¿Qué son las pruebas de penetración?

Los pentesters son profesionales de la seguridad expertos en el arte del hacking ético, que consiste en utilizar herramientas y técnicas de hacking para corregir fallos de seguridad en lugar de causar daños. Las empresas contratan pentesters para lanzar ataques simulados contra sus aplicaciones, redes y otros activos. Al escenificar ataques falsos, los pentesters ayudan a los equipos de seguridad a descubrir vulnerabilidades de seguridad críticas y a mejorar la posición de seguridad general.

Los términos "hacking ético" y "pruebas de penetración" se utilizan a veces indistintamente, pero hay una diferencia. El hacking ético es un campo más amplio de la ciberseguridad que incluye cualquier uso de las habilidades de hacking para mejorar la seguridad de la red. Las pruebas de penetración son solo uno de los métodos que utilizan los hackers éticos. Los hackers éticos también pueden ofrecer análisis de malware, evaluación de riesgos y otros servicios.

Hay tres razones principales por las que las empresas realizan pentests.

Los pentests son más exhaustivos que las evaluaciones de vulnerabilidades por sí solas. Tanto las pruebas de penetración como las evaluaciones de vulnerabilidades ayudan a los equipos de seguridad a identificar puntos débiles en aplicaciones, dispositivos y redes. Sin embargo, estos métodos sirven para fines ligeramente diferentes, por lo que muchas organizaciones utilizan ambos en lugar de depender de uno u otro. 

Las evaluaciones de vulnerabilidades suelen ser exploraciones recurrentes y automatizadas que buscan vulnerabilidades conocidas en un sistema y las marcan para su revisión. Los equipos de seguridad utilizan las evaluaciones de vulnerabilidades para comprobar rápidamente si existen fallos comunes.

Las pruebas de penetración van un paso más allá. Cuando los pentesters encuentran vulnerabilidades, las explotan en ataques simulados que imitan los comportamientos de hackers malintencionados. Esto proporciona al equipo de seguridad un conocimiento profundo de cómo los piratas informáticos reales podrían explotar las vulnerabilidades para acceder a datos confidenciales o interrumpir las operaciones. En lugar de intentar adivinar lo que podrían hacer los hackers, el equipo de seguridad puede utilizar estos conocimientos para diseñar controles de seguridad de la red para las ciberamenazas del mundo real.

Dado que los pentesters utilizan procesos tanto automatizados como manuales, descubren vulnerabilidades conocidas y desconocidas; además, teniendo en cuenta que explotan activamente los puntos débiles que encuentran, es menos probable que obtengan falsos positivos. Si ellos pueden explotar un fallo, también pueden hacerlo los ciberdelincuentes. Y como los servicios de pruebas de penetración los prestan expertos en seguridad externos, que abordan los sistemas desde la perspectiva de un hacker, las pruebas de penetración suelen descubrir fallos que los equipos de seguridad internos podrían pasar por alto.

Los expertos en ciberseguridad recomiendan realizar pruebas de penetración. Muchos expertos y autoridades en ciberseguridad recomiendan los pentests como medida de seguridad proactiva. Por ejemplo, en 2021, el gobierno federal de EE. UU. instó a las empresas a utilizar pruebas de penetración para defenderse de los crecientes ataques de ransomware.

Las pruebas de penetración contribuyen al cumplimiento normativo. Las normativas de seguridad de los datos, como la Ley de Portabilidad y Responsabilidad del Seguro Médico (HIPAA) y el Reglamento General de Protección de Datos (RGPD), obligan a realizar determinados controles de seguridad. Las pruebas de penetración pueden ayudar a las empresas a demostrar el cumplimiento de estas normativas y garantizar que sus controles funcionan según lo previsto.

Otras normativas exigen explícitamente pentests. El Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI-DSS), que se aplica a las organizaciones que procesan tarjetas de crédito, exige específicamente pruebas de penetración periódicas "externas e internas".

Las pruebas de penetración también pueden respaldar el cumplimiento de las normas voluntarias de seguridad de la información, como la ISO/IEC 27001.

Todas las pruebas de penetración implican un ataque simulado contra los sistemas informáticos de una empresa. Sin embargo, los diferentes tipos de pruebas de penetración se dirigen a diferentes tipos de activos de la empresa.

Los pentests de aplicaciones buscan vulnerabilidades en aplicaciones y sistemas relacionados, incluidas aplicaciones web y sitios web, aplicaciones móviles y de IoT, aplicaciones en la nube e interfaces de programación de aplicaciones (API).

Los pentesters suelen empezar por buscar las vulnerabilidades que figuran en el Top 10 del Proyecto de Seguridad de Aplicación Web Abierta (OWASP). El Top 10 de OWASP es una lista de las vulnerabilidades más críticas de las aplicaciones web. La lista se actualiza periódicamente para reflejar el cambiante panorama de la ciberseguridad, pero entre las vulnerabilidades más comunes figuran las inyecciones de código malicioso, las configuraciones erróneas y los fallos de autenticación. Además de las 10 principales de OWASP, las pruebas de penetración de aplicaciones también buscan fallos de seguridad menos comunes y vulnerabilidades que pueden ser exclusivas de la aplicación en cuestión.

