Las empresas de ciberseguridad ofrecen una amplia gama de servicios a sus clientes. Uno de los más comunes es el de pruebas de penetración que ayudan a identificar posibles puntos débiles en sus sistemas y arquitectura de red.
Estas vulnerabilidades pueden ser cualquier cosa, desde firewalls mal configurados hasta aplicaciones que procesan incorrectamente paquetes mal formados.
Para aquellos que tengan curiosidad por saber que son las pruebas de penetración y cómo las empresas de seguridad manejan este servicio, aquí hay una breve explicación de sus conceptos más básicos.
¿Qué es una prueba de penetración?
Las pruebas de penetración no son la panacea, pero sí una excelente manera de identificar vulnerabilidades en un sistema o red.
También sirven para comprobar si las medidas de seguridad implementadas por una organización son:
Correctas.
Aceptables.
Insuficientes.
Inexistentes.
Una prueba de penetración generalmente implica el uso de métodos de ataque similares a los llevados a cabo por los piratas informáticos.
Se puede realizar de forma manual, o mediante herramientas que automatizan el proceso.
La frecuencia de las pruebas de penetración puede variar de una organización a otra.
En función del tamaño de la empresa.
La rotación de personal.
La frecuencia con la que se agrega nuevo software o hardware a la red.
Las regulaciones específicas de ciberseguridad que rigen cada industria.
Por ejemplo, no es lo mismo una compañía de seguros, que una estructura crítica como una central nuclear.
¿Cuál es la diferencia entre las pruebas de penetración y la evaluación de vulnerabilidades?
Las pruebas de vulnerabilidades también pertenecen al ámbito de la seguridad informática, pero son un tipo diferente de examen.
Están diseñadas para definir e identificar las debilidades de un sistema, con el fin de poder clasificarlas.
Ambas pruebas, generalmente, se llevan a cabo por separado.
Pero, a veces, la evaluación de vulnerabilidades, se hace justo antes de las pruebas de penetración para tener un punto de referencia.
Cómo funciona una prueba de penetración
Si bien existen estándares reconocidos como el OWASP (Open Web Application Security Project) las pruebas de penetración pueden llevarse a cabo de diferentes maneras.
Parte de esto se debe a que las amenazas evolucionan continuamente, y estas pruebas, deben simular distintos entornos y diferentes métodos de ataque.
Pero básicamente constan de estas fases:
Exploración: el objetivo es determinar cómo reaccionarán los sistemas de seguridad ante los intentos de violar sus controles y contramedidas. Esto se lleva a cabo de forma manual o mediante herramientas automatizadas.
Acceso: el auditor se moverá por el sistema para determinar hasta donde puede llegar, y cuánto daño podría causar un atacante real. A eso se le llama «movimiento lateral».
Mantener el acceso: esto imita a las amenazas persistentes avanzadas (APT) mediante las cuales, un delincuente puede permanecen dentro de la red de la víctima durante meses, sin ser detectado.
Encubrimiento: el pentester borra todos los rastros de su presencia. En un ciberataque real, los villanos intentan que sea imposible detectar cualquier ejecutable o registro de sus actividades.
Informe detallado: documenta los métodos utilizados, las brechas descubiertas, y otra información importante para el equipo de seguridad.
Métodos de prueba de penetración
El método a emplear dependerá principalmente de las necesidades y características específicas de cada empresa.
Pentesting de caja negra (Black Box)
Las pruebas de caja negra, también conocidas como pruebas de penetración externa, simulan un ataque desde fuera de la organización.
Esto significa que comienzan sin ninguna información sobre la infraestructura de TI y las defensas de seguridad.
El pentester o auditor de ciberseguridad no sabe nada sobre el código interno o el software, y carece de credenciales de acceso o información confidencial.
Esta forma de prueba es la más realista porque obliga al evaluador a pensar como un pirata informático.
La pega es que el auditor tiene que buscarse la vida.
Y recopilar toda la información necesaria, puede llevar mucho tiempo, lo que prolonga el cronograma de la prueba.
Tampoco sirve para detectar amenazas internas.
Pentesting de caja gris (Grey Box)
El probador posee algunos conocimientos básicos sobre el sistema.
Por ejemplo, puede tener cuentas de usuario (credenciales de nivel inferior) con las que poder iniciar sesión, e ir escalando privilegios.
La prueba seguirá produciendo resultados muy realistas porque muchos delincuentes ni siquiera intentarán lanzar un ataque sin alguna información sobre el objetivo.
Pentesting de caja blanca (White Box)
Los evaluadores reciben el nivel más alto de privilegios de acceso.
Esto les permite evaluar el sistema a fondo en busca de distintas vulnerabilidades: software y sistemas operativos desactualizados, configuraciones incorrectas, código malicioso o mal escrito, etc.
