hacker

Todo lo que tienes que saber sobre Pentesting

En esta nueva era,la ciberseguridad es un área indispensable para las empresas de hoy. Se habla de personas llamadas “hackers” (término mal empleado, son “crackers”) que ingresan de manera no autorizada a información confidencial que puede destruir o descontrolar a la empresa. Dicha información puede ser contraseñas y usuarios que manejen el dinero de la empresa, por ejemplo. Estos delitos informáticos han causado problemas cada vez mayores a lo largo de los años debido al avance tecnológico y de las estrategias empleadas por los ciberdelincuentes, es aquí donde nacen los pentester

Entonces, ¿Qué es un Pentester?

El Pentester (Penetration Test/ Prueba de Penetración) se encarga, como su nombre lo indica,se hacer pruebas de penetración a los servidores o red de una empresa, en busca de alguna puerta trasera (backdoor) abierta para la extracción de información de manera remota y no autorizada.

El perfil del Experto en Pentester es uno de los más demandados (aunque también de los menos valorados a pesar de la responsabilidad que se delega en éstos). No son muchos los que se especializan en este amplio campo de las nuevas tecnologías, y una de las razones es la innumerable cantidad de métodos de intrusión, deinfección, exploits, etc… que existen hoy día, además de los que van surgiendo prácticamente por horas.

La realidad es que vivimos una guerra virtual, en la que cualquier empresa, o incluso persona puede ser víctima de un delito informático.

Entonces… ¿Es necesario contratar un pentester o saber lo básico de la seguridad de la información?

Si, lo es y en gran medida, en este post te guiaremos en todo lo que tienes que saber de esta área y también como aprender de esta hermosa rama de la seguridad informática.

¿Qué es el Pentesting?

Cabe destacar antes que, Pentester y Pentesting son cosas distintas. El Pentesting es una combinación de las palabras inglesas “penetration” y “testing”, lo que quiere decir test de penetración, mientras que el Pentester es el que realiza el test de penetración en la red sin ser detectado, como jugar al gato y al ratón,debes ser escurridizo y evitar que el gato te encuentre, En este caso un gran gato de fuego muy inteligente (firewall, IDS).

Entonces, Pentesting o Penetration Testing es la práctica de atacar diversos entornos con la intención de descubrir fallos, vulnerabilidades u otros fallos de seguridad,para así poder prevenir ataques externos hacia esos equipos o sistemas. Es una rama de estudio relativamente reciente y muy demandado (acontecido por los importantes ataques y filtraciones sufridos por varias empresas importantes los últimos años).

El pentester posee un perfil laboral que presenta un gran potencial ya que actualmente la seguridad informática es muy necesaria ya que toda información sensible se maneja a nivel de datos, y el hecho que un usuario mal intencionado pueda acceder a ésta información puede ser una catástrofe para la empresa.

Lo más importante, ¿Esto es legal?

Sí, El pentesting es totalmente legal siempre y cuando los ataques que realicemos sean dirigidos hacia nuestros propios equipos o los equipos de nuestros clientes (bajo su consentimiento). De no ser así, estaríamos cometiendo un delito informático, acto que es penado con prisión. Es por ello que para ser pentester es necesario tomar en cuenta las leyes que rigen cada país y tratarlas cuidadosamente, al igual que el Informático Forense, ambas profesiones posee una línea muy delgada entre la legalidad y la ilegalidad. Para dejarlo claro, diferenciamos el pentester del cracker porque en el pentester contamos con el permiso y aprobación del propietario del sistema a atacar, mientras que durante un ataquen o consentido por el propietario incurriremos en un delito informático. De aquí entra la definición de Ethical Hacking, que son cosas muy parecidas.

hacker
hacker

¿Cómo evito ser hackeado?

Debemos tener en especial atención que las vulnerabilidades no sólo son los equipos mal actualizados, sino las mismas costumbres en nuestro día a día, escoger una contraseña fácil o deducible porque pensamos que no somos importantes, dejar información sensible en redes sociales, dar click a todo enlace que se le aparezca, ¡incluso descargar una foto que te envíen al correo! (el conocido phishing) Todo tiene un peso, y eso puede causar muchos dolores de cabeza.

