Inicio
Temas
Pruebas de penetración
Una prueba de penetración, o pentest, es una prueba de seguridad que lanza un ciberataque simulado para encontrar vulnerabilidades en un sistema informático.
Los pentesters son profesionales de la seguridad expertos en el arte del hackeo ético, que consiste en utilizar herramientas y técnicas de hackeo para arreglar fallas de seguridad en lugar de causar daños.
Las empresas contratan pentesters para lanzar ataques simulados contra sus aplicaciones, redes y otros activos. Al escenificar ataques falsos, los pentesters ayudan a los equipos de seguridad a descubrir vulnerabilidades de seguridad críticas y a mejorar la postura de seguridad general.
Los términos "hackeo ético" y "pruebas de penetración" se utilizan a veces indistintamente, pero hay una diferencia. El hackeo ético es un campo más amplio de la ciberseguridad que incluye cualquier uso de las skills de hackeo para mejorar la seguridad de la red. El pentest es son solo uno de los métodos que utilizan los hackers éticos. Los hackers éticos también pueden ofrecer análisis de malware, evaluación de riesgos y otros servicios.
Obtenga insights para gestionar mejor el riesgo de una filtración de datos con el último Informe del costo de una filtración de datos.
Hay tres razones principales por las que las empresas realizan pentests.
- Las pentests son más exhaustivas que las evaluaciones de vulnerabilidad por sí solas
- Los expertos en ciberseguridad recomiendan realizar pruebas de penetración
- El pentesting respalda el cumplimiento normativo
Las pentests son más exhaustivas que las evaluaciones de vulnerabilidad por sí solas
Tanto las pruebas de penetración como las evaluaciones de vulnerabilidades ayudan a los equipos de seguridad a identificar puntos débiles en aplicaciones, dispositivos y redes. Sin embargo, estos métodos sirven para fines ligeramente diferentes, por lo que muchas organizaciones utilizan ambos en lugar de depender de uno u otro.
Las evaluaciones de vulnerabilidades suelen ser exploraciones recurrentes y automatizadas que buscan vulnerabilidades conocidas en un sistema y las marcan para su revisión. Los equipos de seguridad utilizan las evaluaciones de vulnerabilidades para comprobar rápidamente si existen fallas comunes.
El pentest va un paso más allá. Cuando los pentesters encuentran vulnerabilidades, las explotan en ataques simulados que imitan los comportamientos de hackers malintencionados.
Esto proporciona al equipo de seguridad un conocimiento profundo de cómo los hackers reales podrían explotar las vulnerabilidades para acceder a datos confidenciales o interrumpir las operaciones. En lugar de intentar adivinar lo que podrían hacer los hackers, el equipo de seguridad puede utilizar estos conocimientos para diseñar controles de seguridad de la red para las ciberamenazas del mundo real.
Dado que los pentesters utilizan procesos tanto automatizados como manuales, descubren vulnerabilidades conocidas y desconocidas; además, teniendo en cuenta que explotan activamente los puntos débiles que encuentran, es menos probable que obtengan falsos positivos. Si ellos pueden explotar una falla, también pueden hacerlo los delincuentes cibernéticos. Y como los servicios de pentest los prestan expertos en seguridad externos, que abordan los sistemas desde la perspectiva de un hacker, las pruebas de penetración suelen descubrir fallas que los equipos de seguridad internos podrían pasar por alto.
Los expertos en ciberseguridad recomiendan realizar pruebas de penetración
Muchos expertos y autoridades en ciberseguridad recomiendan hacer pentesting como medida de seguridad proactiva. Por ejemplo, en 2021, el gobierno federal de Estados Unidos instó a las empresas a realizar pentesting para defenderse de los crecientes ataques de ransomware.
El pentesting respalda el cumplimiento normativo
Las regulaciones de seguridad de los datos, como la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) y el Reglamento General de Protección de Datos (RGPD), obligan a realizar determinados controles de seguridad. También pueden ayudar a las empresas a demostrar su cumplimiento con estas regulaciones garantizando que sus controles funcionen según lo previsto.
Otras regulaciones exigen explícitamente pentesting. El Payment Card Industry Data Security Standard (PCI-DSS), que se aplica a las organizaciones que procesan tarjetas de crédito, exige específicamente la realización periódica de "pruebas de penetración externas e internas".
