¿Qué es un Pentesting y qué hace un 'penetration tester'?

4min

La seguridad de las redes empresariales es determinante para el futuro de una organización. Una red segura, con dispositivos seguros, protegerá activos cruciales como los datos de miradas indiscretas, filtraciones o robos directos.

En el caso del Cloud, existen una serie de estrategias de seguridad que sirven para garantizar que la infraestructura crítica va a estar protegida, que se aseguren todos los puntos finales de la red, que se hagan los backups necesarios y un sinfín de tareas más.

El caso es que, sea como sea la seguridad en la empresa, ¿cómo sabemos si realmente es efectiva? ¿Funcionan bien los sistemas de seguridad? ¿Estamos preparados para soportar un ataque? En realidad, sólo cuando sufrimos un ataque podemos comprobar de manera exacta cómo es el nivel de seguridad que hemos desplegado. Esa es la razón de ser del Pentest o Pentesting y ese el trabajo que realiza un «penetration tester», el encargado de dirigir todas las tareas y procesos que dicta el test.

Índice

¿Qué es un Pentesting?

¿Qué es pentesting?Un test de penetración es un proceso sistemático que sirve para comprobar las vulnerabilidades existentes en las aplicaciones y redes informáticas. Por decirlo así, es un ciberataque controlado que se lleva a cabo por una empresa especializada sobre una red empresarial. Se hace con el conocimiento y el consentimiento de la empresa que quiere poner a prueba la seguridad de su infraestructura.

Estas pruebas son muy variadas y pueden ir desde el análisis de los dispositivos físicos y digitales hasta el análisis del factor humano (ese factor que puede poner en jaque la seguridad) utilizando técnicas de ingeniería social. Por ejemplo, es posible que el test de penetración incluya intentos de phishing (insistimos, algo controlado y que es, en el fondo, inocuo) para comprobar cómo reacciona el personal ante un ataque de este estilo.

El objetivo de este test es averiguar cómo se comportan los mecanismos de defensa y sacar a la luz las vulnerabilidades. Son esenciales y muy eficaces a la hora de identificar la falta de control, procedimientos ineficientes y brechas que pueden existir y que afecten a la información crítica. De este modo, se pueden evitar situaciones como una fuga de información, los accesos no autorizados a la red, o la pérdida de datos.

Lo ideal, además, es hacerlo antes de que lo haga un ciberdelincuente. Existen varios tipos de test de penetración:

  • Test de penetración en la red, que sirve para identificar los problemas de seguridad en la infraestructura de la red.
  • Test de penetración de una aplicación web, sobre todo atendiendo a los puntos de acceso a los sistemas.
  • Test de penetración inalámbrica, para descubrir los puntos de acceso y los dispositivos no fiables.
  • Test de suplantación de identidad, enfocado a la evaluación del phishing y que pone de relieve la sensibilización y concienciación de los empleados sobre ello.

Fases de un Pentesting

En este tipo de pruebas se cubren diferentes fases, que van desde las etapas tempranas en las que hay que «reconocer el terreno», hasta las fases de ejecución y documentación. Estas son las más típicas y generales:

  1. Fase de reconocimiento. En ella se definen los objetivos y se recopila toda la información que luego se va a usar en las siguientes fases. Aquí se requiere el máximo detalle para disponer de toda la información como nombres y direcciones de correo de los empleados, conocer la topología de la red, etcétera.
  2. Fase de modelado de las amenazas e identificación de vulnerabilidades, identificando posibles vectores de ataque.
  3. La fase de explotación, en la que se pueden aprovechar las oportunidades identificadas con anterioridad para acceder a los sistemas de la empresa.
  4. La fase de post-explotación, en la que, una vez que explotados los sistemas, o bien cuando termina el plazo destinado a estas pruebas, se documentan los métodos que utilizados, los resultados, los hallazgos.
  5. La fase de información, es decir, el momento de elaborar los informes para el cliente. Es la fase más importante porque es en ella donde se le revela al cliente las debilidades de sus sistemas, y se le dan las sugerencias para resolverlas. Es crucial comunicar al cliente exactamente los exploits utilizados para comprometer sus sistemas, y también los pasos exactos que deben tomarse para remediarlos.

En Arsys tenemos una solución de Cloud Backup especial para ti, para que puedas incluir el backup más seguro en el día a día de la empresa y estar mejor preparado que nunca para recuperar tus datos en caso de que ocurra alguna eventualidad.

Sergio Arias

Productos relacionados: