Pentesting: Una práctica clave para la ciberseguridad, una profesión en auge
¿Qué es el pentesting?
El pentesting, también conocido como prueba de penetración o test de intrusión, es una especialidad de la ciberseguridad que busca realizar simulaciones de ataques informáticos dirigidos al software o hardware con el objetivo de encontrar posibles fisuras o brechas de seguridad. Dicho de otro modo, se trata de una práctica que consiste en atacar un sistema tal y como lo podría hacer un atacante real con el objetivo de detectar fallos o vulnerabilidades.
¿Para qué sirve el pentesting?
La principal finalidad del pentesting es poder identificar debilidades en los sistemas de seguridad informáticos para así corregirlos y evitar su explotación por parte de terceros malintencionados. De este modo se pueden prevenir ataques futuros y seguir reforzando constantemente la seguridad ante amenazas externas.
Objetivos del pentesting
Al someterse a una prueba de pentración o pentest se establecen una serie de objetivos cuyo cumplimiento debe detallarse en un informe final. Los principales objetivos son:
- Determinar si el sistema informático es vulnerable o no.
- Evaluar si las defensas existentes son suficientes o eficaces.
- Determinar si los ataques tendrían éxito y el motivo.
- Valorar el efecto o las consecuencias de un posible ataque exitoso.
- Especificar qué información o accesos obtendrían los atancantes.
Auditoría de pentesting
Tipos de pentesting
Pentesting de caja negra
También conocido como Black Box Pentesting, es un tipo de prueba en la que el pentester realiza sus análisis completamente a ciegas, sin contar con ningún tipo de información previa sobre el sistema a evaluar. Por tanto, la simulación del ataque se realiza como si lo hiciera un hacker o ciberdelincuente ajeno a la empresa. Es una prueba de gran utilidad para prevenir ataques externos y mejorar los sistemas de protección frente a ellos.
Pentesting de caja blanca
También conocido como White Box Pentesting, en este caso el pentester conoce todos los datos del sistema objeto de examen, desde las contraseñas hasta los firewalls o IPs del sistema informático a evaluar. Por tanto, el test de penetración se realiza simulando que el ataque lo realiza alguien que pertenece a la empresa. Es la prueba más completa de pentesting, ya que permite detectar con gran precisión los fallos y brechas existentes.
Pentesting de caja gris
También conocido como Grey Box Pentesting, es un tipo de prueba de penetracion a medio camino entre las dos anteriores. En este caso, el pentester tiene acceso a una parte de la información antes de realizar la simulación. Este tipo de pentesting es el más versátil, ya que permite detectar brechas y fugas de información tanto internas como externas. Aunque en general, suele ser una prueba menos exhaustiva que las otras dos.
Fases del pentesting
Planificación y recopilacion
En esta primera fase se definen los objetivos del la prueba de pentesting, qué sistemas se van a auuditar y los métodos que se utilizarán para ello. El pentester recopila todos los datos necesarios para el test de penetración. Esto incluye información sobre los empleados, usuarios, sistemas y equipamientos que hay en la empresa. Entre otras cosas, puede ser neceario ealizar escaneos de IP, dominios o puertos, obtener metadatos, hacer un google hacking (o dorking) o un scrapeo de datos.
Análisis preliminar de vulnerabilidades
A continuación se analiza cómo responde el sistema ante una intrusión con el objetivo de encontrar los puntos débiles. Se trata de una primera exploración del sistema que arroja una aproximación sobre el nivel de protección del sistema. De esta manera se prevé el alcance o nivel de profundidad que tendrá el pentesting.
Modelado de amenazas
En esta fase se explotan las vulnerabilidades detectadas en el paso anterior y se modelan las posibles amenazas a las que pueden tener que enfrantarse las defensas del sistema. Todo ello con la misión de establecer qué mejoras hay que efectuar.
Simulación del ataque
Una vez definida la estrategia a seguir, empieza el simulacro del ataque informático o cibernético como tal. Se efectúa la intrusión y se evalúa cómo el sistema responde ante ella. De este modo se puede determinar hasta qué punto el sistema está expuesto a los ataques y a que estos sean exitosos. A menudo, durante la simulacion se intenta llevar al límite las defensas del sistema para que los resultados del pentest sean lo más exactos y definitorios como sea posible.
Informes de resultados
Por último, se informa a la empresa de los resultados del pentest para que pueda tomar las medidas necesarias e implementar las mejoras y refuezos de seguridad que correspondan. Habitualmente se emiten dos informes: un informe técnico para los responsables del sistema informático; y un informe ejecutivo dirigido al equipo directivo que no profundiza tanto y es más fácil de comprender.
Hazte Pentester: ¿qué necesitas?
Si estás planteándote convertirte en penteste, debes saber que no es imprescindible tener una titulación superior de informática ni poseer conocimientos previos. Aunque contar con esta formación puede acelerar el proceso, actualmente existen programas formativos especializados en ciberseguridad que pueden prepararte para dedicarte al pentesting sin tener que estudiar ingeniería informática o un máster en ciberseguridad.
Básicamente necesitas obtener las competencias y habilidades necesarias para poder realizar tests de penetración con solvencia. En Emancipatic hemos lanzado para ello un Curso de Ciberseguridad Gratuito de 250 horas en el que puedes aprender pentesting desde cero y adquirir todos los conocimientos necesarios para convertirte en un pentester profesional.
¿Que herramientas se utilizan en pentesting?
En cada fase del pentesting se emplean distintas herramientas informáticas que debes conocer para poder realizar el test de penetración. En la primera fase se utilizan herramientas como Nmap, Dnsrecon o SubFinder para escanear los sistemas e identificar puntos débiles. También es muy frecuente usar BurpSuite y Nessus para detectar vulnerabilidades y realizar análisis en profundidad.
Por otro lado, herramientas como Metasploitmiden permiten cuantificar el alcance de las vulnerabilidades una vez detectadas, mientras que con John the Ripper se pueden descifrar contraseñas. También se utilizan tecnologías como Veil, con la que se puede utilizar código malicioso de forma enmascarada. Incluso se pueden realizar pruebas de pentesting mediante Python, lo cual simplifica el proceso al tratarse de un lenguaje informático versátil, flexible, multifuncional y fácil de aprender.
En EmancipaTIC llevamos más de 10 años ayudando a personas en riesgo de exclusión digital, social o laboral. Buscamos favorecer su integración en la sociedad a través de programas de formación tecnológica enfocada a su incorporación al mundo digital o al mercado laboral.
Para ello, contamos con un equipo de profesionales especializados en formación y consultoría para personas desprotegidas o vulnerables, ya sea en el ámbito social, económico o laboral.