Además, pueden respaldar el cumplimiento con normas voluntarias de seguridad de la información, como la ISO/IEC 27001.
Todas las pruebas de pentesting implican un ataque simulado contra los sistemas informáticos de una empresa. Sin embargo, los diferentes tipos de pruebas de penetración se dirigen a diferentes tipos de activos de la empresa.
- Pentests de aplicaciones
- Pentests de la red
- Pentests de hardware
- Pentests de personal
Pentests de aplicaciones
Las pentests de aplicaciones buscan vulnerabilidades en aplicaciones y sistemas relacionados, incluidas aplicaciones web y sitios web, aplicaciones móviles y de IoT, aplicaciones en la nube e interfaces de programación de aplicaciones (API).
Los pentesters suelen empezar buscando las vulnerabilidades que aparecen en el Top 10 del Open Web Application Security Project (OWASP). El Top 10 de OWASP es una lista de las vulnerabilidades más críticas de las aplicaciones web.
La lista se actualiza periódicamente para reflejar el cambiante panorama de la ciberseguridad, pero entre las vulnerabilidades más comunes figuran las inyecciones de código malicioso, las configuraciones erróneas y los fallos de autenticación. Además de las 10 principales de OWASP, las pruebas de penetración de aplicaciones también buscan fallos de seguridad menos comunes y vulnerabilidades que pueden ser exclusivas de la aplicación en cuestión.
Pentests de la red
Las pentests de la red atacan toda la red informática de la empresa. Existen dos grandes tipos de pruebas de penetración en la red: pruebas externas y pruebas internas.
En las pruebas externas, los pentesters imitan el comportamiento de hackers externos para detectar problemas de seguridad en activos orientados a Internet, como servidores, enrutadores, sitios web y ordenadores de empleados. Se denominan "pruebas externas" porque los pentesters intentan penetrar en la red desde el exterior.
En las pruebas internas, los pentesters imitan el comportamiento de usuarios internos maliciosos o hackers malintencionados con credenciales robadas. El objetivo es descubrir las vulnerabilidades que una persona podría explotar desde el interior de la red, por ejemplo, abusando de los privilegios de acceso para robar datos confidenciales.
Pentests de hardware
Estas pruebas de seguridad buscan vulnerabilidades en los dispositivos conectados a la red, como computadoras portátiles, dispositivos móviles y de IoT, y tecnología operativa (TO).
Los pentesters pueden buscar fallas de software, como una explotación del sistema operativo que permita a los hackers obtener acceso remoto a un endpoint. Pueden buscar vulnerabilidades físicas, como un centro de datos mal protegido por el que podrían colarse agentes maliciosos. El equipo de pruebas también puede evaluar cómo podrían moverse los hackers desde un dispositivo comprometido a otras partes de la red.
Pentests de personal
Las pruebas de penetración del personal buscan puntos débiles en la higiene de la ciberseguridad de los empleados. Dicho de otro modo, estas pruebas de seguridad evalúan el grado de vulnerabilidad de una empresa a los ataques de ingeniería social.
Los pentesters utilizan el phishing, el vishing (phishing de voz) y el smishing (phishing de SMS) para engañar a los empleados y conseguir que divulguen información confidencial.
Las pentests de personal también pueden evaluar la seguridad física de las oficinas. Por ejemplo, los pentesters podrían intentar colarse en un edificio disfrazándose de repartidores. Este método, denominado "tailgating", lo utilizan habitualmente los delincuentes del mundo real.
Antes de que comience un pentest, el equipo de pruebas y la empresa establecen el alcance de la prueba. El ámbito de aplicación describe qué sistemas se probarán, cuándo se realizarán las pruebas y los métodos que pueden utilizar los evaluadores. El alcance también determina la cantidad de información de la que dispondrán los pentesters con antelación:
En una prueba de caja negra: los pentesters no tienen información sobre el sistema objetivo. Deben basarse en su propia investigación para desarrollar un plan de ataque, como lo haría un hacker del mundo real.
En una prueba de caja blanca: los analistas tienen total transparencia en el sistema de destino. La empresa comparte detalles como diagramas de red, códigos fuente, credenciales y mucho más.
