La digitalización de las empresas, además de favorecer los procesos y los flujos de trabajo, ha provocado la necesidad de mantener sus sistemas seguros para evitar posibles ciberataques que pudieran resultar en interrupciones del servicio o pérdidas económicas o de datos confidenciales. Según los datos de Incibe, durante el pasado año se detectaron solo en España más de 183.000 sistemas vulnerables. Esto hace de la ciberseguridad un activo imprescindible para empresas de todos los sectores y tamaños.
Una de las mejores herramientas para chequear la seguridad de los sistemas es el pentesting o pruebas de penetración. Se trata de ciberataques simulados realizados por hackers éticos (también llamados de sombrero blanco), expertos informáticos capaces de descubrir fallos en los sistemas que puedan permitir a un usuario malicioso acceder a ellos para realizar cualquier tipo de acción. El objetivo de estas simulaciones es encontrar posibles vulnerabilidades en los sistemas para que la empresa pueda ponerles solución, aumentando así su seguridad.
6 claves de un buen pentesting de calidad
Probar la seguridad de los sistemas es una de las mejores prácticas que pueden llevar a cabo las empresas para comprobar sus defensas. Pero el pentesting no se puede hacer de manera arbitraria, sino que debe seguir ciertos pasos para asegurar que se realiza de manera correcta. Estas serían las 6 claves que debe cumplir todo pentesting:
1.Planificación y preparación
El primer paso que se debe dar es acordar junto al cliente cuáles son los activos que se van a evaluar. Es necesario definir exactamente qué dispositivos, sistemas, redes o aplicaciones van a ser testeados y firmar todos los permisos para evitar posibles problemas. Por ello, es muy importante que el pentester se limite a atacar los activos acordados. Además, se debe definir qué tipo de prueba se va a realizar en función de la información previa con la que va a contar el hacker ético. En este caso, se pueden definir tres tipos de pentesting:
- Caja negra (black box): el atacante no tiene ningún tipo de información previa ni de permisos, para simular un ataque externo real.
- Caja gris (grey box): el pentester cuenta con algo de información sobre los sistemas, pero debe de tirar del hilo para obtener acceso completo.
- Caja blanca (White box): la empresa ofrece toda la información y acceso completo a los sistemas evaluados. Se trata de la prueba más completa.
2.Reconocimiento
Una vez acordado con el cliente qué activos se van a evaluar y qué tipo de pentesting se va a llevar a cabo, el profesional comienza recopilando y clasificando toda la información que va a necesitar para llevar a cabo la prueba. Esta fase cobra mayor importancia en el caso de los tests de caja negra, ya que el pentester parte a ciegas y necesita hacerse un mapa mental de los activos que va a atacar y posibles puntos ciegos de donde partir. Una de las técnicas más utilizadas en esta fase es la recopilación de información disponible en fuentes abiertas, llamada OSINT.
3.Escaneo y enumeración
Llegados a este punto, el pentester comienza a escanear los sistemas a base de peticiones para conocer los puntos débiles de los activos a prueba. Se deben realizar escaneo de puertos y vulnerabilidades o la búsqueda de directorios y recursos, utilizando herramientas específicas como Nmap, BurpSuite, Nessus o SQLMap. El uso de herramientas automatizadas es muy importante en esta fase, ya que realizar este escaneo de forma manual podría llevarle mucho tiempo al atacante. Una vez identificados y enumerados todos estos posibles vectores de entrada, el pentester ya está preparado para pasar a la siguiente fase.
4.Explotación
Se trata de la fase más crítica del pentesting, ya que el hacker ético va a revisar las vulnerabilidades detectadas para intentar explotarlas, con el objetivo de comprobar hasta qué punto puede acceder al sistema a través de ellas y qué acciones puede realizar una vez dentro. Esto puede incluir la ejecución de código malicioso, la obtención de credenciales o la posibilidad de sustraer o modificar datos confidenciales de la empresa. Lo más importante es que el pentester sea capaz de determinar hasta qué punto estas vulnerabilidades pueden llegar a suponer un problema para la compañía y qué tipo de acciones podría llevar a cabo un ciberdelincuente que se pudiera colar en sus sistemas.
5.Post-explotación
Una vez realizada la explotación de los fallos encontrados, el atacante pasa a definir el nivel de acceso obtenido y a analizar, esta vez desde dentro, qué otras vías podrían darle acceso al resto de partes del sistema analizado. Además, puede comprobar qué posibilidades hay de realizar movimientos laterales o de crear puertas traseras o canales encubiertos para poder volver a acceder en el futuro de una forma más sencilla. El objetivo de esta fase es conocer el impacto real que podrían llegar a tener todas las vulnerabilidades descubiertas.
6.Informes y recomendaciones
Tras haber evaluado el sistema, el pentester debe crear un informe detallando y categorizando por nivel de importancia cuáles han sido los fallos encontrados, los vectores de entrada, qué tipo de métodos de explotación ha utilizado para acceder y comprometer los activos y hasta dónde podría llegar un atacante real en caso de intrusión, así como recomendaciones para paliar todas estas vulnerabilidades. Es importante que este informe sea claro y exhaustivo, de cara a que el cliente sea capaz comprender a la perfección cuál es el estado de sus activos y pueda establecer un plan de acción para mitigar todos los fallos encontrados.
Simular un ataque para mejorar tus defensas
Como hemos visto, el pentesting se trata de un servicio exhaustivo de análisis de seguridad de los sistemas informáticos de las empresas. Al utilizar técnicas similares a lo que se podría considerar un escenario real, los equipos de TI de las compañías van a ser capaces de comprobar de una forma veraz cuál es el nivel de seguridad con el que cuentan sus activos y cómo solucionar posibles fallas que podrían permitir el acceso de usuarios maliciosos o ciberdelincuentes, capaces de causar interrupciones en los servicios o de obtener datos sensibles, lo que podría suponer un gran problema para la empresa.
La ciberseguridad ya no es una opción, por eso es importante realizar este tipo de pruebas de forma periódica o siempre que se va a poner en marcha un nuevo activo, de manera que podamos reforzar su protección. Además, el análisis de vulnerabilidades se ha convertido en una parte muy importante de las nuevas normativas de cumplimiento, como NIS2, DORA, ENS… En Excelia contamos con un servicio de pentesting llevado a cabo por profesionales expertos de primer nivel que serán capaces de poner en jaque tus sistemas, para ofrecerte un análisis riguroso de tus defensas y cómo poner solución a las posibles vulnerabilidades encontradas. Y tu empresa, ¿se va a arriesgar a que puedan acceder a sus activos?
