Una prueba de penetración, o pentest, es una prueba de seguridad que lanza un ciberataque simulado para encontrar vulnerabilidades en un sistema informático.
Los pentesters son profesionales de la seguridad expertos en el arte del hacking ético, que consiste en utilizar herramientas y técnicas de hacking para corregir fallos de seguridad en lugar de causar daños. Las empresas contratan pentesters para lanzar ataques simulados contra sus aplicaciones, redes y otros activos. Al escenificar ataques falsos, los pentesters ayudan a los equipos de seguridad a descubrir vulnerabilidades de seguridad críticas y a mejorar la posición de seguridad general.
Los términos "hacking ético" y "pruebas de penetración" se utilizan a veces indistintamente, pero hay una diferencia. El hacking ético es un campo más amplio de la ciberseguridad que incluye cualquier uso de las habilidades de hacking para mejorar la seguridad de la red. Las pruebas de penetración son sólo uno de los métodos que utilizan los hackers éticos. Los hackers éticos también pueden ofrecer análisis de malware, evaluación de riesgos y otros servicios.
Obtenga conocimientos para gestionar mejor el riesgo de una vulneración de datos con el último informe "Coste de una filtración de datos".
Regístrese en el Índice X-Force Threat Intelligence
Hay tres razones principales por las que las empresas realizan pentests.
Los pentests son más exhaustivos que las evaluaciones de vulnerabilidad por sí solas. Tanto las pruebas de penetración como las evaluaciones de vulnerabilidades ayudan a los equipos de seguridad a identificar puntos débiles en aplicaciones, dispositivos y redes. Sin embargo, estos métodos sirven para fines ligeramente diferentes, por lo que muchas organizaciones utilizan ambos en lugar de depender de uno u otro.
Las evaluaciones de vulnerabilidades suelen ser exploraciones recurrentes y automatizadas que buscan vulnerabilidades conocidas en un sistema y las marcan para su revisión. Los equipos de seguridad utilizan las evaluaciones de vulnerabilidades para comprobar rápidamente si existen fallos comunes.
Las pruebas de penetración van un paso más allá. Cuando los pentesters encuentran vulnerabilidades, las explotan en ataques simulados que imitan los comportamientos de hackers malintencionados. Esto proporciona al equipo de seguridad un conocimiento profundo de cómo los piratas informáticos reales podrían explotar las vulnerabilidades para acceder a datos confidenciales o interrumpir las operaciones. En lugar de intentar adivinar lo que podrían hacer los hackers, el equipo de seguridad puede utilizar estos conocimientos para diseñar controles de seguridad de la red para las ciberamenazas del mundo real.
Dado que los pentesters utilizan procesos tanto automatizados como manuales, descubren vulnerabilidades conocidas y desconocidas; además, teniendo en cuenta que explotan activamente los puntos débiles que encuentran, es menos probable que obtengan falsos positivos. Si ellos pueden explotar un fallo, también pueden hacerlo los ciberdelincuentes. Y como los servicios de pruebas de penetración los prestan expertos en seguridad externos, que abordan los sistemas desde la perspectiva de un hacker, las pruebas de penetración suelen descubrir fallos que los equipos de seguridad internos podrían pasar por alto.
Los expertos en ciberseguridad recomiendan realizar pruebas de penetración. Muchos expertos y autoridades en ciberseguridad recomiendan los pentests como medida de seguridad proactiva. Por ejemplo, en 2021, el gobierno federal de Estados Unidos (enlace externo a ibm.com) instó a las empresas a utilizar pentests para defenderse de los crecientes ataques de ransomware.
Las pruebas de penetración contribuyen a la conformidad normativa. Las normativas de seguridad de los datos, como la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) y el Reglamento General de Protección de Datos (RGPD), obligan a realizar determinados controles de seguridad. Las pruebas de penetración pueden ayudar a las empresas a demostrar su conformidad con estas normativas garantizando que sus controles funcionen según lo previsto.
Otras normativas exigen explícitamente pentests. El Estándar de Seguridad de Datos para la Industria de Tarjeta de Pago (PCI-DSS), que se aplica a las organizaciones que procesan tarjetas de crédito, exige específicamente la realización periódica de "pruebas de penetración externas e internas" (enlace externo a ibm.com).
