El espacio en línea sigue creciendo rápidamente, abriendo más oportunidades para que se produzcan ciberataques dentro de un sistema informático, una red o una aplicación web. Para mitigar y prepararse para tales riesgos, las pruebas de penetración son un paso necesario para encontrar vulnerabilidades de seguridad que un atacante podría utilizar.
Una prueba de penetración es una prueba de seguridad que se ejecuta para simular un ciberataque en acción. Un ciberataque puede incluir un intento de phishing o una violación de un sistema de seguridad de red. Hay diferentes tipos de pruebas de penetración disponibles para una organización en función de los controles de seguridad necesarios. La prueba se puede ejecutar manualmente o con herramientas automatizadas a través de la lente de un curso de acción específico o una metodología de prueba de penetración.
Los términos "piratería informática ética" y "pruebas de penetración" a veces se utilizan indistintamente, pero hay una diferencia. El hacking ético es un campo más amplio de la ciberseguridad que incluye cualquier uso de las habilidades de hacking para mejorar la seguridad de la red. Las pruebas de penetración son sólo uno de los métodos que utilizan los hackers éticos. Los hackers éticos también pueden proporcionar análisis de malware, evaluación de riesgos y otras herramientas y técnicas de piratería para descubrir y corregir las debilidades de seguridad en lugar de causar daños.
El Informe Cost of a Data Breach de 2023 de IBM reveló que el coste medio global de una vulneración de datos en 2023 fue de 4,45 millones de dólares, un aumento del 15 % en 3 años. Una forma de mitigar estas vulneraciones es realizar pruebas de penetración precisas y puntuales.
Las empresas contratan expertos en pruebas de penetración para lanzar ataques simulados contra sus aplicaciones, redes y otros activos. Al escenificar ataques falsos, los expertos en pruebas de penetración ayudan a los equipos de seguridad a descubrir vulnerabilidades de seguridad cruciales y mejorar la posición de seguridad general. Estos ataques suelen ser realizados por equipos rojos o equipos de seguridad ofensivos. El equipo rojo "simula las tácticas, técnicas y procedimientos (TTP) de los atacantes reales contra el sistema propio de la organización como una forma de evaluar el riesgo para la seguridad.
Hay varias metodologías de pruebas de penetración a tener en cuenta a medida que se adentra en el proceso de pruebas de penetración. La elección de la organización dependerá de la categoría de la organización objetivo, del objetivo de la prueba de penetración y del alcance de la prueba de seguridad. No existe un enfoque único para todos. Se requiere que una organización entienda sus problemas de seguridad y su política de seguridad para que haya un análisis de vulnerabilidad justo antes del proceso de pruebas de penetración.
Uno de los primeros pasos en el proceso de pruebas de penetración es decidir qué metodología seguir.
A continuación, nos adentraremos en cinco de los marcos de pruebas de penetración y metodologías de pen testing más populares para ayudar a guiar a las partes interesadas y a las organizaciones hacia el mejor método para sus necesidades específicas y garantizar que cubra todas las áreas requeridas.
El Manual de metodología de pruebas de seguridad de código abierto (OSSTMM) es uno de los estándares más populares de pruebas de penetración. Esta metodología se revisa por pares para pruebas de seguridad y la creó el Instituto de Seguridad y Metodologías Abiertas (ISECOM).
El método se basa en un enfoque científico de las pruebas de penetración con guías accesibles y adaptables para los evaluadores. El OSSTMM incluye características clave, como un enfoque operativo, pruebas de canal, métricas y análisis de confianza en su metodología.
OSSTMM proporciona un marco para las pruebas de penetración de red y la evaluación de vulnerabilidades para los profesionales de las pruebas de penetración. Está destinado a ser un marco para que los proveedores encuentren y resuelvan vulnerabilidades, como datos confidenciales y problemas relacionados con la autenticación.
OWASP, abreviatura de Open Web Application Security Project, es una organización de código abierto dedicada a la seguridad de aplicaciones web.
El objetivo de la organización sin ánimo de lucro es hacer que todo su material sea gratuito y de fácil acceso para cualquiera que quiera mejorar la seguridad de sus propias aplicaciones web. OWASP tiene su propio Top 10 (enlace externo a ibm.com), que es un informe muy actualizado en el que se describen los principales problemas y riesgos de seguridad de las aplicaciones web, como el cross-site scripting, la autenticación defectuosa y el traspaso de firewall. OWASP utiliza la lista de los 10 principales como base para su Guía de pruebas de OWASP.
