Pentesting
El pentesting o test de penetración consiste en atacar diferentes entornos o sistemas con el objetivo de detectar y prevenir posibles fallos. Se trata de una técnica para encontrar aquellos errores en el sistema. Es una de las prácticas más demandadas actualmente, ya que gracias a este tipo de exámenes las empresas pueden poner remedio a sus debilidades antes de que lo hagan los ciberdelincuentes.
Los pentesting o test de penetración son útiles por las siguientes razones: para determinar qué posibilidad de éxito podría tener un ciberataque, qué vulnerabilidades de mayor y menor riesgo tiene la empresa, cuáles de ellas pueden poner en riesgo a la organización y cuáles son casi imposibles de detectar. Por último, también comprobar la capacidad y la eficiencia de los informáticos a la hora de responder a posibles ataques.
Existen tres tipos principales de pentesting:
- Tests de caja blanca: En esta prueba se tiene toda la información de la aplicación, sistema o arquitectura.
- Tests de caja gris: Cuenta con información parcial de la aplicación, sistema o arquitectura.
- Tests de caja negra: Al realizar el test no cuentan con ninguna información sobre la aplicación, sistema o arquitectura.
El tipo de pentesting que se vaya a usar depende de las condiciones que establezca el cliente, por lo general se relacionan con la visibilidad. Además, es lógico que cuanto menor sea la información sobre el objetivo a testear, mayor será la complejidad inicial para realizar la simulación, ya que deberá pasar por la fase de recopilación de información conformada por la fingerprinting y footprinting. En esta fase se establece cual es la visibilidad que se tiene de la aplicación, sistema o arquitectura donde se realizaran los test.
Es por ello por lo que, si no se cuenta con información previa, el esfuerzo será mayor y más meticuloso para recopilar los datos necesarios para evitar realizar varias pruebas en vano y sin resultados.
La metodología para realizar el pentesting se conforma por 5 fases:
- Recopilación de información: Se buscan datos en fuentes abiertas, redes sociales, foros y blogs acerca de la empresa y los empleados.
- Búsqueda de una base técnica: Se buscan los recursos que estén, tales como las aplicaciones y medios técnicos con los que cuente la empresa.
- Análisis de vulnerabilidades y amenazas: Posteriormente se encargarán de detectar las vulnerabilidades que tengan los sistemas y aplicaciones de seguridad, haciendo uso de distintas herramientas y desechos, pueden ser comerciales o desarrolladas por la empresa encargada del pentesting.
- Operación y procesamiento de datos: Ahora simulan un ciberataque real, para poder conseguir información sobre las vulnerabilidades existentes, mediante un análisis posterior.
- Generación de informes: Para finalizar se ejecutan y presentan los resultados de la simulación ya completada, incluyendo propuestas para que la organización mejore su sistema de seguridad.