En una prueba de caja gris: los pentesters obtienen algo de información, pero no mucha. Por ejemplo, la empresa puede compartir rangos de IP para los dispositivos de red, pero los analistas tienen que sondear esos rangos de IP en busca de vulnerabilidades por su cuenta.
Una vez definido el alcance, comienzan las pruebas. Los evaluadores pueden seguir varias metodologías de las pruebas de penetración. Las más comunes incluyen las directrices de pruebas de seguridad de aplicaciones de OWASP, el Penetration Testing Execution Standard (PTES) y el SP 800-115 del Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU..
Independientemente de la metodología que utilice un equipo de pruebas, el proceso suele seguir los mismos pasos generales.
Reconocimiento
El equipo de pruebas recopila información sobre el sistema de destino. Los pentesters utilizan diferentes métodos de reconocimiento en función del objetivo. Por ejemplo, si el objetivo es una aplicación, pueden estudiar su código fuente. Si el objetivo es una red completa, pueden utilizar un analizador de paquetes para inspeccionar los flujos de tráfico de la red.
Los evaluadores también suelen recurrir a la inteligencia de código abierto (OSINT). Leyendo documentación pública, artículos de noticias e incluso las cuentas de redes sociales y GitHub de los empleados, los analistas pueden obtener información valiosa sobre sus objetivos.
Descubrimiento y desarrollo de objetivos
Los evaluadores de penetración emplean el conocimiento que obtuvieron en el paso de reconocimiento para identificar vulnerabilidades explotables en el sistema. Por ejemplo, los evaluadores de penetración pueden usar un escáner de puertos, como Nmap, para buscar puertos abiertos donde puedan enviar malware.
Para una prueba de penetración de ingeniería social, el equipo de pruebas podría desarrollar una historia falsa, o "pretexto", que emplea en un correo electrónico de phishing para robar las credenciales de los empleados.
Como parte de este paso, los pentesters pueden comprobar cómo reaccionan las características de seguridad ante las intrusiones. Por ejemplo, podrían enviar tráfico sospechoso al cortafuegos de la empresa para ver qué ocurre. Los pentesters utilizarán lo aprendido para evitar ser detectados durante el resto de la prueba.
Explotación
El equipo de pruebas comienza el ataque real. Los pentesters pueden probar una variedad de ataques dependiendo del sistema objetivo, las vulnerabilidades encontradas y el alcance de la prueba. Algunos de los ataques más probados son:
Inyecciones SQL: los pentesters intentan que una página web o aplicación revele datos confidenciales introduciendo código malicioso en los campos de entrada.
Secuencias de comandos en sitios cruzados: los pentesters intentan introducir código malicioso en la web de una empresa.
Ataques de denegación del servicio: los evaluadores intentan desconectar servidores, aplicaciones y otros recursos de red inundándolos de tráfico.
Ingeniería social: los evaluadores utilizan el phishing, el baiting, el pretexto u otras tácticas para engañar a los empleados y comprometer la seguridad de la red.
Ataques de fuerza bruta: los pentesters intentan entrar en un sistema ejecutando secuencias de comandos que generan y prueban posibles contraseñas hasta que una funciona.
Ataques de intermediario: los pentesters interceptan el tráfico entre dos dispositivos o usuarios para robar información confidencial o instalar malware.
Escalamiento
Una vez que los pentesters han explotado una vulnerabilidad para hacer un hueco en el sistema, intentan moverse y acceder a más partes del mismo. Esta fase se denomina a veces "encadenamiento de vulnerabilidades" porque los pentesters se mueven de vulnerabilidad en vulnerabilidad para profundizar en la red.
Por ejemplo, podrían empezar colocando un keylogger en la computadora de un empleado. Usando ese keylogger, pueden capturar las credenciales del empleado. Usando esas credenciales, pueden acceder a una base de datos confidencial.
En esta fase, el objetivo del evaluador es mantener el acceso y escalar sus privilegios mientras evade las medidas de seguridad. Hace todo esto para imitar las amenazas persistentes avanzadas (APT), que pueden acechar en un sistema durante semanas, meses o años antes de ser descubiertas.
