¿Qué es una prueba de penetración? | ¿Qué es una prueba de penetración?

Las pruebas de penetración consisten en que los hackers éticos lleven a cabo ataques planificados contra la infraestructura de seguridad de una empresa para descubrir las vulnerabilidades de seguridad que deben ser parcheadas. Las pruebas de penetración forman parte de una estrategia de seguridad holística.

Metas de aprendizaje

Después de leer este artículo podrás:

  • Definir las pruebas de penetración (prueba de penetración)
  • Resumir el proceso de una prueba de penetración
  • Describir cómo se utilizan las pruebas de penetración para recomendar nuevas fuciones de seguridad

Contenido relacionado


¿Quieres saber más?

Suscríbete a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.

Revisa la política de privacidad de Cloudflare para saber más sobre cómo Cloudflare gestiona tus datos personales.

Copiar el enlace del artículo

¿Qué es la prueba de penetración?

La prueba de penetración es un ejercicio de seguridad en el que un experto en ciberseguridad intenta encontrar y aprovechar las vulnerabilidades de un sistema informático. El objetivo de este ataque simulado es identificar cualquier punto débil en las defensas de un sistema que los atacantes podrían aprovechar.

Es como si un banco contratara a alguien para que se vistiera de ladrón e intentara entrar en su edificio y acceder a la cámara acorazada. Si el "ladrón" tiene éxito, y entra en el banco o en la cámara acorazada, el banco obtendrá una valiosa información sobre cómo debe reforzar sus medidas de seguridad.

¿Por qué son importantes las pruebas de penetración?

Las pruebas de penetración ayudan a una organización a descubrir vulnerabilidades y fallos en sus sistemas que de otro modo no habrían podido encontrar. Esto puede ayudar a detener los ataques antes de que comiencen, ya que las organizaciones pueden corregir estas vulnerabilidades una vez que se han identificado.

Pruebas de penetración y conformidad

Las pruebas de penetración pueden ayudar a las organizaciones a cumplir con las normativas de seguridad y privacidad de los datos al encontrar formas de exponer los datos confidenciales. Esto les ayuda a mantener la seguridad y la privacidad de los datos, garantizando que nadie vea datos confidenciales que no deberían poder ver.

Algunas normativas sobre datos también exigen pruebas de penetración. Por ejemplo, PCI DSS versión 4.0, sección 11.4, requiere que las organizaciones utilicen pruebas de penetración.

Mejorar la seguridad
Defiéndete contra el "Top 10" de técnicas de ataque

¿Quién realiza las pruebas de penetración?

Es mejor tener una prueba de penetración realizada por alguien con poco o ningún conocimiento de cómo se mantiene seguro el sistema porque es posible que puedan exponer puntos ciegos que los desarrolladores que han construido el sistema no hayan visto. Es por este motivo que a menudo se llama a contratistas externos para realizar las pruebas. Estos contratistas a menudo se conocen como "hackers éticos" porque se les contrata para hackear un sistema con permisos y con el fin de aumentar la seguridad.

Muchos hackers éticos son desarrolladores experimentados con titulación superior y una certificación para realizar pruebas de penetración. Por otra parte, algunos de los mejores hackers éticos son autodidactas. De hecho, algunos son ciberdelincuentes reformados, que ahora utilizan su experiencia para ayudar a solucionar fallos de seguridad en lugar de atacarlo. El mejor candidato para realizar una prueba de penetración puede variar mucho en función de la empresa objetivo y del tipo de prueba de penetración que quieran iniciar.

Documento técnico
Un enfoque estratégico para 4.0 de PCI DSS

¿Qué tipos de pruebas de penetración hay?

  • Prueba de penetración de caja abierta - En una prueba de caja abierta, el hacker recibirá cierta información por adelantado sobre la información de seguridad de la empresa objetivo.
  • Prueba de penetración de caja cerrada - También conocida como prueba "a ciegas", es aquella en la que el hacker no recibe ninguna información aparte del nombre de la empresa objetivo.
  • Prueba de penetración encubierta - También conocida como prueba de penetración "doblemente ciega", se trata de una situación en la que casi nadie en la empresa es consciente de que se está realizando la prueba de penetración, incluidos los profesionales de TI y de seguridad que responderán al ataque. En el caso de las pruebas encubiertas, es especialmente importante que el hacker tenga el alcance y otros detalles de la prueba por escrito de antemano, para evitar cualquier problema con las autoridades.
  • Prueba de penetración externa - En una prueba externa, el hacker ético se enfrenta a la tecnología externa de la empresa, como su sitio web y sus servidores de red externos. En algunos casos, el hacker ni siquiera puede entrar en el edificio de la empresa. Esto suele implicar que el ataque se debe realizar desde una ubicación en remoto, o desde un camión o furgoneta aparcados cerca de las instalaciones.
  • Prueba de penetración interna - En una prueba interna, el hacker ético realiza la prueba desde la red interna de la empresa. Este tipo de prueba es útil para determinar cuánto daño puede causar un empleado descontento desde detrás del firewall de la empresa.

¿Cómo se lleva a cabo una prueba de penetración típica?

Las pruebas de penetración empiezan con una fase de reconocimiento, durante la cual un hacker ético dedica tiempo a recopilar datos e información que utilizará para planificar su ataque simulado. Después de esto, el enfoque pasa a obtener y mantener el acceso al sistema objetivo, lo que requiere un amplio conjunto de herramientas.

Las herramientas de ataque incluyen software diseñado para producir ataques de fuerza bruta o inyecciones de código SQL. También hay hardware diseñado específicamente para las pruebas de penetración, como pequeñas cajas imperceptibles que pueden conectarse a un ordenador de la red para proporcionar al hacker acceso en remoto a esa red. Además, un hacker ético puede utilizar técnicas de ingeniería social para encontrar vulnerabilidades. Por ejemplo, enviando correos electrónicos de phishing a los empleados de la empresa, o incluso disfrazándose de repartidor para obtener acceso físico al edificio.

El hacker termina la prueba cubriendo sus huellas; esto significa eliminar cualquier hardware integrado y hacer todo lo posible para evitar la detección, y dejar el sistema objetivo exactamente como lo encontró.

¿Qué ocurre después de una prueba de penetración?

Después de completar una prueba de penetración, el hacker ético compartirá sus hallazgos con el equipo de seguridad de la empresa objetivo. Esta información se puede utilizar para implementar actualizaciones de seguridad para tapar cualquier vulnerabilidad descubierta durante la prueba.

Para la aplicación web, estas actualizaciones pueden incluir limitación de velocidad, nuevas reglas WAF y mitigación de DDoS, así como validaciones y saneamiento de formularios más estrictos. Para las redes internas, estas actualizaciones podrían incluir una puerta de enlace web segura o pasar a un modelo de seguridad Zero Trust. Si el hacker ético utilizó tácticas de ingeniería social para vulnerar el sistema, la empresa puede considerar dar una mejor educación a sus empleados, o examinar y actualizar sus sistemas de control de acceso para evitar el movimiento lateral.

Cloudflare protege la aplicación, las redes y las personas de las empresas con una combinación de soluciones de seguridad de aplicación web y una plataforma de seguridad Zero Trust.