Los pentests también pueden respaldar la conformidad con normas voluntarias de seguridad de la información, como la ISO/IEC 27001 (enlace externo a ibm.com).
Todas las pruebas de penetración implican un ataque simulado contra los sistemas informáticos de una empresa. Sin embargo, los diferentes tipos de pruebas de penetración se dirigen a diferentes tipos de activos de la empresa.
- Pentests de aplicaciones
- Pentests de la red
- Pentests de hardware
- Pentests de personal
Pentests de aplicaciones
Los pentests de aplicaciones buscan vulnerabilidades en aplicaciones y sistemas relacionados, incluidas aplicaciones web y sitios web, aplicaciones móviles y de IoT, aplicaciones en la nube e interfaces de programación de aplicaciones (API).
Los pentesters suelen empezar buscando las vulnerabilidades que aparecen en el Top 10 del Open Web Application Security Project (OWASP) (enlace externo a ibm.com). El Top 10 de OWASP es una lista de las vulnerabilidades más críticas de las aplicaciones web. La lista se actualiza periódicamente para reflejar el cambiante panorama de la ciberseguridad, pero entre las vulnerabilidades más comunes figuran las inyecciones de código malicioso, las configuraciones erróneas y los fallos de autenticación. Además de las 10 principales de OWASP, las pruebas de penetración de aplicaciones también buscan fallos de seguridad menos comunes y vulnerabilidades que pueden ser exclusivas de la aplicación en cuestión.
Pentests de la red
Las pruebas de penetración en la red atacan toda la red informática de la empresa. Existen dos grandes tipos de pruebas de penetración en la red: pruebas externas y pruebas internas.
En las pruebas externas, los pentesters imitan el comportamiento de hackers externos para detectar problemas de seguridad en activos orientados a Internet, como servidores, enrutadores, sitios web y ordenadores de empleados. Se denominan "pruebas externas" porque los pentesters intentan penetrar en la red desde el exterior.
En las pruebas internas, los pen testers imitan el comportamiento de usuarios internos negligentes o hackers malintencionados con credenciales robadas. El objetivo es descubrir las vulnerabilidades que una persona podría explotar desde el interior de la red, por ejemplo, abusando de los privilegios de acceso para robar datos confidenciales.
Pentests de hardware
Estas pruebas de seguridad buscan vulnerabilidades en los dispositivos conectados a la red, como ordenadores portátiles, dispositivos móviles y de IoT, y tecnología operativa (TO).
Los pentesters pueden buscar fallos de software, como una explotación del sistema operativo que permita a los hackers obtener acceso remoto a un endpoint. Pueden buscar vulnerabilidades físicas, como un centro de datos mal protegido por el que podrían colarse agentes maliciosos. El equipo de pruebas también puede evaluar cómo podrían moverse los hackers desde un dispositivo comprometido a otras partes de la red.
Pentests de personal
Las pruebas de penetración del personal buscan puntos débiles en la higiene de la ciberseguridad de los empleados. Dicho de otro modo, estas pruebas de seguridad evalúan el grado de vulnerabilidad de una empresa a los ataques de ingeniería social.
Los pentesters utilizan el phishing, el vishing (phishing de voz) y el smishing (phishing de SMS) para engañar a los empleados y conseguir que divulguen información confidencial. Los pentests de personal también pueden evaluar la seguridad física de las oficinas. Por ejemplo, los pentesters podrían intentar colarse en un edificio disfrazándose de repartidores. Este método, denominado "tailgating", lo utilizan habitualmente los delincuentes del mundo real.
Antes de que comience un pentest, el equipo de pruebas y la empresa establecen el alcance de la prueba. El ámbito de aplicación describe qué sistemas se probarán, cuándo se realizarán las pruebas y los métodos que pueden utilizar los evaluadores. El alcance también determina la cantidad de información de la que dispondrán los pentesters con antelación:
En una prueba de caja negra, los pentesters no tienen información sobre el sistema objetivo. Deben basarse en su propia investigación para desarrollar un plan de ataque, como lo haría un hacker del mundo real.
En una prueba de caja blanca, los analistas tienen total transparencia en el sistema de destino. La empresa comparte detalles como diagramas de red, códigos fuente, credenciales y mucho más.
En una prueba de caja gris, los pentesters obtienen algo de información, pero no mucha. Por ejemplo, la empresa puede compartir rangos de IP para los dispositivos de red, pero los analistas tienen que sondear esos rangos de IP en busca de vulnerabilidades por su cuenta.
Una vez definido el alcance, comienzan las pruebas. Los pentesters pueden seguir varias metodologías de pentesting. Las más comunes incluyen las directrices de pruebas de seguridad de aplicaciones de OWASP (enlace externo a ibm.com), el Estándar de Ejecución de Pruebas de Penetración (PTES) (enlace externo a ibm.com) y el SP 800-115 del Instituto Nacional de Estándares y Tecnología (NIST) (enlace externo a ibm.com) .
Independientemente de la metodología que utilice un equipo de pruebas, el proceso suele seguir los mismos pasos generales.
1. Reconocimiento
El equipo de pruebas recopila información sobre el sistema de destino. Los pentesters utilizan diferentes métodos de reconocimiento en función del objetivo. Por ejemplo, si el objetivo es una aplicación, pueden estudiar su código fuente. Si el objetivo es una red completa, pueden utilizar un analizador de paquetes para inspeccionar los flujos de tráfico de la red.
Los pentesters también suelen recurrir a la inteligencia de código abierto (OSINT). Leyendo documentación pública, artículos de noticias e incluso las cuentas de redes sociales y GitHub de los empleados, los analistas pueden obtener información valiosa sobre sus objetivos.
2. Descubrimiento y desarrollo de objetivos
Los pentesters utilizan los conocimientos adquiridos en el paso de reconocimiento para identificar las vulnerabilidades explotables en el sistema. Por ejemplo, los pentesters podrían utilizar un escáner de puertos como Nmap para buscar puertos abiertos a los que enviar malware. Para un pentest de ingeniería social, el equipo de pruebas podría desarrollar una historia falsa, o "pretexto", que utilizan en un correo electrónico de phishing para robar las credenciales de los empleados.
Como parte de este paso, los pentesters pueden comprobar cómo reaccionan las características de seguridad ante las intrusiones. Por ejemplo, podrían enviar tráfico sospechoso al firewall de la empresa para ver qué ocurre. Los pentesters utilizarán lo aprendido para evitar ser detectados durante el resto de la prueba.
3. Explotación
El equipo de pruebas comienza el ataque real. Los pentesters pueden probar una variedad de ataques dependiendo del sistema objetivo, las vulnerabilidades encontradas y el alcance de la prueba. Algunos de los ataques más probados son:
Inyecciones SQL: Los pentesters intentan que una página web o aplicación revele datos confidenciales introduciendo código malicioso en los campos de entrada.
Secuencias de comandos en sitios cruzados: los pentesters intentan introducir código malicioso en la web de una empresa.
Ataques de denegación de servicio: los pentesters intentan desconectar servidores, aplicaciones y otros recursos de red inundándolos de tráfico.
Ingeniería social: los pentesters utilizan el phishing, el baiting, el pretexto u otras tácticas para engañar a los empleados y comprometer la seguridad de la red.
Ataques de fuerza bruta: los pentesters intentan entrar en un sistema ejecutando secuencias de comandos que generan y prueban posibles contraseñas hasta que una funciona.
Ataques de intermediario (man-in-the-middle): los pentesters interceptan el tráfico entre dos dispositivos o usuarios para robar información confidencial o instalar malware.
4. Escalada
Una vez que los pentesters han explotado una vulnerabilidad para hacerse un hueco en el sistema, intentan moverse y acceder a más partes del mismo. Esta fase se denomina a veces "encadenamiento de vulnerabilidades" porque los pentesters se mueven de vulnerabilidad en vulnerabilidad para profundizar en la red. Por ejemplo, podrían empezar colocando un keylogger en el ordenador de un empleado. Usando ese keylogger, pueden capturar las credenciales del empleado. Usando esas credenciales, pueden acceder a una base de datos confidencial.
En esta fase, el objetivo del pentester es mantener el acceso y escalar sus privilegios mientras evade las medidas de seguridad. Los pentesters hacen todo esto para imitar a las amenazas persistentes avanzadas (APT), que pueden acechar en un sistema durante semanas, meses o años antes de ser descubiertas.
