Empresa Española Especializada en Ciberseguridad

|
es arrow down
© 2024 S2 Grupo
Actualidad

Pentesting: qué es y cómo se plantea una auditoría pentesting

19 Nov 2024

Los procedimientos de pentesting se sitúan en el centro de las pruebas para evaluar el nivel de protección de una infraestructura digital. 

Se trata de una de las herramientas de ciberseguridad con un enfoque proactivo más destacadas, y su importancia puede entenderse utilizando una analogía: un museo que contiene una obra de arte especialmente importante que desea proteger. Para ello, idea un plan: va a contratar a un equipo de expertos para que intenten robarla. Los expertos se ponen manos a la obra, buscando los puntos débiles y cualquier posible acceso: comprueban los puntos muertos de las cámaras de seguridad, las entradas y vigilan el comportamiento de los guardias de seguridad. Si logran acercarse a la obra sin ser detectados, el equipo  proporcionará una visibilidad clave para saber exactamente dónde falla la seguridad. De este modo, será posible reforzar esos problemas antes de que lo traten de hacer ladrones reales. 

Esto es precisamente de lo que se ocupa el servicio de pentesting. Lo analizamos.

¿Qué es pentesting y para qué sirve?

El término pentesting se refiere al conjunto de técnicas, tácticas y procedimientos

 de ciberseguridad orientados a lanzar ataques simulados a una serie de activos informáticos. Su objetivo es desvelar sus posibles vulnerabilidades y  proponer medidas correctivas para que sean implantadas de forma que se mitigue el riesgo y evitar así que puedan ser explotadas en un ataque informático con fines maliciosos. 

Así, el resultado de las pruebas de penetración es determinar si un sistema es vulnerable o no, si presenta fallos de seguridad y el posible impacto de estas vulnerabilidades así como una serie de potenciales iniciativas de mejora que mitiguen el riesgo. 

Una simulación de ataque que se diseña en torno a un enfoque estructurado mediante un plan que incluye el tipo de pruebas a realizar y su alcance dentro de la infraestructura. 

La importancia de las pruebas de penetración o test de intrusión para las empresas

Las pruebas de penetración o test de intrusión suponen una herramienta de alto valor para detectar de forma exhaustiva vulnerabilidades y puntos débiles en los dispositivos, redes, aplicaciones o incluso, en las personas de una organización.

Así, van un paso más allá de las evaluaciones de vulnerabilidades: el pentesting también se encarga de explotarlas, replicando el modo en que actúan los hackers reales. Se accede así a un conocimiento profundo sobre los posibles fallos de seguridad y su impacto en la organización para después diseñar un plan de remediación basado en la información obtenida.

El servicio de pentesting, además, es capaz de detectar vulnerabilidades tanto conocidas como desconocidas, tomando la perspectiva de un hacker real y empleando metodologías automatizadas y manuales.

A su vez, la importancia de los procesos de pentesting se ve reforzada teniendo en cuenta que son un pilar crucial para el cumplimiento de algunas regulaciones, incluyendo RGPD y PCI-DSS, y algunos estándares como ISO/IEC 27001, NIS2 y DORA.

Tipos de pruebas de penetración

Según el tipo de información con que cuentan

Dependiendo de la información inicial desde la que parte la auditoría pentesting, las pruebas pueden ser:

  • De caja blanca: Los auditores cuentan con total transparencia sobre el funcionamiento de los sistemas, aplicaciones e infraestructura. Es decir, conocen detalles sobre la arquitectura de los sistemas, el código fuente, las diferentes configuraciones, las credenciales...  La perspectiva del ataque, por lo tanto, es la de un hacker insider, que conoce en profundidad los sistemas que va a atacar.

  • De caja negra: Se simula un ciberataque por parte de hackers que no cuentan con información privilegiada sobre la infraestructura.

  • De caja gris: Toma una perspectiva intermedia, de modo que el auditor cuenta con algunos datos internos, pero no con todos. Se simula así un ataque en el que el hacker ha logrado acceso parcial a los sistemas (por ejemplo, acceso a un usuario con ciertos permisos) pero no tiene control completo.