Las pruebas de penetración en la red atacan toda la red informática de la empresa. Existen dos grandes tipos de pruebas de penetración en la red: pruebas externas y pruebas internas.

En las pruebas externas, los pentesters imitan el comportamiento de hackers externos para detectar problemas de seguridad en activos orientados a Internet, como servidores, enrutadores, sitios web y ordenadores de empleados. Se denominan "pruebas externas" porque los pentesters intentan penetrar en la red desde el exterior.

En las pruebas internas, los pentesters imitan el comportamiento de usuarios internos negligentes o hackers malintencionados con credenciales robadas. El objetivo es descubrir las vulnerabilidades que una persona podría explotar desde el interior de la red, por ejemplo, abusando de los privilegios de acceso para robar datos confidenciales.

Estas pruebas de seguridad buscan vulnerabilidades en los dispositivos conectados a la red, como ordenadores portátiles, dispositivos móviles y de IoT, y tecnología operativa (TO).

Los pentesters pueden buscar fallos de software, como una explotación del sistema operativo que permita a los hackers obtener acceso remoto a un endpoint. Pueden buscar vulnerabilidades físicas, como un centro de datos mal protegido por el que podrían colarse agentes maliciosos. El equipo de pruebas también puede evaluar cómo podrían moverse los hackers desde un dispositivo comprometido a otras partes de la red.

Las pruebas de penetración del personal buscan puntos débiles en la higiene de la ciberseguridad de los empleados. Dicho de otro modo, estas pruebas de seguridad evalúan el grado de vulnerabilidad de una empresa a los ataques de ingeniería social.

Los pentesters utilizan el phishing, el vishing (phishing de voz) y el smishing (phishing de SMS) para engañar a los empleados y conseguir que divulguen información confidencial. Los pentests de personal también pueden evaluar la seguridad física de las oficinas. Por ejemplo, los pentesters podrían intentar colarse en un edificio disfrazándose de repartidores. Este método, denominado "tailgating", lo utilizan habitualmente los delincuentes del mundo real.

Antes de que comience un pentest, el equipo de pruebas y la empresa establecen el alcance de la prueba. El ámbito de aplicación describe qué sistemas se probarán, cuándo se realizarán las pruebas y los métodos que pueden utilizar los evaluadores. El alcance también determina la cantidad de información de la que dispondrán los pentesters con antelación:

• En una prueba de caja negra, los pentesters no tienen información sobre el sistema objetivo. Deben basarse en su propia investigación para desarrollar un plan de ataque, como lo haría un hacker del mundo real.

• En una prueba de caja blanca, los analistas tienen total transparencia en el sistema de destino. La empresa comparte detalles como diagramas de red, códigos fuente, credenciales y mucho más.

• En una prueba de caja gris, los pentesters obtienen algo de información, pero no mucha. Por ejemplo, la empresa puede compartir rangos de IP para los dispositivos de red, pero los analistas tienen que sondear esos rangos de IP en busca de vulnerabilidades por su cuenta.

Una vez definido el alcance, comienzan las pruebas. Los pentesters pueden seguir varias metodologías de pentesting. Entre las más comunes se incluyen las directrices de pruebas de seguridad de aplicaciones de OWASP, el Estándar de Ejecución de Pruebas de Penetración (PTES) y la publicación SP 800-115 del Instituto Nacional de Estándares y Tecnología (NIST).

Independientemente de la metodología que utilice un equipo de pruebas, el proceso suele seguir los mismos pasos generales.

El equipo de pruebas recopila información sobre el sistema de destino. Los pentesters utilizan diferentes métodos de reconocimiento en función del objetivo. Por ejemplo, si el objetivo es una aplicación, pueden estudiar su código fuente. Si el objetivo es una red completa, pueden utilizar un analizador de paquetes para inspeccionar los flujos de tráfico de la red.

Los pentesters también suelen recurrir a la inteligencia de código abierto (OSINT). Leyendo documentación pública, artículos de noticias e incluso las cuentas de redes sociales y GitHub de los empleados, los analistas pueden obtener información valiosa sobre sus objetivos.

Los pentesters utilizan los conocimientos adquiridos en el paso de reconocimiento para identificar las vulnerabilidades explotables en el sistema. Por ejemplo, los pentesters podrían utilizar un escáner de puertos como Nmap para buscar puertos abiertos a los que enviar malware. Para un pentest de ingeniería social, el equipo de pruebas podría desarrollar una historia falsa, o "pretexto", que utilizan en un correo electrónico de phishing para robar las credenciales de los empleados.

Como parte de este paso, los pentesters pueden comprobar cómo reaccionan las características de seguridad ante las intrusiones. Por ejemplo, podrían enviar tráfico sospechoso al firewall de la empresa para ver qué ocurre. Los pentesters utilizarán lo aprendido para evitar ser detectados durante el resto de la prueba.

El equipo de pruebas comienza el ataque real. Los pentesters pueden probar una variedad de ataques dependiendo del sistema objetivo, las vulnerabilidades encontradas y el alcance de la prueba. Algunos de los ataques más probados son:

• Inyecciones SQL: los expertos en pruebas de penetración intentan que una página web o aplicación revele datos confidenciales introduciendo código malicioso en los campos de entrada.
  
  

• Secuencias de comandos cross-site: los pentesters intentan colocar código malicioso en el sitio web de una empresa.
  
  

• Ataques de denegación de servicio: los pentesters intentan desconectar servidores, aplicaciones y otros recursos de red inundándolos de tráfico.
  
  

• Ingeniería social: los pentesters utilizan el phishing, el baiting, el pretexto u otras tácticas para engañar a los empleados y comprometer la seguridad de la red.
  
  

• Ataques de fuerza bruta: los pentesters intentan entrar en un sistema ejecutando secuencias de comandos que generan y prueban posibles contraseñas hasta que una funciona.
   

• Ataques de intermediario (man-in-the-middle): los pentesters interceptan el tráfico entre dos dispositivos o usuarios para robar información confidencial o instalar malware.

Una vez que los pentesters han explotado una vulnerabilidad para hacerse un hueco en el sistema, intentan moverse y acceder a más partes del mismo. Esta fase se denomina a veces "encadenamiento de vulnerabilidades" porque los pentesters se mueven de vulnerabilidad en vulnerabilidad para profundizar en la red. Por ejemplo, podrían empezar colocando un keylogger en el ordenador de un empleado. Usando ese keylogger, pueden capturar las credenciales del empleado. Usando esas credenciales, pueden acceder a una base de datos confidencial.

En esta fase, el objetivo del pentester es mantener el acceso y escalar sus privilegios mientras evade las medidas de seguridad. Los pentesters hacen todo esto para imitar a las amenazas persistentes avanzadas (APT), que pueden acechar en un sistema durante semanas, meses o años antes de ser descubiertas.

Al final del ataque simulado, los pentesters limpian cualquier rastro que hayan dejado, como troyanos de puerta trasera que hayan plantado o configuraciones que hayan cambiado. De este modo, los hackers del mundo real no pueden utilizar los exploits de los pentesters para penetrar en la red.

A continuación, los pentesters preparan un informe sobre el ataque. El informe suele describir las vulnerabilidades que encontraron, los exploits que utilizaron, los detalles sobre cómo evitaron las características de seguridad y las descripciones de lo que hicieron mientras estaban dentro del sistema. El informe también puede incluir recomendaciones específicas sobre la corrección de vulnerabilidades. El equipo de seguridad interno puede utilizar esta información para reforzar las defensas contra los ataques del mundo real.

Los pentesters utilizan diversas herramientas para realizar reconocimientos, detectar vulnerabilidades y automatizar partes clave del proceso de pruebas de penetración. Algunas de las herramientas más comunes son:

Sistemas operativos especializados: la mayoría de los pentesters utilizan sistemas operativos diseñados para pruebas de penetración y hacking ético. La más popular es Kali Linux, una distribución de Linux de código abierto que viene preinstalada con herramientas de pen testing como Nmap, Wireshark y Metasploit.

Herramientas de descifrado de credenciales: estos programas pueden descubrir contraseñas rompiendo cifrados o lanzando ataques de fuerza bruta, que utilizan bots o scripts para generar y probar automáticamente posibles contraseñas hasta que una funciona. Algunos ejemplos son Medusa, Hyrda, Hashcat y John the Ripper.

Escáneres de puertos: los escáneres de puertos permiten a los pentesters probar remotamente los dispositivos en busca de puertos abiertos y disponibles, que pueden utilizar para violar una red. Nmap es el escáner de puertos más utilizado, pero masscan y ZMap también son comunes.

Escáneres de vulnerabilidades: las herramientas de escaneo de vulnerabilidades buscan vulnerabilidades conocidas en los sistemas, lo que permite a los especialistas en pruebas de penetración encontrar rápidamente posibles vías de acceso a un objetivo. Algunos ejemplos son Nessus, Core Impact y Netsparker.

Los escáneres de vulnerabilidades web son un subconjunto de los escáneres de vulnerabilidades que evalúan las aplicaciones web y los sitios web. Algunos ejemplos son Burp Suite y Zed Attack Proxy (ZAP) de OWASP.

Analizadores de paquetes: los analizadores de paquetes, también llamados sniffers de paquetes, permiten a los pentesters analizar el tráfico de red capturando e inspeccionando paquetes. Los pentesters pueden averiguar de dónde procede el tráfico, adónde se dirige y, en algunos casos, qué datos contiene. Wireshark y tcpdump se encuentran entre los analizadores de paquetes más utilizados.

Metasploit: Metasploit es un marco de pruebas de penetración con multitud de funciones. Lo más importante es que Metasploit permite a los pentesters automatizar los ciberataques. Metasploit cuenta con una biblioteca integrada de códigos de exploits y cargas útiles preescritos. Los pentesters pueden seleccionar un exploit, darle una carga útil para entregar al sistema de destino, y dejar que Metasploit se encargue del resto.