¿Qué son las pruebas de penetración?

Los pentesters son profesionales de la seguridad expertos en el arte del hackeo ético, que consiste en utilizar herramientas y técnicas de hackeo para arreglar fallas de seguridad en lugar de causar daños. Las empresas contratan pentesters para lanzar ataques simulados contra sus aplicaciones, redes y otros activos. Al escenificar ataques falsos, los pentesters ayudan a los equipos de seguridad a descubrir vulnerabilidades de seguridad críticas y a mejorar la postura de seguridad general.

Los términos "hackeo ético" y "pruebas de penetración" se utilizan a veces indistintamente, pero hay una diferencia. El hackeo ético es un campo más amplio de la ciberseguridad que incluye cualquier uso de las skills de hackeo para mejorar la seguridad de la red. Las pruebas de penetración son solo uno de los métodos que utilizan los hackers éticos. Los hackers éticos también pueden ofrecer análisis de malware, evaluación de riesgos y otros servicios.

Hay tres razones principales por las que las empresas realizan pentests.

Las pentests son más exhaustivas que las evaluaciones de vulnerabilidad por sí solas. Las pruebas de inserción y las evaluaciones ayudan a los equipos de seguridad a identificar debilidades en aplicaciones, dispositivos y redes. Sin embargo, estos métodos sirven para propósitos ligeramente diferentes, por lo que muchas organizaciones utilizan ambos en lugar de depender de uno u otro.

Las evaluaciones de vulnerabilidades suelen ser exploraciones recurrentes y automatizadas que buscan vulnerabilidades conocidas en un sistema y las marcan para su revisión. Los equipos de seguridad utilizan las evaluaciones de vulnerabilidades para comprobar rápidamente si existen fallas comunes.

Las pruebas de penetración van un paso más allá. Cuando los pentesters encuentran vulnerabilidades, las explotan en ataques simulados que imitan los comportamientos de hackers malintencionados. Esto proporciona al equipo de seguridad un conocimiento profundo de cómo los hackers reales podrían explotar las vulnerabilidades para acceder a datos confidenciales o interrumpir las operaciones. En lugar de intentar adivinar lo que podrían hacer los hackers, el equipo de seguridad puede utilizar estos conocimientos para diseñar controles de seguridad de la red para las ciberamenazas del mundo real.

Debido a que los pentesters utilizan procesos automatizados y manuales, descubren vulnerabilidades conocidas y desconocidas. Debido a que los evaluadores de penetración explotan activamente las debilidades que encuentran, es menos probable que arrojen falsos positivos; Si pueden explotar una falla, también pueden hacerlo los delincuentes cibernéticos. Y debido a que los servicios de pruebas de penetración son proporcionados por expertos en seguridad externos, que abordan los sistemas desde la perspectiva de un hacker, las pruebas de penetración a menudo descubren fallas que los equipos de seguridad internos podrían pasar por alto.

Los expertos en ciberseguridad recomiendan realizar pruebas de penetración. Muchos expertos y autoridades en ciberseguridad recomiendan los pentests como medida de seguridad proactiva. Por ejemplo, en 2021, el gobierno de EE. UU. instó a las empresas a utilizar pruebas de penetración para defenderse de los crecientes ataques de ransomware.

Las pruebas de penetración respaldan el cumplimiento normativo. Las regulaciones de seguridad de datos, como la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) y el Reglamento General de Protección de Datos (RGPD), exigen ciertos controles de seguridad. Las pruebas de inserción pueden ayudar a las empresas a demostrar el cumplimiento de estas regulaciones al garantizar que sus controles funcionen según lo previsto.

Otras regulaciones requieren explícitamente pruebas de penetración. El Estándar de seguridad de datos de la industria de tarjetas de pago (PCI-DSS), que se aplica a las organizaciones que procesan tarjetas de crédito, exige específicamente "pruebas de penetración" periódicas.

Las pruebas de penetración también pueden respaldar el cumplimiento de estándares voluntarios de seguridad de la información, como ISO/IEC 27001.

Todas las pruebas de penetración implican un ataque simulado contra los sistemas informáticos de una empresa. Sin embargo, los diferentes tipos de pruebas de penetración se dirigen a diferentes tipos de activos de la empresa.

Las pentests de aplicaciones buscan vulnerabilidades en aplicaciones y sistemas relacionados, incluidas aplicaciones web y sitios web, aplicaciones móviles y de IoT, aplicaciones en la nube e interfaces de programación de aplicaciones (API).

Los evaluadores de penetración a menudo comienzan buscando vulnerabilidades que se enumeran en el Proyecto de seguridad de aplicaciones web abiertas (OWASP) Top 10. El OWASP Top 10 es una lista de las vulnerabilidades críticas en las aplicaciones web. La lista se actualiza periódicamente para reflejar el cambiante escenario de la ciberseguridad, pero las vulnerabilidades comunes incluyen inyecciones de código malicioso, configuraciones erróneas y fallas de autenticación. Más allá del OWASP Top 10, las pruebas de penetración de aplicaciones también buscan fallas de seguridad y vulnerabilidades menos comunes que pueden ser exclusivas de la aplicación en cuestión.