Según el objetivo de las pruebas

  • Pentest de aplicaciones: se analizan aplicaciones móviles, IoT, sitios web, aplicaciones en la nube, APIs… en busca de vulnerabilidades clave como las recogidas en OWASP (Open Web Application Security Project). Se buscan así fallos que hayan podido surgir durante el desarrollo de la aplicación o su implementación, incluyendo inyecciones de código malicioso, fallos en los protocolos de autenticación o configuraciones vulnerables. 

  • Pentest de red: se lanzan ataques a la red informática de la organización, pudiendo simular ataques externos (desde el exterior al interior de la red) o internos (simulando posibles ataques lanzados tras el robo de credenciales o por actores internos maliciosos).

  • Pentest de hardware: se orientan a evaluar la protección de los dispositivos (móviles, ordenadores, dispositivos IoT…) frente a explotación de vulnerabilidades, tanto físicas como en base al software.

  • Pentest de personal: aplicando pruebas de ingeniería social, en este caso el servicio de pentesting pone a prueba a los equipos humanos de la organización y su capacidad para detectar ataques maliciosos como el phishing.

Igualmente, pueden diseñarse procedimientos de pentesting adaptados a las necesidades de cada organización. Se enmarcarían aquí iniciativas como el pentesting de sistemas de control industrial (ICS) o SCADA, pruebas de penetración para accesos en remoto o protocolos específicos para la ciberseguridad en la nube, entre otras.

Pruebas de penetración: el proceso paso a paso

Decisión sobre el alcance de la prueba, objetivos y métodos 

Antes de comenzar la auditoría pentesting, la organización y el equipo de expertos en ciberseguridad deben consensuar cuál será el alcance de las pruebas y qué enfoque se va a emplear (caja negra, blanca o gris). 

Después, es el momento de definir la metodología de pentesting (algunos de los ejemplos más utilizados incluyen las directrices de pruebas de seguridad de aplicaciones de OWASP o el Penetration Testing Execution Standard).

Este paso es imprescindible no solo para alinear expectativas y definir objetivos. También es importante ya que, dependiendo del alcance, el pentesting puede suponer una intrusión profunda en los sistemas y redes de una organización, que ésta debe conocer, consensuar y autorizar. Por ejemplo, algunos métodos pueden provocar interrupciones en los sistemas, que es preciso conocer para poder evitar problemas operativos. Estos aspectos se formalizan en un documento de Reglas de Compromiso, que es aceptado y firmado tanto por el cliente como por parte del equipo auditor.

Fase de reconocimiento

En este momento, los expertos en ciberseguridad se dedican a recopilar toda la información posible sobre el sistema objetivo. Para ello, emplean métodos de reconocimiento específicos (por ejemplo, el estudio del código fuente de una aplicación) y acuden a información disponible públicamente sobre la organización o el sistema objetivo. Este enfoque se conoce como reconocimiento pasivo, es decir, la recopilación de datos sin realizar interacciones directas con el sistema. Se incluyen además procesos de análisis de OSINT, que completan la identificación de la superficie de ataque.

La recopilación de datos activa, por su parte, supone otra forma de plantear este paso. En este caso, se aplican técnicas más intrusivas y que sí interactúan con el sistema objetivo, como el escaneo de puertos o herramientas para la detección del sistema operativo.

Se incluyen aquí el escaneo de puertos a través de herramientas como Nmap, el escaneo de vulnerabilidades conocidas o el escaneo de aplicaciones web.

Identificación de vulnerabilidades 

El resultado de esta fase es la obtención de datos exhaustivos para identificar y clasificar vulnerabilidades específicas en los sistemas, aplicaciones o redes. 

Con esta información, el equipo de la auditoría de pentesting se prepara para la siguiente fase (explotación), decidiendo qué vulnerabilidades va a intentar explotar y cómo hacerlo.

Explotación

Se lanza el ataque de acuerdo a las vulnerabilidades encontradas y el alcance deseado para la prueba. Algunos de los ataques más comunes incluyen:

  • Inyecciones SQL

  • Ataques de ingeniería social

  • Ataques de fuerza bruta

  • Ataques MiTM (man in the middle)

  • Ataques de denegación de servicio

Algunas de las técnicas que se emplean para explotar vulnerabilidades, pueden imitar, además, las Amenazas Persistentes Avanzadas. De este modo, los equipos de auditoría tratan de mantenerse en el sistema el tiempo suficiente para elevar sus privilegios sin ser detectados. Intenta así determinar el impacto de la vulnerabilidad, analizando por tanto cómo un atacante podría mantener su acceso a largo plazo y comprometer datos sensibles o realizar movimientos laterales dentro de la red.

