Qué es una prueba de penetración y cómo funciona

Las empresas de ciberseguridad ofrecen una amplia gama de servicios a sus clientes para evitar que la mayoría de los ciberataques tengan éxito. Uno de los servicios más comunes es el de pruebas de penetración que ayudan a identificar posibles puntos débiles en sus sistemas y arquitectura de red.

Estas vulnerabilidades pueden ser cualquier cosa, desde firewalls mal configurados hasta aplicaciones que procesan incorrectamente paquetes mal formados.

Para aquellos que tengan curiosidad por saber que son las pruebas de penetración y cómo las empresas de ciberseguridad manejan este servicio, aquí hay una breve explicación de sus conceptos más básicos.

¿Qué es una prueba de penetración?

Las pruebas de penetración no son la panacea pero si una excelente manera de identificar vulnerabilidades en un sistema o red.

También sirven para comprobar si las medidas de seguridad implementadas por una organización son insuficientes o inexistentes.

Una prueba de penetración generalmente implica el uso de métodos de ataque similares a los llevados acabo por los piratas informáticos.

Han sido una parte fundamental de la ciberseguridad durante décadas, sobre todo desde que las organizaciones gubernamentales y empresariales se dieron cuenta de que la interconectividad entre dispositivos en entornos de red hace que puedan ser vulnerables a accesos no autorizados, tanto desde el exterior como desde el interior de la propia empresa.

Cómo funciona una prueba de penetración

Si bien existen estándares reconocidos como el OWASP (Open Web Application Security Project) o el OSSTMM (Open Source Security Testing Methodology Manual) que permiten a las organizaciones controlar las vulnerabilidades de las aplicaciones, las pruebas de penetración pueden llevarse a cabo de diferentes maneras.

Parte de esto se debe a que la medodología de las amenazas evoluciona continuamente, y estas pruebas deben simular distintos entornos y diferentes métodos de ataque.

Pero básicamente constan de estas seis fases:

1. Se asigna a una persona o equipo para que actúe como pirata informático para realizar la prueba, preferentemente en una fecha y hora aleatorias.
2. Los miembros del equipo escanean las direcciones IP de diferentes equipos de la red del cliente para identificar aquellos que utilizan servicios, aplicaciones o sistemas operativos con vulnerabilidades conocidas.
3. El equipo de pruebas de penetración lleva a cabo una serie de ataques simulados contra la red utilizando diferentes métodos  y herramientas para comprometer el sistema.
   Estos ataques pueden apuntar a las vulnerabilidades detectadas en el análisis preliminar.
4. Superada la etapa anterior, se intenta llegar más lejos dentro del sistema vulnerado, el objetivo es conseguir credenciales o permisos de administrador para acceder a otros sistemas dentro de la organización.
5. Se genera un informe detallado de los resultados de la auditoría de seguridad que normalmente constará del proceso realizado en el test de intrusión, las técnicas utilizadas y las vulnerabilidades descubiertas.
   Esta documentación se entrega al cliente para que tome las medidas de seguridad que considere pertinentes.
6. Para evitar futuros riesgos de seguridad, se eliminará del sistema del cliente cualquier herramienta que se haya utilizado durante las pruebas. Así mismo se revertirá cualquier cambio realizado en sus aplicaciones, sistemas y redes.

Es importante que el equipo de pruebas de penetración tenga cuidado. Si la prueba se lleva a cabo de manera deficiente, podría causar daños reales a los sistemas de destino, lo que provocaría la congestión de la red o fallos en algunos dispositivos conectados a la misma.

Por qué realizar una prueba de penetración

Hay tres razones fundamentales por las que la mayoría de organizaciones realizan pruebas de penetración:

1. Identificar vulnerabilidades específicas en la arquitectura de seguridad de la red para que puedan ser reparadas, incluidos los posibles fallos en el plan de respuesta a incidentes.
2. Aumentar la conciencia sobre los problemas de seguridad entre la dirección de la organización, lo que puede resultar en una inversión mayor en personal y tecnologías de seguridad.
3. Detectar las brechas de seguridad para llevar a cabo políticas de educación, capacitación y concienciación sobre seguridad informática entre los diferentes profesionales de la organización.

La frecuencia de las pruebas de penetración puede variar de una organización a otra en función del tamaño de la empresa, la rotación de personal, la frecuencia con la que se agrega nuevo software o hardware a la red, y las regulaciones específicas de ciberseguridad que rigen en cada industria.

