Una prueba de penetración, o "pen test", es una prueba de seguridad que lanza un ciberataque simulado para detectar vulnerabilidades en un sistema informático.
Los probadores de penetración son profesionales de la seguridad expertos en el arte de los ataques informáticos éticos, que consisten en utilizar herramientas y técnicas de ataque informático para corregir vulnerabilidades de seguridad en lugar de para causar daños. Las empresas contratan a probadores de penetración para que lancen ataques simulados contra sus aplicaciones, redes y otros activos. Al representar ataques falsos, los probadores de penetración ayudan a los equipos de seguridad a descubrir vulnerabilidades de seguridad críticas y a mejorar la postura general de seguridad.
Los términos "ataque informático ético" y "pruebas de penetración" a veces se usan indistintamente, pero no son lo mismo. Los ataques informáticos éticos son una categoría de ciberseguridad más general que incluye el uso de cualquier tipo de habilidad de ataque informático para mejorar la seguridad de red. Las pruebas de penetración son uno de los métodos que utilizan los hackers éticos. Los hackers éticos también pueden ofrecer análisis de malware, evaluación de riesgos y otros servicios.
Hay tres razones principales que motivan a las empresas a realizar pruebas de penetración.
Las pruebas de penetración son más exhaustivas que las evaluaciones de vulnerabilidad por sí solas. Tanto las pruebas de penetración como las evaluaciones de vulnerabilidad sirven a los equipos para identificar los puntos débiles de las aplicaciones, los dispositivos y las redes, pero ambos métodos tienen propósitos algo diferentes, así que muchas organizaciones utilizan los dos en lugar de decantarse solo por uno u otro.
Las evaluaciones de vulnerabilidades suelen ser exploraciones automáticas y recurrentes que buscan vulnerabilidades conocidas en un sistema y las marcan para analizarlas. Los equipos de seguridad utilizan las evaluaciones de vulnerabilidades para comprobar rápidamente si hay algún fallo típico.
Las pruebas de penetración van un paso más allá. Cuando los probadores de penetración detectan vulnerabilidades, las explotan con ataques simulados que imitan las conductas de los hackers maliciosos. De este modo, el equipo de seguridad puede conocer con todo detalle cómo podrían los hackers reales explotar las vulnerabilidades para acceder a datos confidenciales o interrumpir las operaciones. En lugar de tratar de adivinar lo que podrían hacer los hackers, el equipo de seguridad puede utilizar esta información para diseñar controles de seguridad de red para ciberamenazas reales.
Los probadores de penetración utilizan tanto procesos automatizados como manuales, lo cual les permite descubrir vulnerabilidades conocidas y desconocidas. Como los probadores de penetración explotan activamente las debilidades que detectan, es menos probable que se generen falsos positivos; si los probadores pueden explotar un fallo, también pueden los ciberdelincuentes. Además, dado que los servicios de pruebas de penetración los suelen proporcionar expertos en seguridad externos, que enfocan los sistemas desde la perspectiva de un hacker, las pruebas de penetración suelen revelar fallos que los equipos de seguridad internos pueden pasar por alto.
Los expertos en ciberseguridad recomiendan las pruebas de penetración. Muchos expertos y especialistas en ciberseguridad recomiendan las pruebas de penetración como medida de seguridad proactiva. Por ejemplo, en 2021, el Gobierno federal de EE. UU. (enlace externo a ibm.com) instó a las empresas a utilizar pruebas de penetración para defenderse contra el auge de los ataques de ransomware.
Las pruebas de penetración facilitan la conformidad con la normativa. Los reglamentos en materia de seguridad de datos, como la Health Insurance Portability and Accountability Act (HIPAA) en Estados Unidos y el Reglamento General de Protección de Datos (RGPD) en la Unión Europea exigen unos controles de seguridad concretos. Las pruebas de penetración pueden servir a las empresas para demostrar su conformidad con estos reglamentos al garantizar que los controles funcionen según lo previsto.
En otras normativas, se exigen pruebas de penetración explícitamente. La norma Payment Card Industry Data Security Standard (PCI-DSS), que se aplica a las organizaciones que procesan tarjetas de crédito, exige específicamente realizar "pruebas de penetración externas e internas" (enlace externo a ibm.com).