Las pruebas de penetración de red atacan toda la red informática de la empresa. Hay dos tipos generales de pentests de red: pruebas externas y pruebas internas.

En las pruebas externas, los pentesters imitan el comportamiento de hackers externos para detectar problemas de seguridad en activos orientados a Internet, como servidores, enrutadores, sitios web y ordenadores de empleados. Se denominan "pruebas externas" porque los pentesters intentan penetrar en la red desde el exterior.

En las pruebas internas, los evaluadores de penetración imitan el comportamiento de usuarios internos maliciosos o hackers con credenciales robadas. El objetivo es descubrir vulnerabilidades que una persona podría explotar desde dentro de la red, por ejemplo, abusando de los privilegios de acceso para robar datos confidenciales.

Estas pruebas de seguridad buscan vulnerabilidades en los dispositivos conectados a la red, como computadoras portátiles, dispositivos móviles y de IoT, y tecnología operativa (TO).

Los pentesters pueden buscar fallas de software, como una explotación del sistema operativo que permita a los hackers obtener acceso remoto a un endpoint. Pueden buscar vulnerabilidades físicas, como un centro de datos mal protegido por el que podrían colarse agentes maliciosos. El equipo de pruebas también puede evaluar cómo podrían moverse los hackers desde un dispositivo comprometido a otras partes de la red.

Las pruebas de penetración del personal buscan debilidades en la higiene de ciberseguridad de los empleados. Dicho de otra manera, estas pruebas de seguridad evalúan cuán vulnerable es una empresa a los ataques de ingeniería social.

Los pentesters utilizan el phishing, el vishing (phishing de voz) y el smishing (phishing de SMS) para engañar a los empleados y conseguir que divulguen información confidencial. Las pruebas de penetración del personal también pueden evaluar la seguridad física de la oficina. Por ejemplo, los pentesters podrían intentar colarse en un edificio disfrazándose de repartidores. Este método, llamado "tailgating", es comúnmente utilizado por delincuentes del mundo real.

Antes de que comience un pentest, el equipo de pruebas y la empresa establecen el alcance de la prueba. El ámbito de aplicación describe qué sistemas se probarán, cuándo se realizarán las pruebas y los métodos que pueden utilizar los evaluadores. El alcance también determina la cantidad de información de la que dispondrán los pentesters con antelación:

• En una prueba de caja negra, los evaluadores de penetración no tienen información sobre el sistema de destino. Deben confiar en su propia investigación para desarrollar un plan de ataque, como lo haría un hacker del mundo real.

• En una prueba de caja blanca, los pentesters tienen total transparencia en el sistema de destino. La empresa comparte detalles como diagramas de red, códigos fuente, credenciales y más.

• En una prueba de caja gris, los pentesters obtienen algo de información, pero no mucha. Por ejemplo, la empresa puede compartir rangos de IP para los dispositivos de red, pero los analistas tienen que sondear esos rangos de IP en busca de vulnerabilidades por su cuenta.

Con un alcance establecido, comienzan las pruebas. Los pentesters pueden seguir varias metodologías de pruebas de penetración. Los más comunes incluyen las pautas de seguridad de aplicación de OWASP, el Standard de pruebas de penetración (PTES) y la del Instituto Nacional de Estándares y Tecnología (NIST) de EE.UU. SP 800-115.

Independientemente de la metodología que utilice un equipo de pruebas, el proceso suele seguir los mismos pasos generales.

El equipo de pruebas recopila información sobre el sistema de destino. Los pentesters utilizan diferentes métodos de reconocimiento según el objetivo. Por ejemplo, si el objetivo es una aplicación, los evaluadores de penetración podrían estudiar su código fuente. Si el objetivo es una red completa, los evaluadores de penetración pueden usar un analizador de paquetes para inspeccionar los flujos de tráfico de red.

Los evaluadores de penetración a menudo también recurren a la inteligencia de código abierto (OSINT). Al leer documentación pública, artículos de noticias e incluso las redes sociales de los empleados y las cuentas de GitHub, los evaluadores de penetración pueden obtener información valiosa sobre sus objetivos.

Los evaluadores de penetración emplean el conocimiento que obtuvieron en el paso de reconocimiento para identificar vulnerabilidades explotables en el sistema. Por ejemplo, los evaluadores de penetración pueden usar un escáner de puertos, como Nmap, para buscar puertos abiertos donde puedan enviar malware. Para una prueba de penetración de ingeniería social, el equipo de pruebas podría desarrollar una historia falsa, o "pretexto ", que emplea en un correo electrónico de phishing para robar las credenciales de los empleados.

Como parte de este paso, los pentesters pueden comprobar cómo reaccionan las características de seguridad ante las intrusiones. Por ejemplo, podrían enviar tráfico sospechoso al cortafuegos de la empresa para ver qué ocurre. Los pentesters utilizarán lo aprendido para evitar ser detectados durante el resto de la prueba.

