¿Qué es el pentesting?

¿Qué es el pentesting?

Pentesting, o penetration testing, es una prueba de seguridad que lanza un ciberataque simulado para encontrar vulnerabilidades en un sistema informático.

Los pentesters son profesionales de la seguridad expertos en el arte del hackeo ético, que consiste en utilizar herramientas y técnicas de hackeo para arreglar fallas de seguridad en lugar de causar daños. Las empresas contratan pentesters para lanzar ataques simulados contra sus aplicaciones, redes y otros activos. Al escenificar ataques falsos, los pentesters ayudan a los equipos de seguridad a descubrir vulnerabilidades de seguridad críticas y a mejorar la postura de seguridad general.

Los términos “hackeo ético” y “pentesting” se utilizan a veces indistintamente, pero hay una diferencia. El hackeo ético es un campo más amplio de la ciberseguridad que incluye cualquier uso de las skills de hackeo para mejorar la seguridad de la red. Las pruebas de penetración son solo uno de los métodos que utilizan los hackers éticos. Los hackers éticos también pueden ofrecer análisis de malware, evaluación de riesgos y otros servicios.

Boletín de noticias Think

¿Su equipo captaría a tiempo el próximo día cero?

Únase a los líderes de seguridad que confían en el boletín Think para obtener noticias seleccionadas sobre IA, ciberseguridad, datos y automatización. Aprende rápido con tutoriales de expertos y documentos explicativos, que se envían directamente a su bandeja de entrada. Consulte la Declaración de privacidad de IBM.

Su subscripción se entregará en inglés. En cada boletín, encontrará un enlace para darse de baja. Puede gestionar sus suscripciones o darse de baja aquí. Consulte nuestra Declaración de privacidad de IBM para obtener más información.

https://www.ibm.com/mx-es/privacy

¿Por qué las empresas realizan pentests?

Hay tres razones principales por las que las empresas realizan pentests.

Las pentests son más exhaustivas que las evaluaciones de vulnerabilidad por sí solas. Las pruebas de inserción y las evaluaciones ayudan a los equipos de seguridad a identificar debilidades en aplicaciones, dispositivos y redes. Sin embargo, estos métodos sirven para propósitos ligeramente diferentes, por lo que muchas organizaciones utilizan ambos en lugar de depender de uno u otro.

Las evaluaciones de vulnerabilidades suelen ser exploraciones recurrentes y automatizadas que buscan vulnerabilidades conocidas en un sistema y las marcan para su revisión. Los equipos de seguridad utilizan las evaluaciones de vulnerabilidades para comprobar rápidamente si existen fallas comunes.

Las pruebas de pentest van un paso más allá. Cuando los pentesters encuentran vulnerabilidades, las explotan en ataques simulados que imitan los comportamientos de hackers malintencionados. Esto proporciona al equipo de seguridad un conocimiento profundo de cómo los hackers reales podrían explotar las vulnerabilidades para acceder a datos confidenciales o interrumpir las operaciones. En lugar de intentar adivinar lo que podrían hacer los hackers, el equipo de seguridad puede utilizar estos conocimientos para diseñar controles de seguridad de la red para las ciberamenazas del mundo real.

Debido a que los pentesters utilizan procesos automatizados y manuales, descubren vulnerabilidades conocidas y desconocidas. Debido a que los pentesters explotan activamente las debilidades que encuentran, es menos probable que arrojen falsos positivos; Si pueden explotar una falla, también pueden hacerlo los delincuentes cibernéticos. Y debido a que los servicios de pentesting son proporcionados por expertos en seguridad externos, que abordan los sistemas desde la perspectiva de un hacker, las pruebas de penetración normalmente descubren fallas que los equipos de seguridad internos podrían pasar por alto.

Los expertos en ciberseguridad recomiendan realizar pentesting. Muchos expertos y autoridades en ciberseguridad recomiendan los pentests como medida de seguridad proactiva. Por ejemplo, en 2021, el gobierno de EE. UU. instó a las empresas a utilizar pentesting para defenderse de los crecientes ataques de ransomware.

El pentesting respalda el cumplimiento normativo. Las regulaciones de seguridad de datos, como la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) y el Reglamento General de Protección de Datos (RGPD), exigen ciertos controles de seguridad. Las pruebas de inserción pueden ayudar a las empresas a demostrar el cumplimiento de estas regulaciones al garantizar que sus controles funcionen según lo previsto.

Otras regulaciones requieren explícitamente penetration testing. El Estándar de seguridad de datos de la industria de tarjetas de pago (PCI-DSS), que se aplica a las organizaciones que procesan tarjetas de crédito, exige específicamente “pentesting” periódico. También pueden respaldar el cumplimiento de estándares voluntarios de seguridad de la información, como ISO/IEC 27001.

Tipos de pentesting

Tipos de pentesting

Todas las pruebas de penetración implican un ataque simulado contra los sistemas informáticos de una empresa. Sin embargo, los diferentes tipos de pruebas se dirigen a diferentes tipos de activos de la empresa.

Pentests de aplicaciones

Los pentests de aplicaciones buscan vulnerabilidades en aplicaciones y sistemas relacionados, incluidas aplicaciones web y sitios web, aplicaciones móviles y de IoT, aplicaciones en la nubeinterfaces de programación de aplicaciones (API).

Los pentesters normalmente comienzan buscando vulnerabilidades que se enumeran en el Proyecto de seguridad de aplicaciones web abiertas (OWASP) Top 10. El OWASP Top 10 es una lista de las vulnerabilidades críticas en las aplicaciones web. La lista se actualiza periódicamente para reflejar el cambiante escenario de la ciberseguridad, pero las vulnerabilidades comunes incluyen inyecciones de código malicioso, configuraciones erróneas y fallas de autenticación. Más allá del OWASP Top 10, los pentests de aplicaciones también buscan fallas de seguridad y vulnerabilidades menos comunes que pueden ser exclusivas de la aplicación en cuestión.

Pentests de la red

Los pentests de red atacan toda la red informática de la empresa. Hay dos tipos generales de pentests de red:

  1. Pruebas externas
  2. Pruebas internas

En las pruebas externas, los pentesters imitan el comportamiento de hackers externos para detectar problemas de seguridad en activos orientados a Internet, como servidores, enrutadores, sitios web y ordenadores de empleados. Se denominan “pruebas externas” porque los pentesters intentan penetrar en la red desde el exterior.

En las pruebas internas, los pentesters imitan el comportamiento de usuarios internos maliciosos o hackers con credenciales robadas. El objetivo es descubrir vulnerabilidades que una persona podría explotar desde dentro de la red, por ejemplo, abusando de los privilegios de acceso para robar datos confidenciales.

Pentests de hardware

Estas pruebas de seguridad buscan vulnerabilidades en los dispositivos conectados a la red, como computadoras portátiles, dispositivos móviles y de IoT, y tecnología operativa (TO).

Los pentesters pueden buscar fallas de software, como una explotación del sistema operativo que permita a los hackers obtener acceso remoto a un endpoint. Pueden buscar vulnerabilidades físicas, como un centro de datos mal protegido por el que podrían colarse agentes maliciosos. El equipo de pruebas también puede evaluar cómo podrían moverse los hackers desde un dispositivo comprometido a otras partes de la red.

Pentests de personal

Los pentests del personal buscan debilidades en la higiene de ciberseguridad de los empleados. Dicho de otra manera, estas pruebas de seguridad evalúan cuán vulnerable es una empresa a los ataques de ingeniería social.

Los pentesters utilizan el phishing, el vishing (phishing de voz) y el smishing (phishing de SMS) para engañar a los empleados y conseguir que divulguen información confidencial. Las pruebas de penetración del personal también pueden evaluar la seguridad física de la oficina. Por ejemplo, los pentesters podrían intentar colarse en un edificio disfrazándose de repartidores. Este método, llamado “tailgating”, es comúnmente utilizado por delincuentes del mundo real.

El proceso de pentesting

Antes de que comience un pentest, el equipo de pruebas y la empresa establecen el alcance de la prueba. El ámbito de aplicación describe qué sistemas se probarán, cuándo se realizarán las pruebas y los métodos que pueden utilizar los evaluadores. El alcance también determina la cantidad de información de la que dispondrán los pentesters con antelación:

  • Caja negra: En una prueba de caja negra, los pentesters no tienen información sobre el sistema de destino. Deben confiar en su propia investigación para desarrollar un plan de ataque, como lo haría un hacker del mundo real.

  • Caja blanca: En una prueba de caja blanca, los pentesters tienen total transparencia en el sistema de destino. La empresa comparte detalles como diagramas de red, códigos fuente, credenciales y más.

