¿Qué son las pruebas de penetración? | Pentesting

Las pruebas de penetración son un proceso que simula ciberataques en el propio sistema. Este ataque controlado brinda a los desarrolladores, operaciones de TI y departamentos de seguridad una idea de la seguridad del sistema.

Las pruebas de penetración (o pentesting o pen testing para abreviar) es un proceso que simula un ciberataque contra el propio sistema. El objetivo de este ataque controlado y supervisado es recopilar la mayor cantidad de datos posible y descubrir las debilidades de seguridad.

La prueba de penetración

No es a un proceso predefinido para simular este ataque, sino que es un término general para resumir diferentes métodos de ataque prácticos. Además, la prueba de penetración debe separarse de una evaluación de vulnerabilidad, ya que esta última es principalmente un escaneo y una evaluación de los mecanismos de seguridad.

En contraste con esto, una prueba de penetración realmente lleva a cabo el ataque en las condiciones marco observadas. El hackeo ético está estrechamente relacionado con el término prueba de penetración; después de todo, las pruebas de penetración también son un hack que se lleva a cabo éticamente. Esto difiere nuevamente del hacktivismo y los hacks de sombrero blanco en que la empresa y el atacante han llegado a un acuerdo previamente.

Por supuesto, también se puede realizar una prueba de penetración interna. En muchos países, las pruebas de penetración solo son legales si las partes que realizan las pruebas y las que las realizan han definido y aprobado con precisión la prueba.

¿Cómo se ven las pruebas de penetración en la práctica?

Para permitir las pruebas de penetración seguras en la práctica, extraer datos utilizables de un ataque y garantizar que la red no esté en peligro y que se produzca un DoS involuntario, se deben cumplir diferentes niveles de la prueba de penetración.

Educación y planificación

En el primer paso de una prueba de penetración, se determina qué sistema o sistemas serán atacados para la prueba y en qué medida se producirán los ataques. Aquí también surgen cuestiones no solo técnicas, sino también legales, ya que las empresas solo pueden aprobar pruebas de penetración para sus propias redes o sistemas.

En el aspecto técnico, los piratas informáticos deben obtener información relevante sobre los sistemas especificados, desarrollar una comprensión de cómo funciona el sistema y explotar los posibles puntos débiles.

Exploraciones y exámenes

Como resultado, se utilizan análisis estáticos y dinámicos para examinar el código y cómo funciona en tiempo real. El análisis de código estático proporciona una visión teórica, el análisis dinámico es más detallado porque refleja el estado real en funcionamiento.

Acceso único

Utilizando puertas traseras, aplicaciones web, secuencias de comandos entre sitios o inyección SQL, ahora se deben identificar los puntos débiles. A continuación, se utilizan para interceptar el tráfico, acceder a los datos y ampliar los privilegios de los usuarios. Este paso crea una imagen más precisa de cuánto daño podrían hacer los piratas informáticos con el conocimiento de las vulnerabilidades.

Acceso permanente

A diferencia del acceso de una sola vez, este paso de prueba está destinado a verificar con precisión si se puede mantener el acceso y qué tan profundas son las brechas de seguridad. Esto está destinado a simular amenazas persistentes avanzadas (APT), que en la práctica pueden aprovechar los datos de la empresa durante meses y robar incluso la información más confidencial.

Análisis

En última instancia, los datos deben compilarse para determinar qué lagunas se han explotado, a qué datos se ha accedido y durante cuánto tiempo se podría mantener el acceso.

Características especiales en las pruebas de penetración

Características especiales en las pruebas de penetración
Características especiales en las pruebas de penetración

La simulación de un ciberataque sigue sus propias reglas y la simulación también incluye diferentes parámetros en la prueba de lápiz. Por ejemplo, el ataque puede tener lugar de forma externa, es decir, como un ciberataque en partes externas visibles de un sistema, o internamente, como una simulación de un empleado malintencionado o datos de acceso robados por phishing.

Los departamentos de seguridad también pueden participar de diferentes maneras: con una prueba dirigida, la seguridad de TI conoce el ataque simulado y puede coordinarse y capacitarse. En una prueba a ciegas, la seguridad informática solo tiene conocimiento de la empresa que es el objetivo de la prueba de penetración.

Una subcategoría especial de pruebas de penetración que no debería dejar de mencionarse aquí es el acceso físico. Aunque esto no se aplica a todas las empresas, en muchas empresas el acceso más fácil a la infraestructura de TI es a través del acceso al edificio y el rastreo de contraseñas y accesos.

Prueba de penetración física

Por lo tanto, muchas empresas tienen un interés legítimo en que se analice su seguridad mediante una prueba de penetración física. Después de todo, ¿De qué sirve una infraestructura de sistema perfecta si la sala de servidores está abierta y la contraseña de VPN está pegada en una nota en la cafetería?

En la práctica, una buena prueba de penetración es, por tanto, como una alarma de incendio para los sistemas. La prueba de lápiz se utiliza para probar los mecanismos de seguridad y las debilidades de la investigación, y la reacción de la seguridad de TI también se puede analizar en tiempo real. El resultado no solo son programas más seguros, sino también recomendaciones de acción para los empleados con el fin de hacer que los sistemas y las redes sean más seguros en todos los niveles.

Deja un comentario

Ver más

  • Responsable: Charles Stuber.
  • Finalidad:  Moderar los comentarios.
  • Legitimación:  Por consentimiento del interesado.
  • Destinatarios y encargados de tratamiento: No se ceden o comunican datos a terceros para prestar este servicio. El Titular ha contratado los servicios de alojamiento web a Hostinger que actúa como encargado de tratamiento.
  • Derechos: Acceder, rectificar y suprimir los datos.
  • Información Adicional: Puede consultar la información detallada en la Política de Privacidad.