Las pruebas de penetración también facilitan la conformidad con los estándares de seguridad de la información voluntarios, como ISO/CEI 27001 (enlace externo a ibm.com).
Todas las pruebas de penetración realizan un ataque simulado contra los sistemas informáticos de una empresa. Sin embargo, cada tipo de pruebas de penetración se dirige a distintos tipos de activos empresariales.
Pruebas de penetración de aplicaciones
Las pruebas de penetración de aplicaciones buscan vulnerabilidades en las aplicaciones y los sistemas relacionados con ellas, incluidas aplicaciones web y sitios web, apps móviles y de IoT, aplicaciones en la nube e interfaces de programación de aplicaciones (API).
Por lo general, los probadores de penetración empiezan buscando las vulnerabilidades que aparecen en la lista Open Web Application Security Project (OWASP) Top 10 (enlace externo a ibm.com). OWASP Top 10 es una lista de las vulnerabilidades más críticas de las aplicaciones web. La lista se actualiza periódicamente para reflejar los cambios en materia de ciberseguridad, pero las vulnerabilidades habituales incluyen inyecciones de código maligno, configuraciones incorrectas y fallos de autenticación. Aparte de OWASP Top 10, las pruebas de penetración de aplicaciones también buscan vulnerabilidades y fallos de seguridad menos habituales que pueden ser exclusivos de cada app.
Pruebas de penetración de red
Las pruebas de penetración de red atacan toda la red informática de la empresa. Hay dos tipos generales de pruebas de penetración de red: pruebas externas y pruebas internas.
En las pruebas externas, los probadores de penetración imitan las conductas de los hackers externos para detectar problemas de seguridad en los activos destinados a Internet, como servidores, direccionadores, sitios web y ordenadores de los empleados. Estas se denominan "pruebas externas" porque los probadores de penetración intentan acceder a la red desde el exterior.
En las pruebas internas, los probadores de penetración imitan las conductas de los usuarios internos maliciosos o de hackers que han robado credenciales. El objetivo es descubrir vulnerabilidades que alguien podría explotar desde dentro de la red, como por ejemplo abusos de privilegios de acceso para robar datos confidenciales.
Pruebas de penetración de hardware
Estas pruebas de seguridad buscan vulnerabilidades en los dispositivos conectados a la red, como portátiles, dispositivos móviles y de IoT, y tecnología operativa (OT).
Los probadores de penetración pueden buscar fallos de software, como una vulnerabilidad de seguridad de un sistema operativo que permite a los hackers obtener acceso remoto a un punto final. Pueden buscar vulnerabilidades físicas, como un centro de datos mal protegido al que podrían acceder los agentes maliciosos. El equipo de pruebas también puede evaluar cómo podrían los hackers moverse desde un dispositivo comprometido a otras partes de la red.
Pruebas de penetración de personal
Las pruebas de penetración de personal buscan vulnerabilidades en los hábitos de ciberseguridad de los empleados. Dicho de otro modo, estas pruebas de seguridad evalúan el grado de vulnerabilidad de una empresa frente a los ataques de ingeniería social.
Los probadores de penetración de personal utilizan phishing, vishing (phishing por voz) y smishing (phishing por SMS) para engañar a los empleados para que divulguen información confidencial. Las pruebas de penetración de personal también pueden evaluar la seguridad de la oficina física. Por ejemplo, los probadores de penetración pueden intentar colarse en un edificio disfrazándose de personal de mensajería. Este método se denomina "tailgating" y lo utilizan habitualmente los delincuentes reales.
Antes de comenzar una prueba de penetración, el equipo de pruebas y la empresa definen el alcance de la misma. En él se describe qué sistemas se probarán, cuándo se realizará la prueba y qué métodos pueden utilizar los probadores de penetración. El alcance también determina el grado de información del que disponen los probadores de penetración de antemano:
En una prueba de caja negra, los probadores de penetración no tienen ninguna información sobre el sistema de destino. Solo cuentan con sus propios medios para elaborar un plan de ataque, igual que un hacker en la realidad.
En una prueba de caja blanca, los probadores de penetración tienen total transparencia del sistema de destino. La compañía facilita información como diagramas de red, códigos fuente, credenciales, etc.