En definitiva, cualquier medida de seguridad deficiente.
Si bien es muy completo (y especialmente efectivo para prevenir amenazas internas), es posible que no detecte las brechas que un atacante podría explotar desde el exterior.
Este tipo de prueba puede tardar de dos a tres semanas en completarse.
Tipos de pruebas de penetración
Existen varios tipos de pruebas de penetración para evaluar la seguridad general de una empresa, y se pueden utilizar junto a una combinación de varias de las metodologías anteriores.
Estas son las más comunes:
Pruebas de ingeniería social
Estas pruebas intentan que un empleado revele información confidencial, como contraseñas u otros datos sensibles.
Pueden realizarse por teléfono, SMS, correo electrónico y otros tipos de comunicación.
Básicamente, ayudan a identificar fallos y vulnerabilidades de seguridad relacionadas con el factor humano.
Pentesting de red interna
Consiste en evaluar la seguridad de una red interna desde la posición de un atacante que ha logrado penetrar en ella.
Las pruebas cubren servidores, equipos conectados a la red, estaciones de trabajo, conexiones wifi, etc.
A continuación se muestran algunos ejemplos de vulnerabilidades descubiertas durante estas pruebas:
Mala configuración de la red.
Fallos de control y registro de las actividades de los usuarios.
Falta de cifrado de los datos y las comunicaciones.
Gestión deficiente de los permisos de acceso.
Certificados de seguridad débiles, mal configurados, o no confiables.
En una red genérica, también es bastante probable que alguna de las estaciones de trabajo (dispositivos conectados a la red, como por ejemplo ordenadores) no se encuentre actualizada.
Prueba de aplicación web
Se trata de una prueba automatizada que determina si las aplicaciones web y el software que se ejecuta en su entorno, contienen vulnerabilidades de seguridad.
Se suelen realizar pruebas en los siguientes escenarios:
Secuencias de comandos entre sitios.
Inyección SQL.
Autenticación y gestión de sesiones rota.
Defectos de carga de archivos.
Ataques de servidores en caché.
Configuraciones incorrectas de seguridad.
Falsificación de solicitudes entre sitios.
Craqueo de contraseñas.
Para probar adecuadamente la totalidad de una aplicación web, se debe dedicar una cantidad significativa de tiempo y recursos.
Prueba de penetración física
No suele ser demasiado común, y puede sonar a película de Hollywood, pero si alguien logra colarse en el edificio, podría incluso piratear el hardware.
Este tipo de prueba implica superar los controles de acceso a los edificios, o a los sistemas de seguridad de una empresa u organización.
Otras pruebas:
Pentesting de sistemas IoT.
Pruebas de penetración de aplicaciones móviles.
Algunas herramientas de prueba de penetración
Existe una gran variedad de herramientas (la mayoría en línea de comandos) que se pueden usar para identificar e intentar explotar vulnerabilidades.
Este es un pequeño ejemplo:
Aircrack-ng: su uso principal es identificar y explotar vulnerabilidades en redes wifi, que utilizan los protocolos de seguridad WEP y WPA/WPA2-PSK
SQLmap: todo un veterano que funciona enviando varios tipos de solicitudes a una aplicación web. Después analiza las respuestas para identificar posibles vulnerabilidades.
John the Ripper: el «destripador» es todo un clásico. Particularmente eficaz para probar la resistencia de las contraseñas en un entorno de red.
Wireshark: captura y muestra en tiempo real los datos que viajan hacia adelante y hacia atrás en una red. Por sí solo no sirve para explotar vulnerabilidades, pero es de gran ayuda para identificarlas.
Capacidades necesarias para ejercer como Pentester profesional
A la hora de intentar conseguir empleo en esta disciplina, las empresas valoran mucho las certificaciones, ya que estas deberían servir como garantía de que la persona contratada tiene todas las habilidades necesarias.
Pero la «titulitis» no quita el hecho de que algunos de los mejores profesionales sean autodidactas con largos años de experiencia.
En cualquier caso, para prepararse para algunas de estas certificaciones, y asimilar más fácilmente los conceptos que se abordan en ellas, es recomendable contar con ciertos conocimientos,
Pero eso último, no es un requisito imprescindible para poder acceder al curso.
Por ejemplo, la Information Assurance Certification Review Board (IACRB) gestiona una certificación sobre pruebas de penetración conocida como Certified PenetrationTester (CPT).
También existen otras, como por ejemplo:
CEH (Certified Ethical Hacker) ofrecida por EC-Council.
OSCP (Offensive Security Certified Professional).
eCPPTv2 (eLearnSecurity Certified Professional Penetration Tester).
Para conseguir una de ellas, se exige que el candidato apruebe un examen teórico y a veces también uno práctico, en el cual se requiere que lleve a cabo una prueba de penetración contra servidores (normalmente en una máquina virtual).
