top of page
Buscar

Pentesting

Foto del escritor: ArtistCodeArtistCode
8 mar 20234 Min. de lectura


Debido a los fraudes y ataques cibernéticos sufridos por las entidades, se ha puesto en marcha el pentesting o testeador de penetración. El pentesting o test de penetración consiste en atacar diferentes entornos o sistemas con el objetivo de detectar y prevenir posibles fallos. Se trata de una técnica para encontrar aquellos errores en el sistema. Es una de las prácticas más demandadas actualmente, ya que gracias a este tipo de exámenes las empresas pueden poner remedio a sus debilidades antes de que lo hagan los ciberdelincuentes. Un pentester es un auditor de seguridad informática. Se dividen en dos, el red team, que es la parte más ofensiva, y el blue team que es la parte defensiva de los pentester.

Se trata de un método para evaluar la seguridad de una empresa, un ataque real simulado. Intentan atacar una organización con el objetivo de hacer un informe con el que la empresa obtenga toda la información que necesita y pueda mejor sus vulnerabilidades. Evalúa la seguridad de un sistema al intentar romper y acceder a este. En resumen, los pentesting o test de penetración son útiles por las siguientes razones: para determinar qué posibilidad de éxito podría tener un ciberataque, qué vulnerabilidades de mayor y menor riesgo tiene la empresa, cuáles de ellas pueden poner en riesgo a la organización y cuáles son casi imposibles de detectar. Por último, también comprobar la capacidad y la eficiencia de los informáticos a la hora de responder a posibles ataques.


Tipos de pentesting


Los pentesting se clasifican según el tipo de información de la que disponga el profesional de la seguridad informática antes de elaborar el test. Podemos encontrar tres tipos:

  • White box o Caja blanca

El pentester conoce todos los datos del sistema y suele formar parte del equipo técnico de la empresa. Tiene toda la información sobre la estructura, datos, IP, logings, contraseñas, firewords, etc. Es el más completo y forma parte de un análisis integral de la estructura. Con estos datos preliminares la prueba es suficientemente certera a la hora de descubrir los fallos y las medidas que se deben tomar.

  • Black box o Caja negra

Es la segunda mejor opción a la hora de contratar un pentesting. El auditor no tiene ningún dato de la organización y parte desde cero, como si fuera un ciberdelincuente real. Esto ayuda a que el simulacro sea lo más verídico posible. Es una prueba a ciegas de la estructura de la red. Dadas estas características se trata de una gran experiencia para la empresa, ya que es un buen método para reconocer las fragilidades del sistema informático de un negocios.

  • Grey Box o Caja gris

Sería una mezcla de la Caja negra y la Caja blanca. Los pentesters tienen cierta información para realizar esta prueba de intrusión. No van a ciegas como la opción anterior y tienen una cantidad baja de información. Dada esta forma, el auditor invertirá tiempo y recursos para identificar las debilidades y amenazas basándose en la cantidad de información que ya dispone. Es el pentest más recomendado a la hora de contratar alguno de estos servicios.



Fases de Pentesting


El trabajo que se realiza para un Pentester consiste en seguir varios pasos determinados que garanticen un buen examen y que pueda realizar así todas las averiguaciones posibles sobre fallos o vulnerabilidades en el sistema; los cuales son:

  • Reconocimiento

Se trata de definir el alcance y los objetivos de la prueba, incluidos los sistemas que se abordarán y los métodos de prueba que se utilizarán. Además, también se aprovecha para recopilar toda la información posible, como los nombres del dominio y de red, el software, correos electrónicos, etc. para comprender mejor cómo funciona la empresa y sus potenciales debilidades.

  • Análisis de vulnerabilidades

Empezamos a interactuar con el objetivo y se analiza el sistema de forma manual o automática para identificar posibles debilidades. Se define el ámbito y el alcance del test de intrusión y se consulta con el cliente la profundidad de las pruebas que se van a realizar y la permisividad de los ataques.

  • Modelado de amenazas

Luego de ver ciertas vulnerabilidades hay que elaborar una representación estructurada de toda la información que afecta a la seguridad de una aplicación. Es el proceso de capturar, organizar y analizar todos los datos desde una vista a través de expertos en seguridad. Permite tomar decisiones sobre los riesgos y producir un modelo de amenazas típico o una lista priorizada de mejorar de seguridad informática.

  • Explotación

El modelo nos ayuda a ver de qué forma atacaremos el sistema, por qué puerto acceder. Si la intrusión se ha llevado con éxito, esta fase consta de la recolección de información privada, como archivos alojados en un servidor o sistema. La finalidad es demostrar al cliente que si un ciberdelincuente atacara el sistema podría acceder a el y robar la información.

  • Elaboración de informes

Se trata de redactar todo los fallos y mejoras en seguridad detectadas. Se realizan dos tipos de reportes. Por un lado, uno técnico para los administradores del sistema, que se escribe con las terminologías apropiadas junto a las soluciones detalladas. Por otro lado, un reporte ejecutivo dirigido a la mesa directiva para que las personas que no se dedican al mundo de la informática lo entienda.

 
 
 

Коментарі

bottom of page