Qué son las pruebas de penetración

[31/12/2021] Las pruebas de penetración son un proceso en el que un profesional de seguridad simula un ataque a una red o sistema informático para evaluar su seguridad -con el permiso de los propietarios de ese sistema.

No deje que la palabra "simula” le engañe: un probador de penetración (o un pen tester, para abreviar) traerá todas las herramientas y técnicas de los atacantes del mundo real para influir en el sistema objetivo. Pero en lugar de utilizar la información que descubren o el control que obtienen para su propio enriquecimiento personal, informan de sus hallazgos a los propietarios de los sistemas de destino para que se pueda mejorar su seguridad.

[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]

Debido a que un pen tester sigue el mismo libro de jugadas que un hacker malintencionado, las pruebas de penetración a veces se denominan hacking ético o hacking de sombrero blanco; en los primeros días de las pruebas de penetración, muchos de sus practicantes comenzaron como hackers maliciosos antes de volverse legítimos, aunque eso es algo menos común en la actualidad. También puede encontrar el término red team o red teaming, derivado del nombre que se le da al equipo que juega con el rol de "enemigo” en los escenarios de juegos de guerra llevados a cabo por los militares. Las pruebas de penetración pueden ser realizadas por equipos o hackers individuales, que pueden ser empleados internos de la empresa de destino, o pueden trabajar de forma independiente o para empresas de seguridad que brindan servicios especializados de pruebas de penetración.

¿Cómo funciona una prueba de penetración?

En un sentido amplio, una prueba de penetración funciona exactamente de la misma manera en que lo haría un intento real de irrumpir en los sistemas de una organización. Los pen testers comienzan por examinar y tomar las huellas digitales de los hosts, los puertos y los servicios de red asociados con la organización de destino. Luego investigarán las vulnerabilidades potenciales en esta superficie de ataque, y esa investigación podría sugerir sondeos más detallados en el sistema objetivo. Eventualmente, intentarán irrumpir en el perímetro de su objetivo y obtener acceso a datos protegidos o controlar sus sistemas.

Los detalles, por supuesto, pueden variar mucho; existen diferentes tipos de pruebas de penetración, y discutiremos las variaciones en la siguiente sección. Pero es importante tener en cuenta primero que el tipo exacto de prueba realizada y el alcance del ataque simulado deben acordarse de antemano entre los evaluadores y la organización objetivo. Una prueba de penetración que irrumpe con éxito en los sistemas o datos importantes de una organización puede causar un gran resentimiento o vergüenza entre los líderes de TI o Seguridad de esa organización, y no es raro que las organizaciones objetivo afirmen que los pen testers sobrepasaron sus límites, o irrumpan en sistemas con datos de alto valor que no estaban autorizados a probar -y, como resultado, amenazan con emprender acciones legales. Establecer de antemano las reglas básicas de lo que cubrirá una prueba de penetración en particular es una parte importante para determinar cómo funcionará la prueba.

Tipos de pruebas de penetración

Hay varias decisiones clave que determinarán la forma de su prueba de penetración. La empresa de seguridad de aplicaciones Contrast Security divide los tipos de prueba en varias categorías:

• Una prueba de penetración externa simula lo que podría imaginarse como un escenario típico de hacker, en donde un agente externo investiga las defensas del perímetro de la organización objetivo para tratar de encontrar debilidades que explotar.
• Una prueba interna, por el contrario, muestra lo que sería capaz de hacer un atacante que ya está dentro de la red -un empleado descontento, un contratista con intenciones nefastas o un hacker superestrella que traspasa el perímetro.
• Una prueba a ciegas simula un ataque "real” desde el lado del atacante. El pen tester no recibe ninguna información sobre la red o los sistemas de la organización, lo que lo obliga a confiar en información que está disponible públicamente o que puede obtener con sus propias habilidades.
• Una prueba de doble ciego también simula un ataque real en el extremo de la organización objetivo, pero en este tipo de participación, el hecho de que se esté realizando una prueba de penetración se mantiene en secreto para el personal de seguridad y de TI con el fin de garantizar que se pruebe la postura de seguridad típica de la empresa.
• Una prueba dirigida, a veces llamada prueba de luces encendidas, involucra tanto a los pen testers como a la TI del objetivo, jugando un "juego de guerra” simulado en un escenario específico que se enfoca en un aspecto específico de la infraestructura de red. Una prueba dirigida generalmente requiere menos tiempo o esfuerzo que las otras opciones, pero no proporciona una imagen tan completa.