Por ejemplo, no es lo mismo una compañía de seguros, que una estructura crítica como una central eléctrica.

Métodos de prueba de penetración

El método normalmente depende de los deseos y requisitos de la organización.

Pentesting de caja negra (Black Box)

Las pruebas de caja negra, también conocidas como pruebas de penetración externa , simulan un ataque desde fuera de la organización.

Esto significa que comienzan sin ninguna información sobre la infraestructura de TI y las defensas de seguridad.

El pentester o auditor de ciberseguridad no sabe nada sobre el código interno o el software y carece de credenciales de acceso o información confidencial.

Esta forma de prueba es la más realista porque obliga al evaluador a pensar como un pirata informático en busca vulnerabilidades.

Pentesting de caja gris (Grey Box)

El probador posee algunos conocimientos básicos sobre el sistema.

Por ejemplo, puede tener cuentas de usuario (credenciales de nivel inferior) con las que puede iniciar sesión.

También un mapa de la infraestructura de red o diagramas de flujo lógicos (representan gráficamente los límites del sistema y la lógica de los procesos) de la aplicación.

La prueba seguirá produciendo resultados muy realistas porque muchos delincuentes ni siquiera intentarán lanzar un ataque sin alguna información sobre el objetivo.

Pentesting de caja blanca (White Box)

Los evaluadores reciben el nivel más alto de privilegios de acceso.

Esto les permite evaluar el sistema a fondo en busca de distintas vulnerabilidades, configuraciones incorrectas, código malicioso o mal escrito y medidas de seguridad deficientes.

Si bien es muy completo (y especialmente efectivo para prevenir amenazas internas ), es posible que no detecte las brechas que un atacante podría explotar desde el exterior utilizando tácticas no convencionales.

Este tipo de prueba puede tardar de dos a tres semanas en completarse.

Tipos de pruebas de penetración

Existen varios tipos de pruebas de penetración para evaluar la seguridad general de una red, y pueden utilizar una combinación de varias de las metodologías anteriores.

Estas son las más comunes:

Pruebas de ingeniería social

Estas pruebas intentan que un empleado revele información confidencial, como contraseñas u otros datos sensibles.

Pueden realizarse por teléfono, correo electrónico y otros tipos de comunicación, y ayudan a identificar vulnerabilidades de seguridad relacionadas con el factor humano.

Si se pretende mejorar la seguridad de una empresa sin incluir a sus empleados, todos los otros esfuerzos serán en vano.

Concienciar a los profesionales sobre este tipo de ataques, es una de las mejores formas de evitar que tengan éxito.

Prueba de servicios de red

Esta prueba identifica posibles brechas en una red para determinar desde dónde los piratas informáticos pueden obtener acceso a un sistema.

La ausencia de los últimos parches de seguridad en terminales constituye un punto de acceso para posibles atacantes, ya que existen exploits para un gran número de vulnerabilidades conocidas públicamente.

En una red genérica, es altamente probable que alguna de las estaciones de trabajo no se encuentre actualizada, incluyendo ordenadores, cajas registradoras, lectores de tarjetas, cámaras y otros dispositivos.

Prueba de aplicación web

Se trata de una prueba automatizada que determina si las aplicaciones web y el software que se ejecuta en el entorno de red contienen vulnerabilidades de seguridad.

Se suelen realizar pruebas en los siguientes escenarios:

•  Secuencias de comandos entre sitios.
•  Inyección SQL.
• Autenticación y gestión de sesiones rota.
• Defectos de carga de archivos.
• Ataques de servidores en caché.
• Configuraciones incorrectas de seguridad.
• Falsificación de solicitudes entre sitios.
• Craqueo de contraseñas.

Para probar adecuadamente la totalidad de una aplicación web, se debe dedicar una cantidad significativa de tiempo y recursos.

Prueba de seguridad inalámbrica

La prueba se realiza desde un lugar donde el pentester pueda estar dentro del alcance de la red inalámbrica que se pretende auditar.

El objetivo de la prueba es relativamente sencillo: encontrar vulnerabilidades en los puntos de acceso wifi para identificarlas e intentar explotarlas.

Prueba de penetración física

Este tipo de prueba implica superar las barreras de seguridad físicas para obtener acceso a los edificios o a los sistemas de seguridad de una empresa u organización.

Pone a prueba la efectividad de los diversos controles de acceso como por ejemplo cámaras, guardias de seguridad, cerraduras electrónicas y alarmas.

Si un pirata informático puede eludir físicamente la seguridad para acceder a la sala de servidores, podría obtener fácilmente el control de una red.

