¿Qué es una prueba de penetración? | ¿Qué es una prueba de penetración?

¿Qué es la prueba de penetración?

La prueba de penetración es un ejercicio de seguridad en el que un experto en ciberseguridad intenta encontrar y aprovechar las vulnerabilidades de un sistema informático. El objetivo de este ataque simulado es identificar cualquier punto débil en las defensas de un sistema que los atacantes podrían aprovechar.

Es como si un banco contratara a alguien para que se vistiera de ladrón e intentara entrar en su edificio y acceder a la cámara acorazada. Si el "ladrón" tiene éxito, y entra en el banco o en la cámara acorazada, el banco obtendrá una valiosa información sobre cómo debe reforzar sus medidas de seguridad.

¿Quién realiza las pruebas de penetración?

Lo mejor es que una persona con poco o ningún conocimiento previo de la seguridad del sistema lleve a cabo una prueba de penetración, ya que puede sacar a la luz puntos ciegos que los desarrolladores que crearon el sistema no tuvieron en cuenta. Por esta razón, normalmente se recurre a contratistas externos para realizar las pruebas. A estos contratistas se les suele denominar "hackers éticos", ya que se les contrata para hackear un sistema con permiso y con el fin de aumentar la seguridad.

Muchos hackers éticos son desarrolladores experimentados con titulación superior y una certificación para realizar pruebas de penetración. Por otra parte, algunos de los mejores hackers éticos son autodidactas. De hecho, algunos son ciberdelincuentes reformados, que ahora utilizan su experiencia para ayudar a solucionar fallos de seguridad en lugar de atacarlo. El mejor candidato para realizar una prueba de penetración puede variar mucho en función de la empresa objetivo y del tipo de prueba de penetración que quieran iniciar.

¿Qué tipos de pruebas de penetración hay?

• Prueba de penetración de caja abierta - En una prueba de caja abierta, el hacker recibirá cierta información por adelantado sobre la información de seguridad de la empresa objetivo.
• Prueba de penetración de caja cerrada - También conocida como prueba "a ciegas", es aquella en la que el hacker no recibe ninguna información aparte del nombre de la empresa objetivo.
• Prueba de penetración encubierta - También conocida como prueba de penetración "doblemente ciega", se trata de una situación en la que casi nadie en la empresa es consciente de que se está realizando la prueba de penetración, incluidos los profesionales de TI y de seguridad que responderán al ataque. En el caso de las pruebas encubiertas, es especialmente importante que el hacker tenga el alcance y otros detalles de la prueba por escrito de antemano, para evitar cualquier problema con las autoridades.
• Prueba de penetración externa - En una prueba externa, el hacker ético se enfrenta a la tecnología externa de la empresa, como su sitio web y sus servidores de red externos. En algunos casos, el hacker ni siquiera puede entrar en el edificio de la empresa. Esto suele implicar que el ataque se debe realizar desde una ubicación en remoto, o desde un camión o furgoneta aparcados cerca de las instalaciones.
• Prueba de penetración interna - En una prueba interna, el hacker ético realiza la prueba desde la red interna de la empresa. Este tipo de prueba es útil para determinar cuánto daño puede causar un empleado descontento desde detrás del firewall de la empresa.

¿Cómo se lleva a cabo una prueba de penetración típica?

Las pruebas de penetración empiezan con una fase de reconocimiento, durante la cual un hacker ético dedica tiempo a recopilar datos e información que utilizará para planificar su ataque simulado. Después de esto, el enfoque pasa a obtener y mantener el acceso al sistema objetivo, lo que requiere un amplio conjunto de herramientas.

Las herramientas de ataque incluyen software diseñado para producir ataques de fuerza bruta o inyecciones de código SQL. También hay hardware diseñado específicamente para las pruebas de penetración, como pequeñas cajas imperceptibles que pueden conectarse a un ordenador de la red para proporcionar al hacker acceso en remoto a esa red. Además, un hacker ético puede utilizar técnicas de ingeniería social para encontrar vulnerabilidades. Por ejemplo, enviando correos electrónicos de phishing a los empleados de la empresa, o incluso disfrazándose de repartidor para obtener acceso físico al edificio.

El hacker termina la prueba cubriendo sus huellas; esto significa eliminar cualquier hardware integrado y hacer todo lo posible para evitar la detección, y dejar el sistema objetivo exactamente como lo encontró.

¿Qué ocurre después de una prueba de penetración?

Tras completar una prueba de penetración, el hacker ético compartirá sus hallazgos con el equipo de seguridad de la empresa objetivo. Esta información se puede utilizar para implementar actualizaciones de seguridad para tapar cualquier vulnerabilidad descubierta durante la prueba. Estas mejoras pueden incluir limitación de velocidad, nuevas reglas WAF y mitigación de DDoS, así como validaciones y saneamientos más estrictos de formularios.