Estos términos son sólo una base con la que comenzar a comprender el proceso de un ataque, para posteriormente poder asegurar nuestro equipo contra ellos. De ahí que debamos tener en cuenta mantener nuestros sistemas actualizados, ya que la mayoría delas actualizaciones aparte de corregir fallos menores, se centran en solucionar esos famosos agujeros de seguridad por los que se podría colar alguien para acceder a nuestra información o para sencillamente controlar nuestro equipo y cometer algún acto delictivo.

¿Cuáles son las fases de un Pentesting?

Ya conociendo la diferencia entre Pentester y Pentesting, tenemos que cumplir con una serie de fases en el momento de ser contratado por una empresa, se muestran a continuación:

– Contacto: cuand oel cliente contacta con el pentester. Debe haber un contrato de por medio quede legalidad a las acciones que se van a tomar.

– Recolección de información: Se investiga a la empresa, se busca su perfil por redes sociales,el tamaño de la empresa, entre otros.

– Modelado de Amenazas: La estrategia que voy a emplear según la información recolectada.

– Explotación: Realizar el ataque, para ello se usan scripts o exploits.

– Post-Explotación: En esta fase se pretende conseguir el máximo nivel de privilegios,información de la red y acceso al mayor número posible de sistemas identificando que datos y/o servicios se tiene al alcance.

– Informe: Se debe entregar el resultado de auditoría al cliente, de manera que comprenda la seriedad de los riesgos que pueden causar las vulnerabilidades encontradas, explicando detalladamente el procedimiento de la explotación.

teclado rojo

Y… ¿Cuáles son las herramientas de un Pentester?

Como se sabe, el objetivo de un pentester es encontrar fallos o vulnerabilidades en un sistema, para ello debe realizar un escaneo de la red, para la búsqueda del objetivo o para analizar una red completa, al encontrar las vulnerabilidades, se procede a la explotación, en la que se usan scripts o exploits para la toma de posesión del dispositivo víctima. Para lograr esto, se utilizan dos herramientas fundamentales, las cuales están basadas en Unix:

Nmap (Network Mapper, mapeador de redes):

Es una sofisticada utilidad para la exploración y auditoría de seguridad de redes TCP/IP. Ha sido diseñado para escanear de forma rápida, sigilosa y eficaz tanto equipos individuales como redes de gran tamaño. Es una herramienta gratuita, de códig oabierto bajo licencia GPL, bien documentada, multiplataforma, disponible para consola, y que ofrece también una interfaz gráfica para facilitar su uso.

Metasploit:

Metasploit es un proyecto para la seguridad informática de open source, que proporciona información acerca de vulnerabilidades de seguridad y ayuda en tests de penetración y el desarrollo de firmas para sistemas de detección de intrusos.

Su sub proyecto más conocido es el Metasploit Framework (MSF), una herramienta multiplataforma y gratuita para desarrollar y ejecutar exploits contra una máquina remota. Está desarrollada en Perl y Ruby en su mayor parte. La versión pago nos ofrece una mayor cantidad de exploits, pero la versión gratuita contiene todo lo necesario para empezar con esta interesante herramienta.

¿Se usa algun sistema operativo en particular?

En el ámbito de la ciberdefensa y en nuestros cursos recomendamos y utilizamos el sistemaoperativo kali linux ya que viene con una gran cantidad de scripts que utilizamos durante todo el curso y entorno de trabajo, se puede comparar con parrot, cyborg, entre otros. 

¿Y Donde puedo hacer el curso de Pentester?

Primero déjanos  felicitarte por llegar hasta el final del post y en segundo ¡Estás en el lugar indicado!, somos una organización enfocada en dar la formación y servicio en esta rama de la seguridad informática.

<<INSCRIBIRME EN EL CURSO DE PENTESTER>>

Nosotros te guiaremos del inicio hasta el final durante todo el proceso de aprendizaje, dándote todas las herramientas y tips para que salgas listo el campo laboral. Verás 95% de practicas el resto será teoría, aunque ya con con todo lo que has leído bebería ser suficiente. ¡adelante empieza con nosotros! 🙂

Dejar un comentario