Manejo de exploits.

– Acordar a quién contactar cuando se descubran vulnerabilidades.

2) Fase de recolección de información: como su nombre lo indica se recogerá todos los datos disponibles de la empresa mediante arañas y scanner para obtener una idea de la red y sus programas en movimiento.

3) Fase de modelado de amenaza: luego de obtener los datos se debe pensar como ciberdelincuente, para diseñar la estrategia de penetración, planear los objetivos y cómo se alcanzarán los mismos.

4) Fase de análisis de vulnerabilidades: después del posible éxito de la estrategia planteada, la experiencia del pentester se hace visible puesto que la habilidad del mismo es precisa para poder elegir y manipular de forma correcta el conjunto de herramientas que están a su disposición para obtener los objetivos que fueron determinados en los anteriores pasos.

5) Fase de explotación: este es el momento adecuado para lograr ingresar a los sistemas planteados del test de penetración, para esta fase se deberá ejecutar exploits contra las vulnerabilidades ya identificadas, o sencillamente se usarán las credenciales obtenidas para poder tener acceso a los sistemas.

6) Fase de post-explotación: luego de entrar a una parte de los sistemas del cliente comienza la fase donde se tiene que indicar que expone la brecha de seguridad para el cliente, o la empresa.

7) Fase de informe: aquí se presentan los resultados obtenidos durante este proceso de auditoría del cliente, para que este pueda comprender los riesgos de las vulnerabilidades que fueron descubiertas y poder corregir errores en los que la seguridad se había establecido de forma incorrecta, aparte de explicar de qué forma pueden ser corregidos.

¿Cuáles son los tipos de pentesting?

Existen 3 tipos de pentesting clasificados según el tipo de información que se posee al ejecutar los test:

Pentesting de caja blanca (white box): aquí el auditor de seguridad conoce de todos los datos sobre el sistema desde: sus IPs, su estructura, firewalls, etc. Gracias a esta información es más sencillo saber qué se puede corregir dentro del diseño de la red.

Pentesting de caja negra (black box): en este caso el pentester tiene pocos datos sobre la empresa y actúa como un ciberdelincuente más. Su misión será descubrir desde cero, todas las vulnerabilidades y amenazas presentes en la estructura del sistema.

Pentesting de caja gris (grey box): este es una mezcla de los anteriores. Tiene información suficiente para no arrancar desde cero al ejecutar el test.

Sin embargo, en Lazarus podemos informar que empleamos Black box. Ya después de esto, si posees prácticas de black box entonces tendrás habilidades para todo.

¿Cuál es la importancia del pentesting?

El pentesting es absolutamente necesario, ya que es un elemento importante dentro de la seguridad informática de cualquier organización, es un proceso técnico con un conocimiento suficientemente extenso, y se debe potenciar dicha área.

Se puede deducir que el pentesting debe ser un servicio que funcione siempre. Para ser pentester es importante que nuestro sistema este diseñado con soporte para pentesting.

No olvides seguirnos por: