Pentesting. ¿Qué es una prueba de penetración?

Una prueba de penetración es un ciberataque autorizado y simulado en un sistema o sistemas de TI para evaluar las defensas existentes. Según señalan JA Rojas-Osorio, YC Medina-Cardenas en su artículo ‘Pentesting empleando técnicas de ethical hacking en redes IPv6’, al realizar una prueba de penetración, el equipo de TI de la organización, los defensores, autoriza a un grupo de expertos de entre los ethical hackers para tratar de comprometer la seguridad de la organización y, por ejemplo:

  • Acceder o elevar los privilegios de la cuenta.
  • Instalar código malicioso simulado.
  • Cambiar la configuración del sistema.
  • Demostrar cómo se filtran los datos o se interrumpen los procesos comerciales.
  • Ejecutar cualquier otro tipo de ataque que los delincuentes puedan intentar.

Esto significa que las pruebas de penetración van mucho más allá de la evaluación. En una evaluación de vulnerabilidades, los expertos en seguridad analizan los sistemas de TI de una organización en busca de vulnerabilidades conocidas, que pueden incluir políticas inseguras, vulnerabilidades de software sin parches, mala configuración y más.

La evaluación de vulnerabilidades es una herramienta valiosa para que el departamento de TI identifique áreas problemáticas, pero es puramente teórica. La evaluación de vulnerabilidades no incluye un intento real de explotar las mismas y no tiene en cuenta el contexto de seguridad.

La primera prueba cierra el ciclo y no solo confirma la existencia de vulnerabilidades, sino que también demuestra cómo un atacante real puede explotarlas y si dicho ataque puede bloquearse, detectarse y responderse adecuadamente.

En un ejercicio, las partes interesadas, a veces del departamento de TI, a veces de toda la organización, consideran y actúan la respuesta de la empresa a un escenario de ataque hipotético. Los ejercicios de simulación son extremadamente valiosos para establecer conceptos y expectativas compartidas, especialmente entre roles funcionales, pero se ocupan de un escenario hipotético.

Esto significa que los simulacros no demuestran las capacidades reales de un atacante y no afectan los procesos comerciales reales. Las pruebas de Pentest le permiten lograr ambas cosas. Otro término que puede haber escuchado es el de red team exercise o ejercicio del equipo rojo, que está estrechamente relacionado con las pruebas de penetración.

Aquí está la diferencia: una prueba de penetración verifica ampliamente la infraestructura de seguridad y su configuración, mientras que un red team exercise o ejercicio del equipo rojo prueba las capacidades de un blue team o equipo azul con una pila de seguridad completamente implementada y configurada.

Cualquier probador de penetración serio ayudará a los clientes a comprender qué técnicas se están utilizando y sugerirá tanto específicas como amplias que satisfagan las necesidades del equipo de seguridad.

Si está trabajando con un proveedor de pruebas de penetración que no puede ofrecer pruebas específicas y avanzadas, es posible que deba buscar otro proveedor con más experiencia y conocimientos. Por lo general, un pentest es una sorpresa para el equipo de seguridad.

Esto limita la capacidad del equipo de seguridad para participar activamente y mejorar su tecnología y configuración de procesos. Un red team exercise o ejercicio del equipo rojo bien planificado a menudo involucra al equipo de seguridad, blue team o equipo azul.

Por qué son necesarios los pentest

Los pentests son ejercicios de alto esfuerzo que (dependiendo de la escala) pueden incluso afectar los procesos comerciales reales. ¿Por qué hacer pentests?. Nos gustaría analizar cuatro beneficios clave interrelacionados de las pruebas de penetración:

1. Pentest es el método más preciso para probar completamente el nivel de seguridad de una organización

Podemos pensar en los ejercicios de control de seguridad como divididos en tres niveles: «tell me o dime», «show me o muéstrame» y «test it o pruébalo». Una evaluación de vulnerabilidades basada en entrevistas se enfoca en «dime»: la comprensión del equipo de seguridad de sus propias capacidades y procesos. Los ejercicios de tablero alcanzan el nivel de «muéstrame»: la demostración real de las posibilidades del juego. Pero para «probarlo», debe realizar una prueba de penetración. No importa cuán avanzadas sean nuestras herramientas de seguridad, cuán hábil sea nuestro equipo, cuán resistente sea nuestra arquitectura, cuán raramente hay incidentes reales, no podemos saber qué tan buena es nuestra protección. Hasta que traigamos atacantes experimentados para probarlo. Simplemente no lo sabemos. Y cuando se trata de un área de riesgo empresarial tan grave como la ciberseguridad, la ignorancia es inaceptable. Solo pentest puede proporcionar las pruebas y los controles de seguridad que necesita una organización.

2. La planificación de pentest está cambiando la forma en que pensamos sobre la ciberseguridad

Como experto en TI y seguridad, debes ver el mundo a través de los ojos de un defensor. Esta es una lente poderosa para observar la seguridad cibernética, pero es solo la mitad de la imagen. La planificación de pentests, tanto dentro de la empresa como parte de una prueba con nuestros pentesters, nos brinda la oportunidad de mirar al atacante para comprender mejor nuestra seguridad y sus posibles debilidades. Esto proporcionará información para todos nuestros futuros esfuerzos de seguridad de la información.

3. Los resultados del Pentest revelan áreas de vulnerabilidad real

Cada sistema tiene innumerables puntos de vulnerabilidad. Esto es inevitable: para que un sistema sea efectivo para los usuarios, debe ser vulnerable a los intrusos. Por lo tanto, es muy difícil para los defensores priorizar la protección: siempre hay otra vulnerabilidad y cada nivel de protección cuesta dinero y tiempo. Dado que un pentest demuestra cómo un atacante puede realmente comprometer un sistema empresarial, puede identificar un programa de protección realista y efectivo.

4. Los resultados del pentest pueden validar una estrategia de seguridad

El valor de la ciberseguridad puede ser difícil de demostrar a los no profesionales. Según apunta AM Mayorga, SP Solarte en su artículo ‘Pentesting sobre aplicaciones web basado en la metodología OWASP utilizando un cluster conformado por dispositivos SBC de bajo costo’, después de todo, cuando la seguridad funciona de manera efectiva, no pasa nada. Esto dificulta la asignación de los recursos necesarios y la atención a las necesidades de seguridad actuales. Pero pentest resuelve este problema. El éxito de una prueba de penetración, donde los defensores mantienen a raya a los atacantes, demuestra el valor de la atención y la inversión existentes en seguridad. Y el «fracaso» de una prueba de penetración, cuando los probadores demuestran que pueden comprometer sistemas clave, muestra claramente las peligrosas consecuencias que enfrenta el negocio. Y dado que la prueba de penetración se basa en ataques reales, los resultados, sean cuales sean, se pueden mostrar a las partes interesadas, independientemente de su experiencia en ciberseguridad. Por estas razones y más, pentesting puede ser una inversión vital e incluso revolucionaria en seguridad.