Las pruebas de penetración consisten en que los hackers éticos lleven a cabo ataques planificados contra la infraestructura de seguridad de una empresa para descubrir las vulnerabilidades de seguridad que deben ser parcheadas. Las pruebas de penetración forman parte de una estrategia holística de seguridad de las aplicaciones web.
Después de leer este artículo podrás:
Contenido relacionado
Seguridad de aplicaciones web
¿Qué es TLS?
Ataques en ruta
Ataque por fuerza bruta
Ataque de desbordamiento de búfer
¿Quieres recibir un resumen mensual de la información más solicitada de Internet?
Copiar enlace del artículo
La prueba de penetración es un ejercicio de seguridad en el que un experto en ciberseguridad intenta encontrar y aprovechar las vulnerabilidades de un sistema informático. El objetivo de este ataque simulado es identificar cualquier punto débil en las defensas de un sistema que los atacantes podrían aprovechar.
Es como si un banco contratara a alguien para que se vistiera de ladrón e intentara entrar en su edificio y acceder a la cámara acorazada. Si el "ladrón" tiene éxito, y entra en el banco o en la cámara acorazada, el banco obtendrá una valiosa información sobre cómo debe reforzar sus medidas de seguridad.
Lo mejor es que una persona con poco o ningún conocimiento previo de la seguridad del sistema lleve a cabo una prueba de penetración, ya que puede sacar a la luz puntos ciegos que los desarrolladores que crearon el sistema no tuvieron en cuenta. Por esta razón, normalmente se recurre a contratistas externos para realizar las pruebas. A estos contratistas se les suele denominar "hackers éticos", ya que se les contrata para hackear un sistema con permiso y con el fin de aumentar la seguridad.
Muchos hackers éticos son desarrolladores experimentados con titulación superior y una certificación para realizar pruebas de penetración. Por otra parte, algunos de los mejores hackers éticos son autodidactas. De hecho, algunos son ciberdelincuentes reformados, que ahora utilizan su experiencia para ayudar a solucionar fallos de seguridad en lugar de atacarlo. El mejor candidato para realizar una prueba de penetración puede variar mucho en función de la empresa objetivo y del tipo de prueba de penetración que quieran iniciar.
Las pruebas de penetración empiezan con una fase de reconocimiento, durante la cual un hacker ético dedica tiempo a recopilar datos e información que utilizará para planificar su ataque simulado. Después de esto, el enfoque pasa a obtener y mantener el acceso al sistema objetivo, lo que requiere un amplio conjunto de herramientas.
Las herramientas de ataque incluyen software diseñado para producir ataques de fuerza bruta o inyecciones de código SQL. También hay hardware diseñado específicamente para las pruebas de penetración, como pequeñas cajas imperceptibles que pueden conectarse a un ordenador de la red para proporcionar al hacker acceso en remoto a esa red. Además, un hacker ético puede utilizar técnicas de ingeniería social para encontrar vulnerabilidades. Por ejemplo, enviando correos electrónicos de phishing a los empleados de la empresa, o incluso disfrazándose de repartidor para obtener acceso físico al edificio.
El hacker termina la prueba cubriendo sus huellas; esto significa eliminar cualquier hardware integrado y hacer todo lo posible para evitar la detección, y dejar el sistema objetivo exactamente como lo encontró.
Tras completar una prueba de penetración, el hacker ético compartirá sus hallazgos con el equipo de seguridad de la empresa objetivo. Esta información se puede utilizar para implementar actualizaciones de seguridad para tapar cualquier vulnerabilidad descubierta durante la prueba. Estas mejoras pueden incluir limitación de velocidad, nuevas reglas WAF y mitigación de DDoS, así como validaciones y saneamientos más estrictos de formularios.
Ventas
Sobre Seguridad de aplicaciones web
Amenazas comunes
Recursos de VPN
Glosario de seguridad
Navegación del centro de aprendizaje