Test de intrusión, test de penetración, pentest, pentesting, examen de penetración, prueba de intrusión, ejercicio de hacking ético, … Son miles los sinónimos aplicables a esta acción que se suele ejecutar sobre cualquier activo de la compañía, y que consiste en simular un ataque sobre el mismo en busca de vulnerabilidades o problemas de seguridad.
Este tipo de ejercicio tiene suma importancia para las empresas, ya que va a determinar si existe alguna grieta en sus sistemas de información. Por analogía a un caso real, imaginemos que tenemos una valla para que no se pase nadie a una zona física. Si la misma tiene una mínima fisura quizá pueda ser manipulada para poder entrar, por lo que existe el riesgo de que se haga. Pues con el pentesting pasa lo mismo: se buscan todas las posibles fisuras dentro de todos sus activos digitales.
Evaluación de la ciberseguridad
El objetivo principal de las pruebas de intrusión es evaluar el estado de los activos de una compañía contra ataques intrusivos, ya que no hay mejor manera de probar la fuerza de los sistemas de seguridad que atacarlos. Además, estos ejercicios tienen también otros objetivos:
- Verificar que nuestras medidas de protección son las adecuadas para parar una intrusión real.
- Poseer un conocimiento exacto de las deficiencias y vulnerabilidades en los activos que se testeen.
- Aprovechando las vulnerabilidades detectadas, realizar intentos de acceso a los activos y la información con el objeto de simular un ataque real y saber las consecuencias que tendría.
- Recomendar medidas de seguridad para reducir los riesgos por intrusión no autorizada y, por ende, cuando sea viable, proponer una solución técnica a cada una de las vulnerabilidades detectadas.
- Cumplir con ciertas normativas de seguridad que exigen realizar este tipo de ejercicios periódicamente.
Aunque siempre son de ayuda diversas herramientas que están diseñadas para probar diferentes escenarios y ataques dentro de las empresas, este tipo de ejercicios tiene un alto componente manual ya que son ejecutados por especialistas de ciberseguridad, más concretamente en la rama de la seguridad ofensiva o hacking ético.
Estos profesionales tienen amplios conocimientos en los diferentes tipos de ataques que pueden soportar los activos de las organizaciones, para de esa manera probarlos y en el caso de que sea exitosos, reportarlos para que sean subsanados a la mayor brevedad.
El alcance que se establezca para la prueba de penetración va a depender de los activos de la organización en los que se pretenda simular un ataque. Pueden ser por ejemplo las aplicaciones que posea la compañía, sus redes (incluyendo las inalámbricas), los sistemas o elementos de red.
Los tipos de pruebas de intrusión que existen van a depender de los diferentes perfiles de acceso y niveles de conocimiento sobre los activos a valorar, pudiéndose clasificar las mismas:
- Caja negra (Black box): Pruebas de intrusión sin conocimiento sobre los sistemas/infraestructura/servicios que serán testeados, por lo que es el tipo que más se asemeja a un ataque real.
- Caja blanca (White box): Pruebas de intrusión con total conocimiento sobre los sistemas/infraestructura/servicios que serán testeados, por lo que es el más completo ya que se realizara un análisis completo de los activos a valorar.
- Caja gris (Grey box): Pruebas de intrusión con conocimiento parcial sobre los sistemas/infraestructura/servicios que serán testeados, por lo que es una mezcla entre las otras dos, no se va a ciegas como la opción de caja negra, pero se posee poca información en comparación con la caja blanca.
Fases del test
Normalmente todo test de intrusión tiene distintas fases que, dependiendo del tipo de pruebas que se realizan y de los activos a valorar, van a ser de mayor o menor importancia dependiendo de cada caso específico, algunas de las más relevantes se detallan a continuación:
- Reconocimiento: Esta es la primera fase en cualquier prueba de intrusión ya que en la misma se va a proceder al reconocimiento de los activos que están en el alcance. Es la fase donde el atacante busca recaudar toda la información posible que le sirva de ayuda para poder llevar a cabo la intrusión.
- Escaneo: Esta fase es la más importante a la hora de valorar el test de intrusión, ya que se va a comprobar de manera activa si lo que se ha encontrado en la fase anterior tiene vulnerabilidades asociadas con los servicios encontrados por lo que nos ayudara a definir lo fácil o difícil que es la posible intrusión.
- Explotación: Esta fase es en la que se debe de poner mayor foco en un test de intrusión ya que nos permitirá saber si es posible la penetración en los activos y por ende explotar sus vulnerabilidades o no.
- Mantenimiento de acceso: Esta fase depende plenamente de la anterior; si se ha conseguido una intrusión explotando cualquier tipo de vulnerabilidad, comienzan otras dos últimas sub-fases que consisten en el movimiento lateral (poder tratar de explotar otros activos dentro de la misma red explotada previamente) y el mantenimiento de acceso al sistema (dejando una puerta trasera para poder acceder en el futuro para realizar otros ataques).
- Borrado rastro: Por último, está última fase también depende de la efectividad del ataque; se trata de borrar cualquier rastro que pueda haber quedado de la intrusión con el objetivo que no se pueda obtener información del acceso no autorizado en caso de una posible investigación posterior del incidente.
Desde nuestra experiencia en MTP –empresa de aseguramiento integral de negocios digitales– en la realización de este tipo de pruebas de ciberseguridad en muchos de nuestros clientes y en diversos sectores, podemos afirmar que la realización de este tipo de ejercicios de forma periódica es de vital importancia para evitar ciberataques y mantener una correcta gestión de la ciberseguridad en las organizaciones.
Fernando Saavedra
Manager de Ciberseguridad MTP