En una prueba de caja gris, los probadores de penetración disponen de cierta información, pero no mucha. Por ejemplo, puede que la compañía facilite los rangos de IP de los dispositivos de red, pero los probadores de penetración tendrán que analizar esos rangos de IP por su cuenta en busca de vulnerabilidades.
Una vez definido el alcance, empieza la prueba. Los probadores de penetración pueden seguir diversas metodologías. Entre las más habituales, se incluyen las directrices de seguridad de aplicaciones de OWASP (enlace externo a ibm.com) y las normas Penetration Testing Execution Standard (PTES) (enlace externo a ibm.com) y National Institute of Standards and Technology (NIST) SP 800-115 (enlace externo a ibm.com).
Independientemente de la metodología que utilice el equipo de pruebas, el proceso suele seguir siempre los mismos pasos generales.
1. Reconocimiento
El equipo de pruebas recoge información sobre el sistema de destino. Los probadores de penetración utilizan diferentes métodos de reconocimiento según el objetivo. Por ejemplo, si el objetivo es una aplicación, puede que los probadores de penetración estudien su código fuente. Si el objetivo es toda una red, los probadores de penetración pueden utilizar un analizador de paquetes para inspeccionar los flujos de tráfico de red.
También es habitual que los probadores de penetración recurran a inteligencia de código abierto (OSINT). Leyendo documentación pública, artículos, noticias e incluso cuentas de GitHub y de redes sociales de los empleados, los probadores de penetración pueden obtener información muy útil acerca de sus objetivos.
2. Descubrimiento y desarrollo de objetivos
Los probadores de penetración utilizan la información que han obtenido en el paso de reconocimiento para identificar las vulnerabilidades que pueden explotar en el sistema. Pueden, por ejemplo, utilizar un escáner de puertos, como Nmap, para buscar puertos abiertos a los que poder enviar malware. Para las pruebas de penetración de ingeniería social, el equipo de pruebas puede ingeniar una historia falsa, o "pretexto", que utilizará en un correo electrónico de phishing para robar las credenciales de los empleados.
Como parte de este paso, los probadores de penetración pueden comprobar cómo reaccionan las funciones de seguridad ante las intrusiones. Por ejemplo, pueden enviar tráfico sospechoso al cortafuegos de la empresa para ver qué sucede. Los probadores de penetración utilizarán todo lo que averigüen para evitar su detección durante el resto de la prueba.
3. Explotación
El equipo de pruebas da inicio al ataque real. Los probadores de penetración pueden intentar distintos ataques en función del sistema de destino, las vulnerabilidades que detecten y el alcance de la prueba. Estos son algunos de los ataques que se prueban con más frecuencia:
Inyecciones SQL: los probadores de penetración intentan obtener datos confidenciales de una página web o aplicación indicando código maligno en los campos de entrada.
Script entre sitios: los probadores de penetración intentan infiltrar código maligno en el sitio web de una empresa.
Ataques de denegación de servicio: los probadores de penetración intentan dejar fuera de servicio servidores, aplicaciones y otros recursos de red enviándoles tráfico masivamente.
Ingeniería social: los probadores de penetración utilizan phishing, baiting, pretextos u otras tácticas para engañar a los empleados para que comprometan la seguridad de la red.
Ataques de fuerza bruta: los probadores de penetración intentan acceder a un sistema ejecutando scripts que generan y prueban posibles contraseñas hasta que una funciona.
Ataques de intermediario (man-in-the-middle): los probadores de penetración interceptan el tráfico entre dos dispositivos o usuarios para robar información confidencial o infiltrar malware.
4. Escalada
Una vez que los probadores de penetración han explotado una vulnerabilidad para obtener un punto de acceso al sistema, intentan moverse por dentro de él y acceder a más recursos. Esta fase a veces se llama "encadenamiento de vulnerabilidades", porque los probadores de penetración pasan de una vulnerabilidad a otra para adentrarse en la red. Por ejemplo, pueden empezar infiltrando un registrador de claves en el sistema de un empleado. Con ese registrador de claves, pueden capturar las credenciales del empleado. Con esas credenciales, pueden acceder a una base de datos confidencial.
En esta fase, el objetivo del probador de penetración es mantener el acceso, escalar sus privilegios y burlar las medidas de seguridad, todo con la intención de imitar a las amenazas persistentes avanzadas (APT), que pueden acechar en el sistema durante semanas, meses o años antes de ser detectadas.