  • Caja gris: En una prueba de caja gris, los pentesters obtienen algo de información, pero no mucha. Por ejemplo, la empresa puede compartir rangos de IP para los dispositivos de red, pero los analistas tienen que sondear esos rangos de IP en busca de vulnerabilidades por su cuenta.

Con un alcance establecido, comienzan las pruebas. Los pentesters pueden seguir varias metodologías. Las más comunes incluyen las pautas de seguridad de aplicación de OWASP, el Standard de pruebas de penetración (PTES) y la del Instituto Nacional de Estándares y Tecnología (NIST) de EE.UU. SP 800-115.

Independientemente de la metodología que utilice un equipo de pruebas, el proceso suele seguir los mismos pasos generales:

  1. Reconocimiento
  2. Descubrimiento y desarrollo de objetivos
  3. Explotación
  4. Escalamiento
  5. Limpieza y elaboración de informes

Reconocimiento

El equipo de pruebas recopila información sobre el sistema de destino. Los pentesters utilizan diferentes métodos de reconocimiento según el objetivo. Por ejemplo, si el objetivo es una aplicación, los evaluadores de penetración podrían estudiar su código fuente. Si el objetivo es una red completa, pueden usar un analizador de paquetes para inspeccionar los flujos de tráfico de red.

Los pentesters normalmente también recurren a la inteligencia de código abierto (OSINT). Al leer documentación pública, artículos de noticias e incluso las redes sociales de los empleados y las cuentas de GitHub, estos pueden obtener información valiosa sobre sus objetivos.

Descubrimiento y desarrollo de objetivos

Los pentesters emplean el conocimiento que obtuvieron en el paso de reconocimiento para identificar vulnerabilidades explotables en el sistema. Por ejemplo, pueden usar un escáner de puertos, como Nmap, para buscar puertos abiertos donde puedan enviar malware. Para un pentest de ingeniería social, el equipo de pruebas podría desarrollar una historia falsa, o “pretexto “, que emplea en un correo electrónico de phishing para robar las credenciales de los empleados.

Como parte de este paso, los pentesters pueden comprobar cómo reaccionan las características de seguridad ante las intrusiones. Por ejemplo, podrían enviar tráfico sospechoso al cortafuegos de la empresa para ver qué ocurre. Los pentesters utilizarán lo aprendido para evitar ser detectados durante el resto de la prueba.

Explotación

El equipo de pruebas comienza el ataque real. Los pentesters pueden probar una variedad de ataques según el sistema objetivo, las vulnerabilidades que encontraron y el alcance de la prueba. Algunos de los ataques más comúnmente probados incluyen:

  • Inyecciones SQL: Intentan que una página web o aplicación revele datos confidenciales introduciendo código malicioso en los campos de entrada.

  • Secuencias de comandos entre sitios: Los pentesters intentan colocar código malicioso en el sitio web de una empresa.

  • Ataques de denegación del servicio: Intentan desconectar servidores, aplicaciones y otros recursos de red inundándolos con tráfico.

  • Ingeniería social: Los pentesters utilizan phishing, cebos, pretextos u otras tácticas para engañar a los empleados para que comprometan la seguridad de la red.

  • Ataques de fuerza bruta: Intentan entrar en un sistema ejecutando secuencias de comandos que generan y prueban posibles contraseñas hasta que una funciona.

  • Ataques de intermediario: Los pentesters interceptan el tráfico entre dos dispositivos o usuarios para robar información confidencial o instalar malware.

Escalabilidad

Una vez que los pentesters han explotado una vulnerabilidad para afianzarse en el sistema, intentan moverse y acceder aún más. Esta fase a veces se denomina “encadenamiento de vulnerabilidades” porque los evaluadores se mueven de una vulnerabilidad a otra para profundizar en la red. Por ejemplo, podrían comenzar colocando un keylogger en la computadora de un empleado. Con ese keylogger, pueden capturar las credenciales del empleado. Con esas credenciales, pueden acceder a una base de datos confidencial.

En esta etapa, el objetivo del pentester es mantener el acceso y escalar sus privilegios mientras evade las medidas de seguridad. Los pentesters hacen todo esto para imitar amenazas persistentes avanzadas (APT), que pueden acechar en un sistema durante semanas, meses o años antes de ser detectadas.