Accediendo al despacho de un alto ejecutivo, podría instalar un keylogger de hardware (generalmente una unidad flash USB o un pequeño dispositivo que se inserta dentro del teclado) para monitorizar y registrar las pulsaciones que se realizan en el teclado de un dispositivo.

Herramientas de prueba de penetración

Existe una variedad de herramientas automatizadas que se pueden usar para identificar vulnerabilidades.

• Inguma es una herramienta que incluye módulos para descubrir los hosts, información sobre ellos, sacar nombres de usuario y las contraseñas por fuerza bruta y por supuesto exploits para muchos productos.
• Wireshark es probablemente el analizador de protocolos de red más utilizado en todo el mundo. El tráfico de red capturado a través de Wireshark puede mostrar qué protocolos y sistemas están activos, para permitir a los atacantes interceptar datos confidenciales.
• Nmap es el mejor amigo de los pentesters. Esta herramienta de mapeo de seguridad de red les brinda poder echar un vistazo rápido a los puertos abiertos en cualquier red.
• MobSF se suele utilizar para el descubrimiento de vulnerabilidades en plataformas móviles (Android e iOS) tanto en entornos corporativos como individuales.
• FOCA es una herramienta de pentesting para los sistemas operativos Windows, utilizada principalmente para la búsqueda de información contenida en metadatos de ficheros y de esta forma obtener datos relevantes asociados a una organización o página web.

En cualquier caso, cada proveedor de servicios de seguridad administrada normalmente tendrá sus herramientas de prueba de penetración preferidas y los más expertos, incluso puede crear sus propios frameworks.

Pero hay algunas características clave que todas ellas deberían poseer:

• Fáciles de usar: esto puede parecer obvio, pero la implementación de un software de prueba demasiado complicado y difícil de administrar hace que sea más probable que algo no se configure correctamente.
• Verificación automatizada: un buen programa de prueba debería poder verificar cualquier vulnerabilidad automáticamente.
• Priorización de vulnerabilidades: cualquier vulnerabilidad debe categorizarse y priorizarse de acuerdo con su gravedad para que los evaluadores sepan qué brechas de seguridad requieren atención inmediata.
• Reverificación: las vulnerabilidades conocidas deben ser fáciles de localizar después de que se hayan identificado para facilitar una reparación rápida.
• Funciones de informes detallados: una vez que se completa la prueba de penetración, el software debe poder generar un informe de registro detallado que proporcione información sobre las vulnerabilidades identificadas.

Capacidades necesarias para ejercer como Pentester profesional

A la hora de intentar conseguir empleo en esta disciplina, las empresas valoran mucho las certificaciones, ya que estas sirven como garantía de que la persona contratada tiene todas las habilidades necesarias.

Para prepararse para algunas de estas certificaciones, y poder asimilar más fácilmente los conceptos que se abordan en ellas, es recomendable contar con ciertos conocimientos, pero no es un requisito imprescindible para poder acceder al curso.

Por ejemplo, la Information Assurance Certification Review Board (IACRB) gestiona una certificación sobre pruebas de penetración conocida como Certified PenetrationTester (CPT).

También existen otras como la certificación CEH (Certified Ethical Hacker) ofrecida por EC-Council, la OSCP (Offensive Security Certified Professional) o la eCPPTv2 (eLearnSecurity Certified Professional Penetration Tester).

Para conseguir una de ellas, se exige que el candidato apruebe un examen teórico y a veces también uno práctico, en el cual se requiere que lleve a cabo una prueba de penetración contra servidores normalmente en una máquina virtual.

Algunas consideraciones legales

Emplear a un tercero para atacar la red de una organización mientras la empresa continúa con su funcionamiento normal es la única forma realista de realizar las pruebas.

Sin embargo, la persona encargada de realizarlas tiene que dejar muy claras algunas reglas básicas, a ser posible mediante un contrato por escrito.

Antes de ponerse manos a la obra, el pentester, deberá obtener una autorización explícita  e inequívoca por parte del titular de los equipos y sistemas que se quieren auditar en la que se especifique que se le autoriza para vulnerar las medias de seguridad de la organización.

Toda la información a la que pudiera tener acceso durante las pruebas tendrá que estar consensuada y aprobada por el cliente, y deberá permanecer bajo riguroso secreto mediante un contrato de confidencialidad.

Si se solicita una revisión del software, el profesional deberá asegurarse de que la licencia de los programas permite la ingeniería inversa o la revisión del su código fuente.