Pentesting y consultoria de seguridad

¿Qué es el pentesting? Pentesting o Penetration Testing es la práctica de atacar diversos entornos con la intención de descubrir fallos, vulnerabilidades u otros fallos de seguridad, para así poder prevenir ataques externos hacia esos equipos o sistemas.

Hoy en día, la imagen de Hacker que tenemos está muy desvirtuada gracias en parte a la fama que han generado diversas fuentes audiovisuales. No obstante, el perfil del correctamente denominado Experto en Seguridad Informática es uno de los más demandados.

El objetivo de estas pruebas es verificar bajo situaciones extremas cuál es el comportamiento de los mecanismos de defensa, específicamente, se busca detectar vulnerabilidades en los mismos. Además, se identifican aquellas faltas de controles y las brechas que pueden existir entre la información crítica y los controles existentes.

¿Es necesario realizar un Penetration Test?

Existen muchos casos donde las organizaciones sufren incidentes que podrían haberse evitado si los mecanismos de protección hubieran sido reforzados en su momento. Los incidentes comprenden sucesos tales como fuga de información, accesos no autorizados, pérdida de datos, entre muchos otros.

Se establece un previo acuerdo con el cliente para llevar a cabo las diferentes fases del análisis, que se describen a continuación:

Fase de reconocimiento: Posiblemente, esta sea una de las etapas que más tiempo demande. Asimismo, se definen objetivos y se recopila toda la información posible que luego será utilizada a lo largo de las siguientes fases.

Fase de escaneo: Utilizando la información obtenida previamente se buscan posibles vectores de ataque.

Fase de enumeración: El objetivo de esta etapa es la obtención de los datos referente a los usuarios, nombres de equipos, servicios de red, entre otros.

Fase de acceso: En esta etapa finalmente se realiza el acceso al sistema. Esta tarea se logra a partir de la explotación de aquellas vulnerabilidades detectadas que fueron aprovechadas por el auditor para comprometer el sistema.

Fase de mantenimiento de acceso: Luego de haberse obtenido el acceso al sistema, se busca la manera de preservar el sistema comprometido a disposición de quien lo ha atacado.

Cuando se hace la auditoría de seguridad a una empresa lo más probable es que siempre acabes entregando un informe en el que se demuestra que ha sido posible entrar – si no a todo – a zonas importanters del sistema. Además, siempre aparecen vulnerabilidades menores que ayudan a preparar ataques más importantes al sistema o fallos de configuración en el entorno que abren definitivamente la puerta.

Aún así, muchos de los sitios webs que acaban siendo vulnerados han pasado alguna auditoría de seguridad en algún momento de su ciclo de vida, lo que hace dudar más si cabe, sobre si el modelo de auditoría de seguridad externa que contratan muchas empresas tiene sentido o no. O lo que es lo mismo, responder a la pregunta de por qué en la mayoría de los casos en los que se hace una auditoría de seguridad, se descubren cosas graves. La respuesta a esta pregunta es sencilla:
El pentesting no debería ser un proceso puntual que se contrata, sino un servicio de ataque 24×7 durante todo el ciclo de vida de tu sistema.
Las pruebas de penetración (también llamadas “pen testing”) son una práctica para poner a prueba un sistema informático, red o aplicación web para encontrar vulnerabilidades que un atacante podría explotar.

Las pruebas de penetración pueden ser automatizadas con aplicaciones de software, o se pueden realizar manualmente. De cualquier manera, el proceso incluye la recopilación de información sobre el objetivo antes de la prueba (reconocimiento), la identificación de posibles puntos de entrada, intentos de entrar (ya sea virtualmente o de manera real) y el reporte de los resultados.

Las pruebas de penetración a veces se llaman “ataques de sombrero blanco” debido a que en una prueba de este tipo los tipos buenos están tratando de entrar a la fuerza.

Estas pruebas identifican amenazas que pueden exponer la información confidencial de una empresa. Un experto en pentesting provee a la organización un informe completo y detallo con las vulnerabilidades encontradas en la seguridad informática de una empresa.

Cambiar o actualizar la inraestructura existente en el diseño de software, hardware o redes puede puede mitigar las vulnerabilidades encontradas al ser detectadas por pentesting.

Los componentes que necesitan ser examinados para detectar un riesgo potencial que permita identificar amenazas tales como malas configuraciones o vulnerabilidades son:

– Router, switches o gateways

– Sistemas con interfaz abierta al público, como aplicaciones Web, servidores de correo, o sistemas remotos.

– Servidores DNS, Cortafuegos, servidores proxy, servidores de transferencia de archivos y servidores Web.

Las pruebas deberían ser ejecutadas en todos los componentes de software y de hardware dentro del sistema de seguridad de la red.

Ahora bien, déjeme aclararle un punto importante: Sus sistemas o aplicaciones, por muy bien o mal protegidos que usted crea que se encuentren, pueden ser objeto de un Pen Test con o sin su consentimiento en cualquier momento, por lo que es importante entender que descubrir las fallas de los mismos mediante el uso de las herramientas para ello, puede ser una gran ventaja a la hora de la defenderse de futuros intentos de penetración.

Las herramientas disponibles para efectuar estas pruebas de penetración pasan por varios grados de complejidad, y el manejo de algunas de ellas puede ser todo un reto a la inteligencia y sagacidad del atacante o “pen-tester”. Entre ellas se incluyen desde scanners de puertos, complejos algoritmos para descifrar claves, sistemas de intrusión por fuerza bruta, herramientas de sniffing de redes y penetración de firewalls, así como también herramientas de escaneo de vulnerabilidades de aplicaciones web y mucho más.

Todo un mundo de aplicaciones en su mayoría desarrolladas para entorno Linux (el entorno preferido para este tipo de trabajo) con las cuales el proceso de intento de penetración se hace mucho más “simple”. Estas herramientas suelen estar agrupadas en lo que se conoce como “Toolkits” o juegos de herramientas.

El pentesting no debería ser un proceso puntual que se contrata, sino un servicio de ataque 24×7 durante todo el ciclo de vida de tu sistema. […] No se puede contar con un grupo de pentesters durante una semana que vengan y te demuestren que pueden colarse en tu sistema. Así lo único que estás contrastando es que en la próxima auditoría que te obliguen a hacer dentro de un año volverás a ser comprometido”.

Por tanto, una adecuada estrategia de seguridad exige que los pentesters tengan la oportunidad de aplicarse al 100% en todo momento: “Si tu equipo de pentesting interno no puede hacer una prueba de D.O.S. cuando quiera para testear el sistema, o no puede pegarle fuerte y duro a una web porque el servicio puede dejar de funcionar, entonces estás perdido […] Tus sistemas tienen que estar diseñados para soportar el acoso 24×7 de los ataques de los malos, y por tanto debería estar diseñado para soportar el acoso 24×7 de los buenos. Si no es así, los malos ya han ganado“.

About the Author

Francesc Aznar

Hacer que las personas y empresas incorporen a sus proyectos estrategias 360º utilizando la presencia online (web, social media y marketing online) como centro neurálgico.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *