Los 5 mejores tipos de pruebas de penetración

La amenaza de los hackers es cada vez más grave. Una encuesta de TechRepublic realizada a más de 400 profesionales de la seguridad informática reveló que el 71% de ellos había observado un aumento de las amenazas o ataques a la seguridad desde el inicio del brote de COVID-19. En caso de que un pirata informático logre vulnerar sus defensas, los daños -a su reputación, a sus resultados y a su capacidad operativa- podrían ser catastróficos.Para calibrar sus defensas de ciberseguridad y detectar las vulnerabilidades de sus sistemas informáticos críticos, debe tener en cuenta diferentes tipos de pruebas de penetración.

¿Qué son las pruebas de penetración? Y cuál es necesario para su empresa?

Revisemos.

¿Qué es una prueba de penetración?

Una prueba de penetración, también conocida como pen test, suele implicar a un equipo de profesionales de la seguridad, que trabajan para penetrar en las redes o servidores de su empresa. Para ello, identifican las vulnerabilidades y las explotan. Debido a esto, las pruebas de penetración se conocen frecuentemente como un tipo de hacking ético.

Las pruebas de penetración son un mecanismo de defensa eficaz porque imitan los ataques del mundo real. Le permiten ver los puntos débiles de su perímetro de ciberseguridad, ya sean puertas traseras en el sistema operativo, fallos de diseño no intencionados en el código o configuraciones de software inadecuadas.

Las ventajas de realizar pruebas periódicamente incluyen:

  • Revela las exposiciones en las configuraciones de sus aplicaciones y en la infraestructura de red
  • Protege la IP, así como los datos sensibles y privados
  • Pone de manifiesto los riesgos reales de que un hacker real logre vulnerar sus defensas
  • Mide sus capacidades de ciberdefensa -su capacidad para detectar ataques y luego responder de manera oportuna
  • .

  • Asegura que su red y sus operaciones funcionen sin problemas las 24 horas del día y que no sufran tiempos de inactividad inesperados
  • Mantiene el cumplimiento de normativas y certificaciones como PCI o ISO
  • Proporciona una opinión objetiva de terceros sobre la eficacia de sus esfuerzos de ciberseguridad

Las pruebas de penetración están diseñadas para ser intensas e invasivas. El objetivo es probar la totalidad de su perímetro para obtener tanta información procesable como sea posible. Según SC Magazine

Las pruebas de penetración pueden realizarse en componentes de hardware, software o firmware y pueden aplicar controles de seguridad físicos y técnicos. Suele seguir una secuencia de un análisis preliminar basado en el sistema objetivo, y luego una identificación previa a la prueba de posibles vulnerabilidades basada en análisis anteriores. Una vez completado esto, una prueba previa puede ayudar a determinar la explotación de las vulnerabilidades identificadas.

Ambas partes deben estar de acuerdo con el conjunto de reglas antes de lanzar las pruebas. Luego, las pruebas deben aplicarse a toda la red.

¿Necesita una prueba de penetración? Aprenda más.

Las tres formas de pruebas de penetración

Hay tres formas principales de realizar una prueba de penetración:

  • Prueba de caja negra
  • Prueba de caja blanca
  • Prueba de caja gris

Prueba de caja negra

La prueba de caja negra, también conocida como prueba de penetración externa, simula un ataque desde fuera de su organización.

El probador de la pluma comienza en la misma base que lo haría un hacker real. Esto significa que comienza con poca o ninguna información sobre la infraestructura de TI y las defensas de seguridad. No conocen el funcionamiento interno de:

  • Las aplicaciones web
  • La arquitectura del software
  • El código fuente

Esta forma de prueba le da una idea de lo que necesitaría hacer un extraño para violar sus defensas. Pero la prueba no termina sólo en ese punto. Hay más cosas que aprender. Un probador también quiere ver cuánto daño podría infligir una vez que esté en el sistema. Según el Infosec Institute:

Las pruebas de penetración de caja negra se basan en el análisis dinámico de los programas y sistemas que se están ejecutando en la red objetivo. Un probador de penetración de caja negra debe estar familiarizado con las herramientas de escaneo automatizado y las metodologías para las pruebas de penetración manual. Los probadores de penetración de caja negra también deben ser capaces de crear su propio mapa de una red objetivo basado en sus observaciones, ya que no se les proporciona tal diagrama.

Típicamente, un probador va de Internet al router, buscando eludir las defensas del firewall. Esto se consigue lanzando un ataque de fuerza bruta contra la infraestructura informática. Realiza una especie de enfoque de prueba y error, en el que los procesos automatizados buscan indiscriminadamente vulnerabilidades explotables.

Una prueba de caja negra puede tardar hasta seis semanas en completarse a fondo, aunque podría durar incluso más tiempo dependiendo del alcance del proyecto y del rigor de las pruebas.

Prueba de caja blanca

A veces denominada prueba de caja clara o prueba interna, este tipo de prueba de pluma da al probador acceso al código fuente y a la arquitectura del software desde el principio. Imita un ataque de un empleado o de un hacker que ya ha obtenido acceso al sistema.

El pen tester comienza con los mismos privilegios que tendría un usuario autorizado. A partir de ahí, intentan explotar las debilidades de seguridad y configuración a nivel del sistema. El objetivo de esta prueba es realizar una auditoría en profundidad de los distintos sistemas y responder a dos preguntas clave:

  1. ¿Qué profundidad podría alcanzar un atacante mediante la escalada de privilegios?
  2. ¿Cuánto daño podría causar un ataque?

Una prueba interna puede tomar de dos a tres semanas para terminar.

Pruebas de penetración de caja gris

Como su nombre lo indica, las pruebas de caja gris son el punto medio entre una prueba interna y una externa. El probador está simulando un ataque desde el exterior, excepto que en este caso, el hacker tiene los niveles de conocimiento parcial de un usuario.

Su propósito es buscar defectos en la estructura del código o la aplicación, utilizando una mezcla de metodologías de caja blanca y caja negra. La prueba híbrida mide las entradas del usuario para ver qué salidas produce el software como respuesta. Por lo general, la prueba se llevará a cabo mediante una combinación de procesos manuales y programas automatizados.

Los escenarios comunes para los que está pensada una prueba de caja gris incluyen:

  • El hacker tiene cuentas de usuario o de administrador con las que puede iniciar sesión
  • El hacker tiene un profundo conocimiento del flujo de datos y la arquitectura de la aplicación
  • El hacker tiene acceso a partes del código fuente

Debido a que utiliza una mezcla de ambas metodologías, algunos consideran que es el mejor ROI para su tiempo y recursos. Ofrece muchos de los beneficios de una prueba interna y externa. Dicho esto, una prueba de caja gris sólo proporciona una cobertura limitada de la aplicación y del código fuente. Para hacer las cosas más complicadas, las pruebas no son fáciles de diseñar.

Los 5 tipos de Pen Testing

Ahora que hemos cubierto las principales formas en que una prueba de penetración se puede realizar, es posible sumergirse en los tipos más comunes de pruebas. La mayoría de ellos utilizarán una combinación de metodologías de pruebas de caja blanca y caja negra. Incluyen:

Pruebas de penetración de servicios de red

Una prueba de penetración de red se utiliza para identificar las debilidades explotables dentro de su:

  • Redes
  • Sistemas
  • Hosts
  • Dispositivos de red

Su misión es encontrarlos y luego cerrarlos antes de que un hacker pueda aprovecharlos. Cuando se hace correctamente, puede demostrar las vulnerabilidades del mundo real que un hacker podría aprovechar para acceder a datos sensibles o tomar el control del sistema. El proceso de descubrimiento permite a su equipo encontrar mejores formas de proteger los datos privados y evitar la toma de control del sistema.

¿Qué implica?

La mayoría de las pruebas de penetración seguirán los 7 pasos del Estándar de Ejecución de Pruebas de Penetración (PTES):

  • Interacciones previas al compromiso – El equipo interno y el socio de seguridad se reúnen para discutir y definir el alcance del compromiso.
  • Recopilación de información – Los probadores tratan de descubrir todos los sistemas accesibles y sus diversos servicios con el fin de obtener la mayor cantidad de información posible.
  • Modelado de amenazas – El probador identifica las vulnerabilidades explotables dentro del sistema, a través de pruebas manuales y escaneo automatizado.
  • Análisis de la vulnerabilidad – El probador documenta y analiza las vulnerabilidades más evidentes para formular un plan de ataque.
  • Explotación – El probador realiza realmente pruebas para intentar explotar las vulnerabilidades.
  • Postexplotación – El probador intenta determinar el valor de la máquina comprometida y mantener el control de la misma para poder utilizarla en un momento posterior.
  • Informes – El probador recopila los hallazgos, clasificando y priorizando las vulnerabilidades, proporcionando pruebas y recomendando medidas de respuesta.

Pruebas de Penetración de Aplicaciones Web

La expansión de las aplicaciones web ha hecho que haya que dedicar más recursos de Internet al desarrollo de software y a la configuración de las aplicaciones para que funcionen correctamente. Pero esto también representa un nuevo e importante vector de ataque para los hackers, sobre todo porque algunas aplicaciones web pueden contener datos sensibles.

Las pruebas de penetración de aplicaciones web buscan reunir información sobre el sistema objetivo, encontrar vulnerabilidades y luego explotarlas. El objetivo final es comprometer completamente la aplicación web.

También se conoce como Prueba de Penetración de Aplicaciones Web (WAPT). Es capaz de probar los siguientes escenarios:

  • Cross Site Scripting
  • SQL Injection
  • Autenticación rota y gestión de sesiones
  • Fallas en la carga de archivos
  • Ataques a servidores de caché
  • Malas configuraciones de seguridad
  • Cross-Site Request Forgery
  • Cruzamiento de contraseñas

A menudo se considera una prueba de «inmersión más profunda», un WAPT es mucho más exhaustivo y detallado, especialmente cuando se trata de identificar vulnerabilidades o debilidades en aplicaciones basadas en la web. Como resultado, se debe dedicar una cantidad significativa de tiempo y recursos para probar adecuadamente la totalidad de una aplicación web.