Synopsis, la empresa de seguridad de aplicaciones, presenta otra forma de pensar acerca de los diferentes tipos de prueba, en función de cuánto conocimiento preliminar sobre la organización de destino tienen los evaluadores antes de comenzar su trabajo. En una prueba de caja negra, el equipo de hackers éticos no sabrá nada sobre sus objetivos, y la relativa facilidad o dificultad para aprender más sobre los sistemas de la organización objetivo es una de las cosas probadas. En una prueba de caja blanca, los pen testers tendrán acceso a todo tipo de artefactos del sistema, incluido el código fuente, binarios, contenedores y, a veces, incluso los servidores que ejecutan el sistema; el objetivo es determinar qué tan reforzados están los sistemas de destino frente a una persona interna verdaderamente conocedora, que busca escalar sus permisos para obtener datos valiosos. Por supuesto, el conocimiento preliminar de un atacante del mundo real podría encontrarse en algún lugar entre estos dos polos, por lo que también puede realizar una prueba de caja gris que refleje ese escenario.

Pasos de la prueba de penetración

Si bien cada uno de estos diferentes tipos de pruebas de penetración tendrá aspectos únicos, el estándar de ejecución de pruebas de penetración (PTES), desarrollado por un grupo de expertos de la industria, establece siete pasos generales que serán parte de la mayoría de los escenarios de pruebas de penetración:

• Interacciones previas al compromiso: Como hemos señalado, antes de cualquier prueba de penetración, los evaluadores y la organización de destino deben establecer el alcance y los objetivos de la prueba, preferiblemente por escrito.
• Recopilación de inteligencia: El evaluador debe comenzar realizando un reconocimiento contra un objetivo para recopilar la mayor cantidad de información posible, un proceso que puede incluir la recopilación de la llamada inteligencia de código abierto, o información disponible públicamente, sobre la organización objetivo.
• Modelado de amenazas: En esta fase, el pen tester debe modelar las capacidades y motivaciones detrás de un posible atacante real, y tratar de determinar qué objetivos dentro de la organización objetivo podría atraer la atención de ese atacante.
• Análisis de vulnerabilidades: Este es probablemente el corazón de lo que la mayoría de la gente piensa cuando se trata de pruebas de penetración: analizar la infraestructura de la organización objetivo en busca de fallas de seguridad que permitan un hack.
• Explotación: En esta fase, el pen tester utiliza las vulnerabilidades que ha descubierto para ingresar a los sistemas de la organización objetivo y extraer datos. El objetivo aquí no es solo romper su perímetro, sino evitar las contramedidas activas y permanecer sin ser detectado durante el mayor tiempo posible.
• Postexplotación: En esta fase, el pen tester intenta mantener el control de los sistemas que ha violado y determinar su valor. Esta puede ser una fase particularmente delicada en lo que respecta a la relación entre los pen testers y sus clientes; aquí es importante que las interacciones previas al compromiso en la primera fase hayan producido un conjunto bien definido de reglas básicas que protegerán al cliente y garantizarán que ningún servicio esencial del cliente se vea afectado negativamente por la prueba.
• Informes: Finalmente, el evaluador debe entregar un reporte completo e informativo a su cliente sobre los riesgos y vulnerabilidades que descubrió. CSO habló con varios profesionales de seguridad sobre las características y habilidades que debe tener un hacker ético, y muchos de ellos afirmaron que las habilidades de comunicación necesarias para transmitir claramente esta información, están cerca de la parte superior de la lista.

Herramientas de las pruebas de penetración

El conjunto de herramientas del pen tester es prácticamente idéntico al que usaría un hacker malintencionado. Probablemente, la herramienta más importante en su caja será Kali Linux, un sistema operativo optimizado específicamente para su uso en pruebas de penetración. Kali (que la mayoría de los pen testers tienen más probabilidades de implementar en una máquina virtual en lugar de hacerlo de forma nativa en su propio hardware) viene equipado con un conjunto completo de programas útiles, que incluyen:

• nmap
• Metasploit
• Wireshark
• John the Ripper
• Hashcat
• Hydra
• Zed Attack
• sqlmap

Para obtener más detalles sobre cómo todas estas armas funcionan juntas en el arsenal del pen tester, lea sobre las mejores herramientas de prueba de penetración que usan los profesionales.

