Pentesting
¿Qué es Pentesting o test de penetración?
El test de penetración es una técnica de ciberseguridad donde se simula un ataque informático de manera controlada utilizando diferentes métodos de ataque comunes para ver si se puede pasar por alto la seguridad de un sistema con el objetivo de encontrar vulnerabilidades que corregir para evitar un ataque real. Si el auditor de dicho test de penetración no puede comprometer el sistema mediante el uso de ataques comunes, entonces el sistema pasa la prueba. De lo contrario, si el sistema queda comprometido, no pasa la prueba por lo que habría que trabajar para solucionar los fallos encontrados.
Este tipo de medidas de ciberseguridad son medidas de protección activas debido a que se buscan las ineficiencias en las arquitecturas, malas configuraciones y gestiones de permisos, etc. para encontrar los posibles fallos de los sistemas que podrían ser el punto de entrada de un ciberdelincuente para poder solucionarlo antes de que este lo encuentre.
Tipos de Pentesting o de pruebas de penetración
En función del objetivo que se quiera conseguir, las vulnerabilidades que se quieran encontrar o los sistemas que se quieran comprobar, la la empresa proporcionará un tipo de información u otra al experto. Dependiendo de la documentación que se le haya proporcionado al pentester se clasifican tres tipos de pruebas de Pentesting.
Pentesting White Box o de Caja Blanca
En el Pentesting de Caja Blanca el experto que va a realizar la prueba tiene toda la documentación de los sistemas de la empresa y acceso total conociendo usuarios y contraseñas, estructura, conocimiento sobre la configuración del Firewall, etc. Este tipo de Pentesting White Box sirven principalmente para realizar la prueba en el menor tiempo posible y detectar posibles vulnerabilidades que se podrían dar desde dentro del propio sistema de la empresa si un ciberdelincuente hubiese conseguido entrar a un sistema concreto con ciertas credenciales o consiguiendo documentación que le facilitara esta entrada.
Pentesting Grey Box o de Caja Gris
Cuando el pentester tiene cierta información pero limitada y parcial se habla de Prueba de Caja Gris. La información que se suele proporcionar son IPs que no son bloqueadas por el Firewall, conocimiento sobre la arquitecta de la red o un usuario y contraseña sin privilegios con el objetivo de que el experto consiga desplazarse lateralmente o escalar privilegios. Este tipo de Pentesting son las más comunes ya que requieren de poca información y permite encontrar vulnerabilidades reales que se pueden ir descubriendo en cada fase del ataque.
Pentesting Black Box o de Caja Negra
En los Pentesting Black Box el responsable de realizar la prueba no cuenta con ningún tipo de dato e información por lo que habitualmente suele ser un perfil externo a la compañía. El test es el más realista ya que busca explotar cualquier vulnerabilidad que se encuentre desde el exterior y por lo tanto el más complejo.
Si tenemos en cuenta hacia que sistemas se dirige la prueba entonces podemos hablar de otra clasificación
- Pentesting Externa: Se habla de Prueba de penetración externa cuando se busca atacar y por tanto encontrar vulnerabilidades en lo sistemas públicos de la empresa, como webs, aplicaciones, servidores o email, es decir todos los sistemas que sean visibles desde el exterior.
- Pentesting Interna: Las pruebas de penetración interna es cuando el objetivo son los recursos internos, dispositivos, datos sensibles, etc., a través de ataques que consiguen entrar en los sistemas de la empresa ya sea con un malware o consiguiendo credenciales, acceso a la red, etc., con cualquier tipo de ataque.
¿Cómo se hace el Pentesting y los pasos para realizarlo?
Las técnicas, procedimientos y herramientas a utilizar dependerá del experto o expertos que vayan a realizar la prueba, no obstante existen unos pasos que se suelen seguir.
- Planificación y alcance: En esta primera fase se establece el objetivo (si se quisiera comprobar algo concreto) y el alcance de la prueba. Para ello se define que se va a evaluar (infraestructura, mail, red, datos, gestión de permisos, etc.) con qué métodos y recursos.
- Escaneo: En la fase de escaneo se utilizan diferentes herramientas que permiten analizar los diferentes sistemas a probar en busca de vulnerabilidades que pueden ser explotadas posteriormente.
- Obtención de accesos: Una vez que se ha detectado las posibles vulnerabilidades se realizan diferentes técnicas que permitan explotar esas vulnerabilidades y acceder a los sistemas.
- Mantenimiento del acceso: Si se ha conseguido acceder a los sistemas es el momento de mantener los accesos con el objetivo de explotar y comprometer al máximo los sistemas de la empresa, obteniendo los datos, escuchando el tráfico, escalando privilegios, etc.
- Análisis de resultados e informe final: En la última fase se analizaran los resultados obtenidos del test, fallas de seguridad, otras posibles vulnerabilidaes, etc., Para ello se realizará un informe en la que se indiquen todos los sistemas que han comprometido, las técnicas utilizadas, el tiempo de duración del ataque y qué acciones han sido controladas por la configuración de ciberseguridad de la empresa.