5. Limpieza y elaboración de informes
Al final del ataque simulado, los pentesters limpian cualquier rastro que hayan dejado, como troyanos de puerta trasera que hayan plantado o configuraciones que hayan cambiado. De este modo, los hackers del mundo real no pueden utilizar los exploits de los pentesters para penetrar en la red.
A continuación, los pentesters preparan un informe sobre el ataque. El informe suele describir las vulnerabilidades que encontraron, los exploits que utilizaron, los detalles sobre cómo evitaron las características de seguridad y las descripciones de lo que hicieron mientras estaban dentro del sistema. El informe también puede incluir recomendaciones específicas sobre la corrección de vulnerabilidades. El equipo de seguridad interno puede utilizar esta información para reforzar las defensas contra los ataques del mundo real.
Los pentesters utilizan diversas herramientas para realizar reconocimientos, detectar vulnerabilidades y automatizar partes clave del proceso de pruebas de penetración. Algunas de las herramientas más comunes son:
- Sistemas operativos especializados
- Herramientas de descifrado de credenciales
- Escáneres de puertos
- Escáneres de vulnerabilidades
- Analizadores de paquetes
- Metasploit
Sistemas operativos especializados: la mayoría de los pentesters utilizan sistemas operativos diseñados para pruebas de penetración y hacking ético. La más popular es Kali Linux, una distribución de Linux de código abierto que viene preinstalada con herramientas de pen testing como Nmap, Wireshark y Metasploit.
Herramientas de descifrado de credenciales: estos programas pueden descubrir contraseñas rompiendo cifrados o lanzando ataques de fuerza bruta, que utilizan bots o scripts para generar y probar automáticamente posibles contraseñas hasta que una funciona. Algunos ejemplos son Medusa, Hyrda, Hashcat y John the Ripper.
Escáneres de puertos: los escáneres de puertos permiten a los pentesters probar remotamente los dispositivos en busca de puertos abiertos y disponibles, que pueden utilizar para violar una red. Nmap es el escáner de puertos más utilizado, pero masscan y ZMap también son comunes.
Escáneres de vulnerabilidades: las herramientas de escaneo de vulnerabilidades buscan vulnerabilidades conocidas en los sistemas, lo que permite a los especialistas en pruebas de penetración encontrar rápidamente posibles vías de acceso a un objetivo. Algunos ejemplos son Nessus, Core Impact y Netsparker.
Los escáneres de vulnerabilidades web son un subconjunto de los escáneres de vulnerabilidades que evalúan las aplicaciones web y los sitios web. Algunos ejemplos son Burp Suite y Zed Attack Proxy (ZAP) de OWASP.
Analizadores de paquetes: los analizadores de paquetes, también llamados sniffers de paquetes, permiten a los pentesters analizar el tráfico de red capturando e inspeccionando paquetes. Los pentesters pueden averiguar de dónde procede el tráfico, adónde se dirige y, en algunos casos, qué datos contiene. Wireshark y tcpdump se encuentran entre los analizadores de paquetes más utilizados.
Metasploit: Metasploit es un marco de pruebas de penetración con multitud de funciones. Lo más importante es que Metasploit permite a los pentesters automatizar los ciberataques. Metasploit cuenta con una biblioteca integrada de códigos de exploits y cargas útiles preescritos. Los pentesters pueden seleccionar un exploit, darle una carga útil para entregar al sistema de destino, y dejar que Metasploit se encargue del resto.
Pruebas de penetración para sus aplicaciones, redes, hardware y personal con el fin de descubrir y corregir las vulnerabilidades que exponen sus activos más importantes a un ataque.
X-Force Red es un equipo mundial de hackers contratados para introducirse en organizaciones y descubrir vulnerabilidades peligrosas que los atacantes puedan utilizar en beneficio propio.
Detecte y elimine las amenazas más rápidamente con la suite XDR líder del sector.
La búsqueda de amenazas es un enfoque proactivo para identificar amenazas desconocidas dentro de la red de una organización.
Los ciberataques son intentos no deseados de robar, exponer, alterar, deshabilitar o destruir información mediante el acceso no autorizado a los sistemas informáticos.
Las amenazas internas proceden de usuarios que tienen acceso autorizado y legítimo a los activos de una empresa y abusan de él deliberada o accidentalmente.