Servicios y empresas de pruebas de penetración

Las pruebas de penetración son un área de especialización en la industria de la tecnología que hasta ahora se ha resistido a la consolidación. Para decirlo de otra manera, existen muchas empresas que ofrecen servicios de pruebas de penetración; algunas de ellas como parte de un conjunto más amplio de ofertas, y otras se especializan en hacking ético. Explority, la empresa de investigación y asesoramiento, elaboró una lista de las 30 principales empresas de pruebas de penetración en Hacker Noon, y describe sus criterios de inclusión y clasificación. Es una lista bastante completa, y el hecho de que casi no se superpone con la lista de Clutch de las empresas de pruebas de penetración mejor calificadas, o las empresas de penetración de Cybercrime Magazine para observar en el 2021, demuestra cuán diversificado es realmente este campo.

Empleo en las pruebas de penetración

El hecho de que haya tantas empresas de pruebas de penetración debería ser una pista de que los pen testers tienen una gran demanda y hay buenos trabajos para candidatos calificados. Y los trabajos no son solo en empresas de seguridad independientes: muchas grandes empresas de tecnología como Microsoft tienen equipos internos completos de pruebas de penetración.

El departamento de Carreras de TI de la Universidad Estatal de Carolina del Norte tiene un buen resumen de las perspectivas en esta categoría de carrera. Hicieron un seguimiento de más de 16 mil puestos de trabajo abiertos solo en el 2020. Sin embargo, una advertencia es que esta universidad combina las pruebas de penetración y las carreras de analistas de vulnerabilidades en esa descripción general. Las dos trayectorias profesionales tienen muchas habilidades en común, pero los analistas de vulnerabilidades se centran en encontrar agujeros en la seguridad de las aplicaciones y los sistemas mientras aún están en desarrollo o antes de que se implementen, mientras que los probadores de penetración sondean los sistemas activos como se describe aquí.

Capacitación y certificación en pruebas de penetración

La industria de hacking ético fue fundada por los hackers que alguna vez estuvieron lejos de la ética, y decidieron ir en busca de una ruta convencional y legal para poder hacer dinero de sus habilidades. Como es cierto en muchas áreas de la tecnología, esta primera generación de pruebas de intrusión era, en gran parte, autodidacta. Aunque aún hay espacio para aquellos que han desarrollado sus habilidades de esta manera, las pruebas de penetración son ahora un tema común en la informática o planes de estudio universitario y cursos en línea de TI, y muchos directores de recursos humanos va a esperar algo de entrenamiento formal cuando se considera un candidato.

Una de las mejores formas de demostrar que ha estado cultivando las habilidades de prueba de penetración es obtener una de las varias certificaciones ampliamente aceptadas en el campo. Las ofertas de capacitación con licencia que acompañan a estos certificados son una excelente manera de adquirir o mejorar las habilidades relevantes:

• Certified Ethical Hacker del EC-Council (CEH) y Licensed Penetration Tester (Master) (LPT)
• Certified Penetration Tester de IACRB (CPT), Certified Expert Penetration Tester (CEPT), Certified Mobile y Web Application Penetration Tester (CMWAPT), y Certified Red Team Operations Professional (CRTOP)
• PenTest+ de CompTIA
• Penetration Tester de GIAC (GPEN) y Exploit Researcher y Advanced Penetration Tester (GXPN)
• Offensive Security's Certified Professional, Wireless Professional, y Experienced Penetration Tester.

Basado en el artículo de Josh Fruhlinger (CSO) y editado por CIO Perú

Puede ver también:

• ¿Qué es el hacking ético? Conceptos básicos y requisitos
• 5 consejos para un programa exitoso de pentesting
• 11 herramientas de pentesting utilizadas por profesionales
• Por qué necesita un código de ética: Y cómo construir uno que funcione
• ¿Qué es un análisis PEST? Preparando su empresa para los impactos externos
• 5 formas de ocultar el rastro de los hackers
• 7 nuevas tácticas de ingeniería social que los actores de amenazas están utilizando
• El hacking ético en el desarrollo del software
• 10 habilidades y rasgos esenciales de los hackers éticos
• Recompensas por errores: 5 preguntas para responder antes de subirse al carro
• 4 formas en que los atacantes explotan los servicios alojados
• Lista de verificación para minimizar el daño de una filtración de datos
• 4 herramientas de engaño y cómo atrapar a los atacantes
• Las 21 mejores herramientas gratuitas de seguridad