ICM / seguridad / ¿Qué es pentesting?

¿Qué es pentesting?

6 junio 2022 | Pablo Gómez

¿Qué son las pruebas de «pentesting»?

Una prueba de «pentesting» o penetración, también conocida como «pen test«, es un ciberataque simulado contra un sistema informático para comprobar si existen vulnerabilidades explotables.

Las pruebas de «pentesting» implican el intento de violación de cualquier sistema de aplicación, (por ejemplo, API’s, servidores frontend/backend para descubrir vulnerabilidades o entradas basadas en ataques de inyección de código.

La información proporcionada por la prueba de «pentesting» puede utilizarse para ajustar las políticas de seguridad de Firewall o WAF y parchear las vulnerabilidades detectadas.

Etapas de las pruebas de «pentesting»

El proceso de las pruebas de «pentesting» puede dividirse en cinco etapas:

  1. La primera etapa consiste en definir el alcance y los objetivos de una prueba, incluyendo los sistemas que se abordarán y los métodos de prueba que se utilizarán.
    Reunir información (por ejemplo, nombres de red y de dominio o servidor de correo), para comprender mejor el funcionamiento del objetivo y sus posibles vulnerabilidades.
  2. Escaneando. Este paso consiste en entender cómo la aplicación objetivo responderá a varios intentos de intrusión. Esto se suele hacer utilizando un análisis estático o dinámico.
    Un análisis estático consiste en inspeccionar el código de una aplicación para estimar la forma en que se comporta mientras se ejecuta. Estas herramientas pueden escanear la totalidad del código en una sola pasada.
    Un análisis dinámico consiste en inspeccionar el código de una aplicación en estado de ejecución. Esta es una forma más práctica de escanear, ya que proporciona una visión en tiempo real del rendimiento de una aplicación.
  3. Lograr el acceso. En esta etapa se utilizan ataques a aplicaciones web, como cross-site scripting, inyección SQL y backdoors, para descubrir las vulnerabilidades del objetivo. A continuación, los «pen tester» intentan explotar estas vulnerabilidades, normalmente escalando privilegios, robando datos, interceptando el tráfico, etc., para comprender el daño que pueden causar.
  4. Mantener el acceso. El objetivo de esta etapa es ver si la vulnerabilidad puede utilizarse para lograr una presencia persistente en el sistema explotado, el tiempo suficiente para que un atacante malicioso obtenga un acceso en profundidad. La idea es imitar las amenazas persistentes avanzadas, que suelen permanecer en un sistema durante meses para robar los datos más sensibles de una organización.
  5. Análisis. Los resultados de la prueba de «pentesting» se recopilan en un informe que detalla los siguientes puntos:

    – Las vulnerabilidades específicas que fueron explotadas
    – Los datos sensibles a los que se ha accedido
    – La cantidad de tiempo que el «pen tester» fue capaz de permanecer en el sistema sin ser detectado

Esta información debe ser analizada por el personal de seguridad para ayudar a configurar los ajustes del Firewall o WAF de una empresa u otras soluciones de seguridad de aplicaciones para parchear las vulnerabilidades y protegerse contra futuros ataques.

Una vez ejecutado este último punto, proceder a repetir el proceso periódicamente.

Métodos de «pentesting»

Hay varios tipos de metodologías de «pentesting», pero en la práctica se utilizan estas 2:

Pruebas externas

Las pruebas de penetración externas tienen como objetivo los activos de una empresa que son visibles en Internet, por ejemplo, la propia aplicación web, el sitio web de la empresa y los servidores de correo electrónico y de nombres de dominio (DNS). El objetivo es acceder y extraer datos valiosos.

Pruebas internas

En una prueba interna, un «pen tester» con acceso a una aplicación detrás de su cortafuegos simula un ataque por parte de una persona malintencionada. No se trata necesariamente de simular a un empleado malintencionado. Un escenario de partida común puede ser un empleado al que le han robado las credenciales debido a un ataque de phishing.

En resumen

Las pruebas de «pentesting» y los Firewalls o WAFs son medidas de seguridad complementarias y son mutuamente beneficiosas.

Para muchos tipos de pruebas de penetración, es probable que el «pen tester» utilice los datos del Firewall o WAF, como los registros, para localizar y explotar los puntos débiles de una aplicación.

A su vez, los administradores de Firewalls y WAF pueden beneficiarse de los datos del «pentesting». Una vez completada la prueba, las configuraciones de Firewall y/o WAF pueden ser actualizadas para asegurar los puntos débiles descubiertos en la prueba.

Por último, las pruebas de penetración satisfacen algunos de los requisitos de cumplimiento de los procedimientos y estándares de auditoría de seguridad, como PCI DSS y SOC 2.