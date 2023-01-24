Antes de que comience un pentest, el equipo de pruebas y la empresa establecen el alcance de la prueba. El ámbito de aplicación describe qué sistemas se probarán, cuándo se realizarán las pruebas y los métodos que pueden utilizar los evaluadores. El alcance también determina la cantidad de información de la que dispondrán los pentesters con antelación:

En una prueba de caja negra , los pentesters no tienen información sobre el sistema objetivo. Deben basarse en su propia investigación para desarrollar un plan de ataque, como lo haría un hacker del mundo real.



En una prueba de caja blanca , los analistas tienen total transparencia en el sistema de destino. La empresa comparte detalles como diagramas de red, códigos fuente, credenciales y mucho más.



En una prueba de caja gris, los pentesters obtienen algo de información, pero no mucha. Por ejemplo, la empresa puede compartir rangos de IP para los dispositivos de red, pero los analistas tienen que sondear esos rangos de IP en busca de vulnerabilidades por su cuenta.

Una vez definido el alcance, comienzan las pruebas. Los realizadores de pruebas de penetración pueden seguir varias metodologías de pruebas de penetración. Las más comunes incluyen las directrices de pruebas de seguridad de aplicaciones de OWASP (enlace externo a ibm.com), el Estándar de Ejecución de Pruebas de Penetración (PTES) (enlace externo a ibm.com) y el SP 800-115 del Instituto Nacional de Estándares y Tecnología (NIST) (enlace externo a ibm.com) .

Independientemente de la metodología que utilice un equipo de pruebas, el proceso suele seguir los mismos pasos generales.

1. Reconocimiento



El equipo de pruebas recopila información sobre el sistema de destino. Los pentesters utilizan diferentes métodos de reconocimiento en función del objetivo. Por ejemplo, si el objetivo es una aplicación, pueden estudiar su código fuente. Si el objetivo es una red completa, pueden utilizar un analizador de paquetes para inspeccionar los flujos de tráfico de la red.

Los realizadores de pruebas de penetración también suelen recurrir a la inteligencia de código abierto (OSINT). Al leer documentación pública, artículos de noticias e incluso las redes sociales y las cuentas de GitHub de los empleados, los analistas pueden obtener información valiosa sobre sus objetivos.

2. Descubrimiento y desarrollo de objetivos



Los realizadores de pruebas de penetración utilizan los conocimientos adquiridos en el paso de reconocimiento para identificar las vulnerabilidades explotables en el sistema. Por ejemplo, los realizadores de pruebas de penetración podrían utilizar un escáner de puertos como Nmap para buscar puertos abiertos a los que enviar malware. Para un realizador de pruebas de penetración de ingeniería social, el equipo de pruebas podría desarrollar una historia falsa, o "pretexto", que utilizan en un correo electrónico de phishing para robar las credenciales de los empleados.

Como parte de este paso, los pentesters pueden comprobar cómo reaccionan las características de seguridad ante las intrusiones. Por ejemplo, podrían enviar tráfico sospechoso al firewall de la empresa para ver qué ocurre. Los pentesters utilizarán lo aprendido para evitar ser detectados durante el resto de la prueba.

3. Explotación



El equipo de pruebas comienza el ataque real. Los pentesters pueden probar una variedad de ataques dependiendo del sistema objetivo, las vulnerabilidades encontradas y el alcance de la prueba. Algunos de los ataques más probados son:

Inyecciones SQL : Los pentesters intentan que una página web o aplicación revele datos confidenciales introduciendo código malicioso en los campos de entrada.



Secuencias de comandos en sitios cruzados: los pentesters intentan introducir código malicioso en la web de una empresa.



Ataques de denegación de servicio: los realizadores de pruebas de penetración intentan desconectar servidores, aplicaciones y otros recursos de red inundándolos de tráfico.



Ingeniería social: los realizadores de pruebas de penetración utilizan el phishing, el baiting, el pretexto u otras tácticas para engañar a los empleados y comprometer la seguridad de la red.



Ataques de fuerza bruta: los pentesters intentan entrar en un sistema ejecutando secuencias de comandos que generan y prueban posibles contraseñas hasta que una funciona.



Ataques de intermediario (man-in-the-middle): los pentesters interceptan el tráfico entre dos dispositivos o usuarios para robar información confidencial o instalar malware.

4. Escalada



Una vez que los pentesters han explotado una vulnerabilidad para hacerse un hueco en el sistema, intentan moverse y acceder a más partes del mismo. Esta fase se denomina a veces "encadenamiento de vulnerabilidades" porque los pentesters se mueven de vulnerabilidad en vulnerabilidad para profundizar en la red. Por ejemplo, podrían empezar colocando un keylogger en el ordenador de un empleado. Usando ese keylogger, pueden capturar las credenciales del empleado. Usando esas credenciales, pueden acceder a una base de datos confidencial.

En esta fase, el objetivo del realizador de pruebas de penetración es mantener el acceso y escalar sus privilegios mientras evade las medidas de seguridad. Los pentesters hacen todo esto para imitar a las amenazas persistentes avanzadas (APT), que pueden acechar en un sistema durante semanas, meses o años antes de ser descubiertas.

5. Limpieza y elaboración de informes



Al final del ataque simulado, los pentesters limpian cualquier rastro que hayan dejado, como troyanos de puerta trasera que hayan plantado o configuraciones que hayan cambiado. De este modo, los hackers del mundo real no pueden utilizar los exploits de los pentesters para penetrar en la red.

A continuación, los pentesters preparan un informe sobre el ataque. El informe suele describir las vulnerabilidades que encontraron, los exploits que utilizaron, los detalles sobre cómo evitaron las características de seguridad y las descripciones de lo que hicieron mientras estaban dentro del sistema. El informe también puede incluir recomendaciones específicas sobre la corrección de vulnerabilidades. El equipo de seguridad interno puede utilizar esta información para reforzar las defensas contra los ataques del mundo real.