Contacto
Volver

Las pruebas de penetración en la práctica

Imagen del slider

24 de abril de 2019

Por Gyorgy Joseph – Experto en ciberseguridad y pentester en Squad

El pentest (o prueba de intrusión), un método imprescindible en las auditorías de seguridad, es una prueba que llevan a cabo las empresas para analizar los sistemas con el fin de detectar sus vulnerabilidades, evaluar los riesgos y proponer soluciones. Repaso general del pentest y su metodología.

Definición

La prueba de penetración (o pentest) es un método que consiste en analizar un objetivo poniéndose en la piel de un atacante (hacker malintencionado o pirata informático). Este objetivo puede ser de diversa índole, o incluso múltiple:

  • IP,
  • aplicación,
  • servidor web,
  • red completa.

¿Por qué realizar pruebas de intrusión?

Los objetivos son claros:

  • Identificar las vulnerabilidades de su sistema de información o de su aplicación,
  • Evaluar el nivel de riesgo de cada vulnerabilidad identificada,
  • Proponer soluciones por orden de prioridad.

Gracias a la prueba de intrusión, es posible evaluar: la gravedad de la vulnerabilidad, la complejidad de la corrección y el orden de prioridad que deben seguir las correcciones.

La intención no es maliciosa, sino asegurarse de que esas vulnerabilidades sean reales y se corrijan.

Las categorías de las pruebas de penetración

Las pruebas de intrusión se pueden dividir en tres categorías principales:

Caja blanca

Las pruebas de caja blanca comienzan con toda la información de que dispone el sistema de información. A continuación, se inicia la búsqueda de vulnerabilidades mediante diversas pruebas técnicas, como la detección de puertos abiertos, la comprobación de la versión de las aplicaciones, etc.

Caja gris

Al realizar pruebas de caja gris, el auditor dispone de cierta información sobre el sistema auditado. Por lo general, se le proporciona una cuenta de usuario.
Esto le permite ponerse en la piel de un «usuario normal».

Caja negra

Una prueba de caja negra significa que la persona que realiza la prueba se encuentra en condiciones reales de intrusión: la prueba se lleva a cabo desde el exterior y el auditor dispone de un mínimo de información sobre el sistema de información.

Este tipo de pruebas comienza, por tanto, con la identificación del objetivo:

  • Recopilación de información pública: páginas web, datos sobre los empleados, empresas que mantienen una relación de confianza con el objetivo.
  • Identificación de los puntos de presencia en Internet.
  • Escucha de la red.

¿Cuándo conviene realizar una prueba de intrusión?

Para garantizar la seguridad de la infraestructura o la aplicación, las pruebas de intrusión pueden realizarse en diferentes momentos:

  • durante la fase de diseño del proyecto, con el fin de anticiparse a posibles ataques,
  • durante la fase de uso, a intervalos regulares,
  • tras un ciberataque, para evitar que vuelva a ocurrir.

¿Cuál es el objetivo de un pentester?

El objetivo del pentester es, por tanto, múltiple y puede variar según el contexto:

  • Enumerar una serie de datos, obtenidos de una forma u otra, que pueden ser delicados o críticos
  • Elaborar una lista de las vulnerabilidades o puntos débiles del sistema de seguridad que podrían ser objeto de ataques
  • Demostrar que un posible atacante es capaz de detectar vulnerabilidades y aprovecharlas para introducirse en el sistema de información. Más allá de las vulnerabilidades sin relación entre sí, un enfoque real tiene como objetivo detectar la existencia de un plan de acción que permita pasar de la posición de un atacante externo al control del sistema de información o a la posibilidad de llevar a cabo acciones en él (espionaje, sabotaje, etc.).
  • Comprobar la eficacia de los sistemas de detección de intrusiones y la capacidad de respuesta del equipo de seguridad, y en ocasiones de los usuarios (ingeniería social)
  • Elaborar un informe y realizar una presentación final ante el cliente sobre el avance del proyecto y los resultados obtenidos
  • Ofrecer sugerencias y asesoramiento sobre los métodos para resolver y corregir las vulnerabilidades detectadas.

De la auditoría de seguridad de los sistemas de información a las pruebas de penetración

Una auditoría de seguridad abarca más que una prueba de intrusión. Durante una auditoría de seguridad, se revisa la seguridad de la organización en su conjunto, el PRA/PCA, el DLP (Data Loss Prevention), el cumplimiento de los requisitos de una norma (por ejemplo, PCI DSS) o un marco de referencia, y también se lleva a cabo una auditoría de configuraciones, una auditoría de código y, por último, un análisis de riesgos (EBIOS, MEHARI, MARION).

La auditoría de seguridad se lleva a cabo en varias fases, entre las que se incluye la prueba de intrusión o «pentest».

La auditoría de seguridad permite evaluar la seguridad de un sistema o una aplicaciónen relación con unmarco de referencia, que suele estar compuesto por la política de seguridad informática de la empresa, la legislación vigente, las normas, las referencias o las buenas prácticas actuales.

Laprueba de intrusión evalúa la seguridad no en función de las normas, sino en función de las prácticas reales de piratería informática en un momento dado.