Publicado: 20 de diciembre de 2023
Colaboradores: Teaganne Finn, Amanda Downie
Las pruebas de penetración en la red son un tipo de pruebas de penetración (o "pen test") que se dirigen específicamente a toda la red informática de una empresa mediante la práctica del ataque informático ético.
El objetivo de las pruebas de penetración en la red es revelar e identificar cualquier vulnerabilidad dentro de la organización. Esto incluye una evaluación en profundidad de las medidas de seguridad de la red mediante pruebas externas e internas, como pruebas de aplicaciones web y simulacros de ataques de phishing.
Suscríbase a los boletines mensuales de IBM
La forma en que funciona la penetración en la red consiste en que los hackers éticos, o equipos rojos, utilizan herramientas y técnicas de hacking para realizar un simulacro de ciberataque contra el sistema informático de una organización. El objetivo es traspasar el firewall de la organización y obtener acceso no autorizado.
Las pruebas de penetración en la red pueden incluir ataques a aplicaciones web, API, endpoints y controles físicos. Los ataques simulados al sistema operativo pueden revelar puntos débiles de seguridad y mostrar a la organización dónde hay puntos débiles.
Los ataques falsos ayudan a los equipos de seguridad a descubrir vulnerabilidades de seguridad pertinentes en la infraestructura de red. Entre las amenazas más comunes que se pueden probar se incluyen un ataque de denegación de servicio distribuido (DDos, por sus siglas en inglés), un sistema de nombres de dominio (DNS), malware, phishing e inyección SQL.
Los evaluadores también utilizan herramientas para realizar reconocimientos y automatizar el proceso de pruebas de penetración. A menudo se utilizan dos tipos de pruebas: internas y externas.
Pruebas de red internas: En una prueba interna, los evaluadores actúan como atacantes internos o como alguien que puede estar intentando realizar un acto malicioso con credenciales robadas. El objetivo principal de este tipo de prueba es encontrar vulnerabilidades que una persona o empleado podría explotar desde dentro de la organización robando información y abusando de privilegios para acceder a datos privados o sensibles.
Pruebas de red externas: Los servicios de pruebas de penetración en redes externas tienen por objeto imitar a atacantes externos que intentan penetrar en la red. Estos evaluadores trabajan para encontrar problemas de seguridad directamente conectados a Internet, como servidores, routers, sitios web, aplicaciones y ordenadores de empleados que suponen riesgos de código abierto.
Por lo general, una prueba de penetración en la red seguirá cuatro pasos específicos. La prueba concluirá con un informe de la prueba de penetración en la red, que es un análisis detallado de los riesgos empresariales y las conclusiones sobre los riesgos.
En esta primera fase, los hackers éticos discutirán con las principales partes interesadas cuál será el objetivo general de las pruebas y qué vulnerabilidades ha identificado la organización. Antes de las pruebas de penetración, se debe realizar una evaluación de vulnerabilidades.
A partir de ahí, los evaluadores y las partes interesadas decidirán qué pruebas realizar y las métricas de éxito que piensan utilizar. Los evaluadores utilizarán varias herramientas y metodologías diferentes para realizar los ataques falsos, como el escaneo de puertos y el mapeo de red (nmap).
Hay tres tipos de perspectiva de prueba que se utilizan habitualmente. Dependiendo de la organización, pueden utilizarse por separado o combinados.
Pruebas de caja negra: Una prueba de "caja negra" se realiza desde la perspectiva de un hacker medio con poco o ningún conocimiento interno sobre el sistema de red. Este tipo de prueba sería una prueba de penetración externa, ya que su objetivo es explotar las vulnerabilidades orientadas hacia el exterior dentro de la red.
Pruebas de caja gris: Este tipo de prueba de penetración en la red tiene un enfoque más interno y pretende representar a un hacker con acceso al sistema interno, al tiempo que mantiene algunos de los aspectos de un hacker externo. La prueba de caja gris tiene como objetivo ser un mal actor dentro de una organización que puede tener privilegios elevados que están siendo utilizados de forma maliciosa.
Pruebas de caja blanca: Por último, la prueba de caja blanca es la más intrusiva de los tres tipos de pruebas de seguridad. Esta prueba se realiza para retratar a un informático o a alguien con acceso al código fuente de la organización y a todos los datos posibles sobre el sistema. Esta prueba suele realizarse en último lugar para comprobar la integridad de una arquitectura de TI. Y garantizar aún más la impenetrabilidad de posibles piratas informáticos y ciberataques al sistema de destino.
En la fase de reconocimiento y descubrimiento, los evaluadores tomarán los datos del reconocimiento para realizar pruebas en vivo y descubrir las vulnerabilidades existentes mediante tácticas como la ingeniería social. Mediante el uso de herramientas engañosas para manipular a las personas para que compartan información, los evaluadores esperan encontrar dónde se encuentran los puntos débiles y comenzar a atacar esas vulnerabilidades.
En el paso de descubrimiento, los evaluadores pueden utilizar herramientas como un escáner de puertos y un escáner de vulnerabilidades. El escáner de puertos identifica los puertos abiertos en un sistema por los que podrían entrar los hackers y un escáner de vulnerabilidades identifica las vulnerabilidades existentes en un sistema.
El siguiente paso consiste en poner en práctica todo el trabajo preliminar realizado hasta el momento. En este paso los evaluadores realizarán las pruebas de penetración en la red utilizando herramientas que pueden explotar scripts o intentar robar datos. El objetivo es averiguar cuánto daño pueden causar los hackers éticos y, si consiguen acceder, determinar cuánto tiempo pueden permanecer dentro del sistema.
Los evaluadores pueden empezar probando una vulnerabilidad cada vez, pero deberían realizar pruebas en múltiples vulnerabilidades para asegurarse de que se ha adoptado un enfoque amplio para abordar estos riesgos de seguridad.
El último paso consiste en documentar qué pruebas de penetración en la red se han realizado, repasar los resultados de cada una de esas pruebas y discutir las medidas correctoras con el equipo de seguridad de la información. El informe detalla todo el proceso de principio a fin e identifica las vulnerabilidades, pruebas, datos y recomendaciones para la organización. Este informe es sumamente importante para que el empresario tenga una visión completa de los riesgos detectados y un análisis que le ayude a tomar decisiones con conocimiento de causa.
Una organización se enfrenta a muchas amenazas y tener guardias en sus datos es vital para proteger su negocio y su información sensible. Una prueba de penetración en la red identificará todas las vulnerabilidades y protegerá los datos de su organización de todos los puntos de entrada posibles. Si bien un escaneo de vulnerabilidades puede ser beneficioso, no es una herramienta de prueba tan extensa y, en todo caso, debería utilizarse como complemento de una prueba de penetración.
Al realizar pruebas de penetración, comprenderá mejor qué controles de seguridad funcionan y cuáles deben reforzarse. Las pruebas de penetración en la red también ofrecen a la organización la posibilidad de analizar su posición de seguridad.
El análisis preventivo de las vulnerabilidades de la red de su organización garantizará que se eliminen casi por completo las posibilidades de que se produzca una vulneración de datos. Las pruebas de penetración garantizan la seguridad global mediante evaluaciones de seguridad y escaneos de ciberseguridad.
Descubra los riesgos de la superficie de ataque externa y los puntos ciegos inesperados, antes de que lo hagan los atacantes con IBM Security Randori Recon.
Pruebe sus aplicaciones móviles, aplicaciones IoT, redes, hardware y personal para descubrir y solucionar las vulnerabilidades que exponen sus activos más importantes.
Adelántese a un entorno en rápida evolución y proteja su infraestructura y su red de las sofisticadas amenazas a la ciberseguridad con conocimientos y experiencia probados en seguridad y soluciones modernas.
El portal X-Force Red permite a todos los agentes implicados en la corrección ver los resultados de las pruebas inmediatamente después de que se hayan descubierto las vulnerabilidades, así como programar las pruebas de seguridad a su conveniencia.
El índice sobre inteligencia de amenazas de 2023, IBM Security X-Force Threat Intelligence, ofrece a los directores de seguridad de la información (CISO, por su sigla en inglés), equipos de seguridad y líderes empresariales conocimiento procesable para entender cómo atacan los actores de amenazas y cómo proteger su organización de forma proactiva.
Explore las amplias conclusiones del informe Coste de la vulneración de datos 2023. Conozca las experiencias de más de 550 organizaciones afectadas por una vulneración de datos.
X-Force ofrece una gama de productos y servicios ofensivos y defensivos, respaldados por inteligencia e investigación sobre amenazas.
Todas las últimas investigaciones de X-Force Red en un mismo lugar, con nuevos blogs cada semana.
Este libro electrónico le enseña las ofertas de gama cibernética y cómo su organización puede entrenarse para dar una respuesta completa a una crisis empresarial.