Clean-up

Tras obtener toda la información necesaria, los expertos en ciberseguridad finalizan la simulación y eliminan cualquier posible resto del ataque.

Finalización y redacción de informes

Después, elaboran los informes detallados que sentarán las bases para la corrección de vulnerabilidades y el diseño de un plan de ciberseguridad ajustado a los datos obtenidos.

Principales herramientas de pentesting

  • Nmap: permite la identificación de puertos abiertos, servicios disponibles, versiones de software y sistemas operativos.

  • Metasploit: herramienta de código abierto que funciona como marco para las pruebas de penetración, incluyendo la detección y explotación de vulnerabilidades.

  • Burpsuite: se utiliza para realizar pruebas de seguridad de aplicaciones web.

  • Dirtbuster: permite escanear los archivos y directorios ocultos en un servidor web, realizando un mapeo exhaustivo.

  • Nessus: útil principalmente para encontrar vulnerabilidades conocidas.

  • Acunnetix: herramienta automática para la identificación de vulnerabilidades en entornos web.

Cómo plantear el pentesting en tu organización

Las pruebas de intrusión son un imprescindible entre los protocolos de ciberseguridad de las organizaciones y se recomienda su realización de forma periódica. 

A la hora de implementarlas, es importante contar con equipos de expertos en ciberseguridad altamente preparados y de confianza. A fin de cuentas, el pentesting supone un acceso profundo en la infraestructura de la organización y la información que contiene. Un proceso delicado para el que el Incibe recomienda tener en cuenta algunas consideraciones legales, como elaborar un contrato de confidencialidad y documentos específicos en los que queden recogidos, al menos, los siguientes asuntos: 

  • Autorización para ejecutar los procedimientos previstos durante la auditoría pentesting.

  • Técnicas previstas para las intrusiones.

  • Tipo de información que quedará disponible.

  • Tratamiento de los datos que, potencialmente, puedan obtenerse, especialmente si se trata de datos personales o información confidencial.

Desde S2 Grupo, integramos las pruebas de penetración como parte de nuestra Auditoría de Seguridad Avanzada. Un protocolo exhaustivo llevado a cabo por nuestro equipo de intrusión experto que busca poner en evidencia las vulnerabilidades de una organización a través de dos fases:

  • Análisis de la superficie de ataque: Identificación de tecnologías e información relacionada con los usuarios que puede ser aprovechada para definir una estrategia de ataque.

  • Fase de ataque: Ejecución de la estrategia previamente definida, aprovechando las brechas y carencias en los controles y procedimientos de seguridad establecidos, mediante los tests de intrusión a los distintos entornos que forman parte del escenario de pruebas o alcance.

Una metodología para el desarrollo de una ciberdefensa activa basada en las prácticas expertas de nuestro Red Team y adaptado a la realidad de las amenazas actuales. 

Simulamos las acciones reales que llevarían a cabo hackers con fines maliciosos, encontrando la ruta para llegar a la información crítica. Por el camino, analizamos qué deficiencias aparecen, incluyendo los posibles errores humanos que pueden poner en peligro toda la infraestructura. Finalmente,  ponemos esta información a disposición de las organizaciones para la corrección de vulnerabilidades. 

Todo ello mediante una metodología propia que combina prácticas de pentesting convencionales con un enfoque basado en vectores de ataque y técnicas de intrusión utilizadas por grupos APT. Una perspectiva que pone nuestra experiencia real en combatir Amenazas Persistentes Avanzadas al servicio de la auditoría, generando así un panorama completo y complejo de todas las situaciones de riesgo.

¿Quieres saber más sobre la Auditoría de Seguridad Avanzada de S2 Grupo y cómo planteamos las pruebas de penetración? Ponte en contacto con nosotros y habla con nuestro equipo.

Artículos relacionados
Ver todas →
Actualidad
Conoce los tipos de ciberataques más habituales en empresas
Leer más →
Actualidad
Uno de cada dos españoles no cambia nunca sus contraseñas
Leer más →
Actualidad
Seis consejos de ciberseguridad para evitar estafas al comprar online estas navidades
Leer más →

Síguenos en nuestra newsletter

Suscríbete a través de tu email para estar al día