5. Limpieza e informes
Al final del ataque simulado, los probadores de penetración limpian cualquier rastro que hayan dejado, como troyanos de puerta trasera que hayan infiltrado, o configuraciones que hayan modificado. De esa forma, los hackers reales no pueden utilizar las vulnerabilidades de los probadores para acceder a la red.
Después, los probadores de penetración preparan un informe sobre el ataque. Generalmente, el informe describe las vulnerabilidades que han detectado, información sobre cómo han evitado las funciones de seguridad y una descripción de las acciones que han llevado a cabo mientras estaban dentro del sistema. El informe también puede incluir recomendaciones específicas sobre corrección de vulnerabilidades. El equipo de seguridad interno puede utilizar esta información para reforzar su defensa ante ataques reales.
Los probadores de penetración utilizan una serie de herramientas para realizar el reconocimiento, detectar vulnerabilidades y automatizar partes clave del proceso de penetración. Estas son algunas de las herramientas más comunes:
Sistemas operativos especializados: la mayoría de los probadores de penetración utilizan sistemas operativos diseñados para pruebas de penetración y ataques informáticos éticos. La más popular es Kali Linux, una distribución de Linux de código abierto que viene precargada con herramientas de pruebas de penetración, como Nmap, Wireshark y Metasploit.
Herramientas para descifrar credenciales: estos programas pueden descubrir contraseñas descifrando el cifrado o lanzando ataques de fuerza bruta, que utilizan bots o scripts para generar y probar automáticamente posibles contraseñas hasta que una funciona. Entre los ejemplos se incluyen Medusa, Hyrda, Hashcat y John the Ripper.
Escáneres de puertos: los escáneres de puertos permiten a los probadores de penetración probar de forma remota si hay puertos abiertos y disponibles en el dispositivo que puedan utilizar para vulnerar la red. Nmap es el escáner de puertos más utilizado, pero Masscan y ZMap también son bastante conocidos.
Escáneres de vulnerabilidades: las herramientas de escaneo de vulnerabilidades buscan vulnerabilidades conocidas en el sistema, de modo que permiten a los probadores de penetración encontrar rápidamente posibles entradas a un objetivo. Nessus, Core Impact y Netsparker son buenos ejemplos de este tipo.
Los escáneres de vulnerabilidades web son un subconjunto de escáneres de vulnerabilidades que evalúan las aplicaciones web y los sitios web. Entre los ejemplos de este caso, se incluyen Burp Suite y Zed Attack Proxy (ZAP) de OWASP.
Analizadores de paquetes: los analizadores de paquetes, también denominados rastreadores de paquetes, permiten a los probadores de penetración analizar el tráfico de red mediante la captura y la inspección de paquetes. Los probadores de penetración pueden averiguar de dónde procede el tráfico, hacia dónde se dirige y, en algunos casos, qué datos contiene. Wireshark y tcpdump se encuentran entre los analizadores de paquetes más utilizados.
Metasploit: Metasploit es un marco pruebas de penetración con múltiples funciones. Su prestación más importante es que permite a los probadores de penetración automatizar los ciberataques. Metasploit incorpora una biblioteca de cargas útiles y códigos de explotación preescritos. Los probadores de penetración pueden seleccionar una vulnerabilidad, darle una carga útil para suministrar al sistema de destino y dejar que Metasploit se encargue de lo demás.
Pruebas de penetración para sus aplicaciones, redes, hardware y personal para descubrir y corregir vulnerabilidades que exponen los activos más importantes a un ataque.
X-Force Red es un equipo global de hackers contratados para irrumpir en organizaciones y revelar vulnerabilidades peligrosas que los atacantes pueden aprovechar en beneficio propio.
Detecte y elimine las amenazas más rápidamente con la suite XDR líder del sector.
La detección de amenazas es un enfoque proactivo para identificar amenazas desconocidas hasta el momento o amenazas en curso no corregidas dentro de la red de una organización.
Los ciberataques son intentos no deseados de robar, exponer, alterar, inhabilitar o destruir información mediante el acceso no autorizado a los sistemas.
Las amenazas internas provienen de usuarios que tienen acceso autorizado y legítimo a los activos de una empresa y abusan de él de forma deliberada o accidental.