Pruebas de Penetración Inalámbricas

Las pruebas de penetración inalámbricas tienen como objetivo identificar y luego calibrar las conexiones entre todos los dispositivos conectados a la red wifi de su empresa, incluyendo:

  • Ordenadores portátiles
  • Tablets
  • Dispositivos móviles
  • Dispositivos IoT

La prueba se realiza in situ ya que el pen tester debe estar en el rango de la red inalámbrica para acceder a ella. Y el objetivo de la prueba es relativamente sencillo: encontrar las vulnerabilidades en los puntos de acceso wifi.

¿Cuáles son los pasos que se siguen?

  • Reconocimiento inalámbrico: la información se recopila mediante wardriving, que consiste en conducir por la ubicación física para ver si aparecen las señales wifi.
  • Identificación de redes inalámbricas – El probador escanea e identifica las redes inalámbricas mediante la captura de paquetes y la monitorización de tarjetas inalámbricas.
  • Investigación de vulnerabilidades – Después de que el probador encuentra puntos de acceso wifi, intenta identificar las vulnerabilidades de ese punto de acceso.
  • Explotación – El probador intenta explotar las vulnerabilidades de una de las tres maneras siguientes:
    • Desautenticación de un cliente legítimo
    • Captura de un apretón de manos inicial de 4 vías
    • Ejecución de un ataque de diccionario fuera de línea en una clave de captura
  • Elaboración de informes – El probador documenta cada paso del proceso, incluyendo hallazgos detallados y recomendaciones de mitigación.

Pruebas de Penetración de Ingeniería Social

El riesgo de seguridad más importante para su organización -sin duda- son sus empleados. Según Security Magazine:

Los ciberdelincuentes se dirigen de forma agresiva a las personas porque enviar correos electrónicos fraudulentos, robar credenciales y subir archivos adjuntos maliciosos a las aplicaciones en la nube es más fácil y mucho más rentable que crear un exploit costoso, que requiere mucho tiempo y que tiene una alta probabilidad de fracaso. Más del 99% de los ciberataques dependen de la interacción humana para funcionar, lo que convierte a los usuarios individuales en la última línea de defensa.

Si su intento de mejorar su seguridad no incluye a sus empleados, todos sus esfuerzos serán en vano. Ellos deben ser su principal preocupación.

Con una prueba de penetración de ingeniería social, el probador intenta persuadir o engañar a los empleados para que proporcionen información sensible, como un nombre de usuario o una contraseña.

Hay una variedad de ataques de penetración de ingeniería social, incluyendo:

  • Phishing
  • Vishing
  • Smishing
  • Impersonación
  • Tailgating
  • Suplantación de identidad
  • Ataque a la espalda
  • Ataque a la espalda
  • Pretexto
  • Ataque quid pro quo
  • Baiting
  • Dumperster diving

Mejorar la concienciación de los empleados y proporcionarles formación sobre los ataques de ingeniería social más comunes es una de las mejores formas de evitar que se produzca o tenga éxito un ataque.

Pruebas de penetración física

Una prueba de penetración física simula la forma de la vieja escuela de violar la seguridad.

La persona que realiza la prueba de penetración intenta superar las barreras de seguridad física y obtener acceso a la infraestructura de seguridad, los edificios o los sistemas de su empresa. Pone a prueba los diversos controles físicos que usted tiene en su lugar, incluyendo:

  • Barreras
  • Cámaras
  • Sensores
  • Cerraduras
  • Alarmas
  • Guardias de seguridad

Aunque esto suele verse como algo secundario, si un hacker es capaz de saltarse físicamente la seguridad y acceder a la sala de servidores, podría hacerse fácilmente con el control de su red. Por lo tanto, es fundamental que su postura de seguridad física esté tan rigurosamente protegida como su perímetro de ciberseguridad.

RSI Security – The Pen Testing Experts

Las pruebas con bolígrafos son una de las mejores maneras de medir la eficacia de su ciberseguridad y seguridad física. Ya sea que utilice metodologías de caja blanca, caja negra o caja gris, cada prueba de penetración busca simular un ataque del mundo real, sólo que sin las consecuencias.

Hoy en día, hay cinco tipos esenciales de pruebas de penetración, incluyendo:

  1. Servicio de red
  2. Aplicación web
  3. Internet
  4. Ingeniería social
  5. Física

Al realizar todas estas pruebas de forma periódica, puede asegurarse de que sus ciberdefensas son sólidas.

¿Pero en quién puede confiar para realizar adecuadamente estas diversas pruebas?

RSI Security es el experto en servicios de pruebas de penetración. Gracias a nuestras décadas de experiencia, sabemos exactamente lo que se necesita para evaluar sus defensas de ciberseguridad y, a continuación, abordar sus puntos débiles más evidentes.

¿Está preparado para empezar? Nosotros también.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.