El equipo de pruebas comienza el ataque real. Los evaluadores de penetración pueden probar una variedad de ataques según el sistema objetivo, las vulnerabilidades que encontraron y el alcance de la prueba. Algunos de los ataques más comúnmente probados incluyen:

• Inyecciones SQL: los evaluadores de penetración intentan que una página web o aplicación revele datos confidenciales introduciendo código malicioso en los campos de entrada.
  
  

• – Secuencias de comandos entre sitios: los evaluadores de penetración intentan colocar código malicioso en el sitio web de una empresa.
  
  

• Ataques de denegación del servicio: Los evaluadores de penetración intentan desconectar servidores, aplicaciones y otros recursos de red inundándolos con tráfico.
  
  

• Ingeniería social: los evaluadores de penetración utilizan phishing, cebos, pretextos u otras tácticas para engañar a los empleados para que comprometan la seguridad de la red.
  
  

• Ataques de fuerza bruta: los pentesters intentan entrar en un sistema ejecutando secuencias de comandos que generan y prueban posibles contraseñas hasta que una funciona.
  
  

• Ataques de intermediario: los pentesters interceptan el tráfico entre dos dispositivos o usuarios para robar información confidencial o instalar malware.

Una vez que los evaluadores de penetración han explotado una vulnerabilidad para afianzarse en el sistema, intentan moverse y acceder aún más. Esta fase a veces se denomina "encadenamiento de vulnerabilidades" porque los evaluadores de penetración se mueven de una vulnerabilidad a otra para profundizar en la red. Por ejemplo, podrían comenzar colocando un keylogger en la computadora de un empleado. Con ese keylogger, pueden capturar las credenciales del empleado. Con esas credenciales, pueden acceder a una base de datos confidencial.

En esta etapa, el objetivo del pentester es mantener el acceso y escalar sus privilegios mientras evade las medidas de seguridad. Los pentesters hacen todo esto para imitar amenazas persistentes avanzadas (APT), que pueden acechar en un sistema durante semanas, meses o años antes de ser detectadas.

Al final del ataque simulado, los evaluadores de penetración limpian cualquier rastro que hayan dejado, como troyanos de puerta trasera que plantaron o configuraciones que cambiaron. De esa manera, los hackers del mundo real no pueden usar los exploits de los pentesters para explotar la red.

A continuación, los pentesters preparan un informe sobre el ataque. El informe suele describir las vulnerabilidades que encontraron, las explotaciones que utilizaron, los detalles sobre cómo evitaron las características de seguridad y las descripciones de lo que hicieron mientras estaban dentro del sistema. El informe también puede incluir recomendaciones específicas sobre la corrección de vulnerabilidades. El equipo de seguridad interno puede utilizar esta información para reforzar las defensas contra los ataques del mundo real.

Los pentesters utilizan varias herramientas para realizar reconocimientos, detectar vulnerabilidades y automatizar partes clave del proceso de pentesting. Algunas de las herramientas más comunes incluyen:

Sistemas operativos especializados: la mayoría de los pentesters utilizan sistemas operativos diseñados para pruebas de penetración y hackeo ético. El más popular es Kali Linux, una distribución de Linux de código abierto que viene preinstalada con herramientas de pen testing como Nmap, Wireshark y Metasploit.

Herramientas de descifrado de credenciales: estos programas pueden descubrir contraseñas rompiendo cifrados o lanzando ataques de fuerza bruta, que utilizan bots o scripts para generar y probar automáticamente posibles contraseñas hasta que una funciona. Algunos ejemplos son Medusa, Hyrda, Hashcat y John the Ripper.

Escáneres de puertos: los escáneres de puertos permiten a los pentesters probar remotamente los dispositivos en busca de puertos abiertos y disponibles, que pueden utilizar para violar una red. Nmap es el escáner de puertos más utilizado, pero masscan y ZMap también son comunes.

Escáneres de vulnerabilidades: las herramientas de escaneo de vulnerabilidades buscan vulnerabilidades conocidas en los sistemas, lo que permite a los especialistas en pruebas de penetración encontrar rápidamente posibles vías de acceso a un objetivo. Algunos ejemplos son Nessus, Core Impact y Netsparker.

Los escáneres de vulnerabilidades web son un subconjunto de los escáneres de vulnerabilidades que evalúan las aplicaciones web y los sitios web. Algunos ejemplos son Burp Suite y Zed Attack Proxy (ZAP) de OWASP.

Analizadores de paquetes: los analizadores de paquetes, también llamados sniffers de paquetes, permiten a los pentesters analizar el tráfico de red capturando e inspeccionando paquetes. Los pentesters pueden averiguar de dónde procede el tráfico, a dónde se dirige y, en algunos casos, qué datos contiene. Wireshark y tcpdump se encuentran entre los analizadores de paquetes más utilizados.

Metasploit: Metasploit es un marco de pruebas de penetración con multitud de funciones. Lo más importante es que Metasploit permite a los pentesters automatizar los ciberataques. Metasploit cuenta con una biblioteca integrada de códigos de explotaciones y cargas útiles preescritos. Los pentesters pueden seleccionar una explotación, darle una carga útil para entregar al sistema de destino, y dejar que Metasploit se encargue del resto.