Limpieza y elaboración de informes
Al final del ataque simulado, los pentesters limpian cualquier rastro que hayan dejado, como troyanos de puerta trasera que hayan plantado o configuraciones que hayan cambiado. De este modo, los hackers del mundo real no pueden utilizar las explotaciones de los pentesters para penetrar en la red.
A continuación, los pentesters preparan un informe sobre el ataque. El informe suele describir las vulnerabilidades que encontraron, las explotaciones que utilizaron, los detalles sobre cómo evitaron las características de seguridad y las descripciones de lo que hicieron mientras estaban dentro del sistema.
El informe también puede incluir recomendaciones específicas sobre la corrección de vulnerabilidades. El equipo de seguridad interno puede utilizar esta información para reforzar las defensas contra los ataques del mundo real.
Los pentesters utilizan diversas herramientas para realizar reconocimientos, detectar vulnerabilidades y automatizar partes clave del proceso de pruebas de penetración. Algunas de las herramientas más comunes son:
- Sistemas operativos especializados
- Herramientas de descifrado de credenciales
- Escáneres de puertos
- Escáneres de vulnerabilidades
- Analizadores de paquetes
- Metasploit
Sistemas operativos especializados
La mayoría de los pentesters utilizan sistemas operativos diseñados para pruebas de penetración y hackeo ético. El más popular es Kali Linux, una distribución de Linux de código abierto que viene preinstalada con herramientas de pen testing como Nmap, Wireshark y Metasploit.
Herramientas de descifrado de credenciales
Estos programas pueden descubrir contraseñas rompiendo cifrados o lanzando ataques de fuerza bruta, que utilizan bots o scripts para generar y probar automáticamente posibles contraseñas hasta que una funciona. Algunos ejemplos son Medusa, Hyrda, Hashcat y John the Ripper.
Escáneres de puertos
Los escáneres de puertos permiten a los pentesters probar remotamente los dispositivos en busca de puertos abiertos y disponibles, que pueden utilizar para violar una red. Nmap es el escáner de puertos más utilizado, pero masscan y ZMap también son comunes.
Escáneres de vulnerabilidades
Las herramientas de escaneo de vulnerabilidades buscan vulnerabilidades conocidas en los sistemas, lo que permite a los especialistas en pruebas de penetración encontrar rápidamente posibles vías de acceso a un objetivo. Algunos ejemplos son Nessus, Core Impact y Netsparker.
Los escáneres de vulnerabilidades web son un subconjunto de los escáneres de vulnerabilidades que evalúan las aplicaciones web y los sitios web. Algunos ejemplos son Burp Suite y Zed Attack Proxy (ZAP) de OWASP.
Analizadores de paquetes
Los analizadores de paquetes, también llamados sniffers de paquetes, permiten a los pentesters analizar el tráfico de red capturando e inspeccionando paquetes. Los pentesters pueden averiguar de dónde procede el tráfico, a dónde se dirige y, en algunos casos, qué datos contiene. Wireshark y tcpdump se encuentran entre los analizadores de paquetes más utilizados.
Metasploit
Metasploit es un marco de pruebas de penetración con multitud de funciones. Lo más importante es que Metasploit permite a los pentesters automatizar los ciberataques. Metasploit cuenta con una biblioteca integrada de códigos de explotaciones y cargas útiles preescritos. Los pentesters pueden seleccionar una explotación, darle una carga útil para entregar al sistema de destino, y dejar que Metasploit se encargue del resto.
Pruebas de penetración para sus aplicaciones, redes, hardware y personal con el fin de descubrir y hacer arreglos a las vulnerabilidades que exponen sus activos más importantes a un ataque.
X-Force Red es un equipo mundial de hackers contratados para introducirse en organizaciones y descubrir vulnerabilidades peligrosas que los atacantes puedan utilizar en beneficio propio.
La caza de amenazas es un enfoque proactivo para identificar amenazas desconocidas o continuas no reparadas dentro de la red de una organización.
Los ataques cibernéticos son intentos por parte de delincuentes cibernéticos de robar, exponer, alterar, deshabilitar o destruir información a través del acceso no autorizado a los sistemas informáticos.
Las amenazas de usuarios internos proceden de usuarios que tienen acceso autorizado y legítimo a los activos de una empresa y abusan de él deliberada o accidentalmente.