La guía se divide en tres partes: marco de pruebas OWASP para el desarrollo de aplicaciones web, metodología de pruebas de aplicaciones web e informes. La metodología de aplicaciones web puede utilizarse por separado o como parte del marco de pruebas web para pruebas de penetración de aplicaciones web, pruebas de penetración de aplicaciones móviles, pruebas de penetración de API y pruebas de penetración de IoT.
El PTES, o estándar de ejecución de pruebas de penetración, es un método integral de pruebas de penetración.
El PTES fue diseñado por un equipo de profesionales de la seguridad de la información y consta de siete secciones principales que cubren todos los aspectos de las pruebas de penetración. El propósito del PTES es tener pautas técnicas para describir lo que las organizaciones deben esperar de una prueba de penetración y guiarlas a lo largo del proceso, comenzando en la etapa previa al compromiso.
El PTES tiene como objetivo ser la línea de base para las pruebas de penetración y proporcionar una metodología estandarizada para los profesionales y las organizaciones de seguridad. La guía proporciona una variedad de recursos, como las mejores prácticas en cada etapa del proceso de pruebas de penetración, de principio a fin. Algunas características clave de PTES son la explotación y la postexplotación. La explotación se refiere al proceso de obtener acceso a un sistema a través de técnicas de penetración como la ingeniería social y el descifrado de contraseñas. La explotación posterior es cuando los datos se extraen de un sistema comprometido y se mantiene el acceso.
El marco de evaluación de la seguridad de los sistemas de información (ISSAF) es un marco de pruebas abierto respaldado por el Grupo de Seguridad de los Sistemas de Información (OISSG).
Esta metodología ya no se actualiza y probablemente no sea la mejor fuente de información. Sin embargo, uno de sus principales puntos fuertes es que vincula los pasos individuales de las pruebas de penetración con herramientas específicas de pruebas de penetración. Este tipo de formato puede ser una buena base para crear una metodología individualizada.
El NIST, abreviatura del Instituto Nacional de Estándares y Tecnología, es un marco de ciberseguridad que proporciona un conjunto de normas de pruebas de penetración que deben seguir el gobierno federal y las organizaciones externas. El NIST es una agencia del Departamento de Comercio de EE.UU. y debe considerarse la norma mínima a seguir.
Las pruebas de penetración del NIST se alinean con la orientación enviada por el NIST. Para cumplir con dicha orientación, las organizaciones deben realizar pruebas de penetración siguiendo el conjunto predeterminado de pautas.
Antes de que comience una prueba de penetración, el equipo de pruebas y la empresa establecen el alcance de la prueba. El ámbito de aplicación describe qué sistemas se probarán, cuándo se realizarán las pruebas y los métodos que pueden utilizar los evaluadores. El alcance también determina la cantidad de información que tendrán los evaluadores de pruebas de penetración antes de tiempo.
El siguiente paso sería probar el plan de análisis y evaluar las vulnerabilidades y la funcionalidad. En este paso, se puede realizar un análisis de redes y vulnerabilidades para entender mejor la infraestructura de la organización. Las pruebas internas y externas se pueden realizar según las necesidades de la organización. Hay una variedad de pruebas que los expertos en pruebas de penetración pueden hacer, incluida una prueba de caja negra, una prueba de caja blanca y una prueba de caja gris. Cada uno proporciona diferentes grados de información sobre el sistema objetivo.
Una vez establecida una visión general de la red, los expertos en estas pruebas pueden empezar a analizar el sistema y las aplicaciones dentro del ámbito dado. En este paso, los expertos en pruebas de pentración recopilan toda la información posible para comprender cualquier error de configuración.
El último paso es informar y hacer un informe. En este paso, es importante desarrollar un informe de pruebas de penetración con todos los hallazgos de la prueba de penetración que describa las vulnerabilidades identificadas. El informe debe incluir un plan de mitigación y los riesgos potenciales si no se produce la corrección.
Si trata de realizar todas las pruebas posibles, malgastará su tiempo, su presupuesto y sus recursos. Al utilizar una plataforma de comunicación y colaboración con datos históricos, puede centralizar, gestionar y priorizar redes, aplicaciones, dispositivos y otros activos de alto riesgo para optimizar su programa de pruebas de seguridad. El portal X-Force Red permite a todos los agentes implicados en la corrección ver los resultados de las pruebas inmediatamente después de que se hayan descubierto las vulnerabilidades, así como programar las pruebas de seguridad a su conveniencia.