Limpieza y elaboración de informes

Al final del ataque simulado, los pentesters limpian cualquier rastro que hayan dejado, como troyanos de puerta trasera que plantaron o configuraciones que cambiaron. De esa manera, los hackers del mundo real no pueden usar los exploits de los pentesters para explotar la red.

Después, los pentesters preparan un informe sobre el ataque. El informe suele describir las vulnerabilidades que encontraron, las explotaciones que utilizaron, los detalles sobre cómo evitaron las características de seguridad y las descripciones de lo que hicieron mientras estaban dentro del sistema. El informe también puede incluir recomendaciones específicas sobre la corrección de vulnerabilidades. El equipo de seguridad interno puede utilizar esta información para reforzar las defensas contra los ataques del mundo real.

Herramientas de pentesting

Los pentesters utilizan varias herramientas para realizar reconocimientos, detectar vulnerabilidades y automatizar partes clave del proceso de pentesting. Algunas de las herramientas más comunes incluyen:

Sistemas operativos especializados

 

La mayoría de los pentesters utilizan sistemas operativos diseñados para pentesting y hackeo ético. El más popular es Kali Linux, una distribución de Linux de código abierto que viene preinstalada con herramientas de pentesting como Nmap, Wireshark y Metasploit.

Herramientas de descifrado de credenciales

 

Estos programas pueden descubrir contraseñas rompiendo cifrados o lanzando ataques de fuerza bruta, que utilizan bots o scripts para generar y probar automáticamente posibles contraseñas hasta que una funciona. Algunos ejemplos son Medusa, Hyrda, Hashcat y John the Ripper.

Escáneres de puertos

 

Los escáneres de puertos permiten a los pentesters probar remotamente los dispositivos en busca de puertos abiertos y disponibles, que pueden utilizar para violar una red. Nmap es el escáner de puertos más utilizado, pero masscan y ZMap también son comunes.

Escáneres de vulnerabilidades

 

Las herramientas de escaneo de vulnerabilidades buscan vulnerabilidades conocidas en los sistemas, lo que permite a los especialistas en pentesting encontrar rápidamente posibles vías de acceso a un objetivo. Algunos ejemplos son Nessus, Core Impact y Netsparker.

Los escáneres de vulnerabilidades web son un subconjunto de los escáneres de vulnerabilidades que evalúan las aplicaciones web y los sitios web. Algunos ejemplos son Burp Suite y Zed Attack Proxy (ZAP) de OWASP.

Analizadores de paquetes

 

Los analizadores de paquetes, también llamados sniffers de paquetes, permiten a los pentesters analizar el tráfico de red capturando e inspeccionando paquetes. Los pentesters pueden averiguar de dónde procede el tráfico, a dónde se dirige y, en algunos casos, qué datos contiene. Wireshark y tcpdump se encuentran entre los analizadores de paquetes más utilizados.

Metasploit

 

Metasploit es un marco de pentest con multitud de funciones. Lo más importante es que Metasploit permite a los pentesters automatizar los ciberataques. Metasploit cuenta con una biblioteca integrada de códigos de explotaciones y cargas útiles preescritos. Los pentesters pueden seleccionar una explotación, darle una carga útil para entregar al sistema de destino, y dejar que Metasploit se encargue del resto.
Soluciones relacionadas
Soluciones de seguridad empresarial

Transforme su programa de seguridad con las soluciones del mayor proveedor de seguridad empresarial.

 Explore las soluciones de ciberseguridad
Servicios de Ciberseguridad

Transforme su negocio y gestione el riesgo con servicios de consultoría de ciberseguridad, nube y seguridad gestionada.

         Explore los servicios de ciberseguridad
    Ciberseguridad de la inteligencia artificial (IA)

    Aumente la velocidad, precisión y productividad de los equipos de seguridad con soluciones cibernéticas potenciadas por IA.

         Explorar la ciberseguridad de IA
    Dé el siguiente paso

    Ya sea que necesite una solución de seguridad de datos, gestión de endpoints o gestión de identidad y acceso (IAM), nuestros expertos están listos para trabajar con usted para lograr una postura de seguridad sólida. Transforme su negocio y gestione el riesgo con un líder global del sector en servicios de consultoría de ciberseguridad, en la nube y de seguridad gestionada.

         Explore las soluciones de ciberseguridad Descubrir los servicios de ciberseguridad