Las pruebas de penetración consisten en que los hackers éticos lleven a cabo ataques planificados contra la infraestructura de seguridad de una empresa para descubrir las vulnerabilidades de seguridad que deben ser parcheadas. Las pruebas de penetración forman parte de una estrategia de seguridad holística.
Después de leer este artículo podrás:
Contenido relacionado
¿Seguridad de aplicaciones web?
¿Qué es TLS?
Ataques en ruta
Ataque por fuerza bruta
Ataque de desbordamiento de búfer
Suscríbete a theNET, el resumen mensual de Cloudflare sobre las ideas más populares de Internet.
Copiar el enlace del artículo
La prueba de penetración es un ejercicio de seguridad en el que un experto en ciberseguridad intenta encontrar y aprovechar las vulnerabilidades de un sistema informático. El objetivo de este ataque simulado es identificar cualquier punto débil en las defensas de un sistema que los atacantes podrían aprovechar.
Es como si un banco contratara a alguien para que se vistiera de ladrón e intentara entrar en su edificio y acceder a la cámara acorazada. Si el "ladrón" tiene éxito, y entra en el banco o en la cámara acorazada, el banco obtendrá una valiosa información sobre cómo debe reforzar sus medidas de seguridad.
Las pruebas de penetración ayudan a una organización a descubrir vulnerabilidades y fallos en sus sistemas que de otro modo no habrían podido encontrar. Esto puede ayudar a detener los ataques antes de que comiencen, ya que las organizaciones pueden corregir estas vulnerabilidades una vez que se han identificado.
Las pruebas de penetración pueden ayudar a las organizaciones a cumplir con las normativas de seguridad y privacidad de los datos al encontrar formas de exponer los datos confidenciales. Esto les ayuda a mantener la seguridad y la privacidad de los datos, garantizando que nadie vea datos confidenciales que no deberían poder ver.
Algunas normativas sobre datos también exigen pruebas de penetración. Por ejemplo, PCI DSS versión 4.0, sección 11.4, requiere que las organizaciones utilicen pruebas de penetración.
Es mejor tener una prueba de penetración realizada por alguien con poco o ningún conocimiento de cómo se mantiene seguro el sistema porque es posible que puedan exponer puntos ciegos que los desarrolladores que han construido el sistema no hayan visto. Es por este motivo que a menudo se llama a contratistas externos para realizar las pruebas. Estos contratistas a menudo se conocen como "hackers éticos" porque se les contrata para hackear un sistema con permisos y con el fin de aumentar la seguridad.
Muchos hackers éticos son desarrolladores experimentados con titulación superior y una certificación para realizar pruebas de penetración. Por otra parte, algunos de los mejores hackers éticos son autodidactas. De hecho, algunos son ciberdelincuentes reformados, que ahora utilizan su experiencia para ayudar a solucionar fallos de seguridad en lugar de atacarlo. El mejor candidato para realizar una prueba de penetración puede variar mucho en función de la empresa objetivo y del tipo de prueba de penetración que quieran iniciar.
Las pruebas de penetración empiezan con una fase de reconocimiento, durante la cual un hacker ético dedica tiempo a recopilar datos e información que utilizará para planificar su ataque simulado. Después de esto, el enfoque pasa a obtener y mantener el acceso al sistema objetivo, lo que requiere un amplio conjunto de herramientas.
Las herramientas de ataque incluyen software diseñado para producir ataques de fuerza bruta o inyecciones de código SQL. También hay hardware diseñado específicamente para las pruebas de penetración, como pequeñas cajas imperceptibles que pueden conectarse a un ordenador de la red para proporcionar al hacker acceso en remoto a esa red. Además, un hacker ético puede utilizar técnicas de ingeniería social para encontrar vulnerabilidades. Por ejemplo, enviando correos electrónicos de phishing a los empleados de la empresa, o incluso disfrazándose de repartidor para obtener acceso físico al edificio.
El hacker termina la prueba cubriendo sus huellas; esto significa eliminar cualquier hardware integrado y hacer todo lo posible para evitar la detección, y dejar el sistema objetivo exactamente como lo encontró.
Después de completar una prueba de penetración, el hacker ético compartirá sus hallazgos con el equipo de seguridad de la empresa objetivo. Esta información se puede utilizar para implementar actualizaciones de seguridad para tapar cualquier vulnerabilidad descubierta durante la prueba.
Para la aplicación web, estas actualizaciones pueden incluir limitación de velocidad, nuevas reglas WAF y mitigación de DDoS, así como validaciones y saneamiento de formularios más estrictos. Para las redes internas, estas actualizaciones podrían incluir una puerta de enlace web segura o pasar a un modelo de seguridad Zero Trust. Si el hacker ético utilizó tácticas de ingeniería social para vulnerar el sistema, la empresa puede considerar dar una mejor educación a sus empleados, o examinar y actualizar sus sistemas de control de acceso para evitar el movimiento lateral.
Cloudflare protege la aplicación, las redes y las personas de las empresas con una combinación de soluciones de seguridad de aplicación web y una plataforma de seguridad Zero Trust.