Importancia de hacer Pentesting en tu empresa

Del mismo modo que para un ciberdelincuente no hay organización demasiado grande tampoco existe organización demasiado pequeña en materia de ciberseguridad.

“No necesitamos pruebas de penetración, somos tan pequeños” una frase que muy posiblemente habremos escuchado en más de una ocasión en voz de personas responsables de pequeñas empresas que con pasión y esfuerzo luchan por sobrevivir en estos tiempos y debo reconocer que me resulta imposible no referirme a aquella escena de Star Wars “El imperio contraataca” en donde Lando Calrissian afirmaba que había logrado montarse aquel “chiringo“ de la estación gasera de Bespin a espaldas del imperio porque ¡eran demasiado pequeños!

Y creo que todos ya sabemos la inmensa mentira que representaba.

Bromas a un lado, la ciberseguridad es una materia pendiente en nuestras organizaciones. Y descuidar o dejar para otro día las cuestiones más básicas en evaluación de riesgos de seguridad es simplemente absurdo, pero ocurre. Parece olvidarse que existen vulnerabilidades en software, hardware y configuraciones independientemente del tamaño de la organización. ¿Por qué esperar a mañana para algo que se puede hacer hoy?

Afortunadamente las cosas han ido cambiando. Primeramente, tras la implementación del Reglamento General de Protección de Datos (GDPR) en nuestra regulación, que incide en la necesidad de establecer procedimientos proactivos en materia de seguridad. También la llegada del COVID-19 y el teletrabajo donde muchas organizaciones han visto transformado su modelo de funcionamiento interno de la noche a la mañana.

Pero sigue existiendo la duda, ¿una pequeña empresa requiere pruebas de penetración? ¿Cómo puede una pequeña empresa hacer efectivas las pruebas pentesting dados los recursos limitados que disponen? En este artículo, hablaremos de su importancia y de algunos aspectos a considerar en las pruebas de penetración junto con algunos consejos sobre cómo hacerlas efectivas para una PYME.

¿Qué son exactamente las pruebas de Pentesting?

Recuerdo la primera vez que hablé con un cliente sobre pruebas de penetración (Pentesting). Su cara al principio fue la de desconcierto. Quizá se imaginó algo como acudir a la consulta de un médico para cierta revisión “rutinaria”, quizá imaginó algo así como muros caer mientras robábamos su caja fuerte. Lo cierto es que no lo sé ni llegué a preguntarlo, pero tras esta pequeña explicación toda duda queda resuelta.

Básicamente cuando hablamos de qué es el pentesting, intentamos buscar vulnerabilidades en servidores web o sistemas de red y aplicaciones que sean explotables por un atacante, así de simple. Para ello se hace uso de herramientas y exploits disponibles públicamente que sirven de ayuda en nuestra auditoría para ser más efectivos y realistas en la evaluación y detección de amenazas.

Dicho de otro modo, una evaluación de vulnerabilidades es un escaneo a nivel de superficie de la aplicación o los puertos de red en busca de indicadores de vulnerabilidades como números de versión, actualizaciones y puertos abiertos, etc. Mientras que las pruebas de penetración dan un paso más para intentar explotar los problemas encontrados para confirmar que son, de hecho, vulnerabilidades y no falsos gigantes de paja.

Por lo general se recomienda realizar estas pruebas de penetración antes de poner nuestro servicio en producción, pero también es necesario cuando se realizan cambios significativos. En la actualidad es fácil ir añadiendo servicios tras servicio y la interacción de estos debe ser también medida y valorada desde una perspectiva de posible brecha en nuestra seguridad que puede impactar de manera negativa en sistemas sensibles como los sistemas que tratan directamente con procesos críticos, datos de privacidad o datos financieros. Siempre se recomienda realizar pruebas de penetración tanto automáticas como manuales para tener un resultado de evaluación integral.

Consideraciones para las pruebas de penetración

Suele pensarse que las pruebas de penetración pueden ser costosas e inasumibles para una pequeña empresa y es cierto. Sin embargo, los propietarios de pequeñas empresas pueden salvar las obvias limitaciones de recursos considerando sencillos pasos para centrar sus esfuerzos del modo más eficiente y así tomar las decisiones oportunas.

1. Reunir los activos críticos del sistema de información de la organización
   Muchas de las pequeñas empresas no tienen una imagen completa de los sistemas de información que están ejecutando para impulsar su negocio. Estos sistemas pueden ir desde una aplicación web de comercio electrónico que genere ingresos hasta un sistema interno de Recursos Humanos (RR.HH.). Además, estos sistemas pueden ser ejecutados directamente por la empresa o pueden ser un servicio administrado por un proveedor externo.

   Realizando una enumeración de recursos, las pequeñas empresas pueden centrarse en realizar así pruebas sobre sistemas que dependen de sí mismos, ya que es posible que el proveedor de servicios ya haya probado el sistema administrado.

2. Determinar las posibles amenazas
   Una vez que hayamos identificado los sistemas críticos, el siguiente paso es identificar las posibles amenazas que puede enfrentarse. Podemos comenzar por aquellas aplicaciones que ofrecen acceso al público, por ejemplo, nuestra página web. También cualquier herramienta que nos permita la interacción de nuestra organización con el exterior, como herramientas de correo electrónico, mensajería, etc.

   No podemos olvidar el elemento más importante en nuestro plan. Los usuarios que hacen uso de nuestros aplicativos. Si hacemos un buen trabajo examinando y auditando a nuestros usuarios, estos representarán una menor amenaza.

3. Priorizar las amenazas por nivel de riesgo

   Acabamos de terminar nuestra lista de amenazas y surge la siguiente pregunta: “He identificado las amenazas y hay tantas, ¿cuáles abordo primero?”

   Lo cierto es que es bastante posible que nos explote la cabeza ante tanto problema detectado si no los ponemos en su orden de prioridades. La mejor opción es siempre establecer un orden basado en el nivel de riesgo, en la probabilidad de que algo malo suceda y su impacto en nuestra organización.

Tipos de pentesting

Es posible que leyendo este artículo ya pienses en ponerte manos a la obra, pero te recomiendo dosificar tus esfuerzos. Además de las consideraciones citadas es necesario que conozcas los diferentes tipos de pentesting que existen.

Estos tipos se diferencian por la cantidad de información que ofrece al auditor o perito informático forense y por el posible acceso que este ofrece:

• Caja blanca: Llamado pentesting de caja blanca o White box pentesting. Se trata del proceso más sencillo y más completo. Es usado para lograr una primera aproximación. Podemos conocer información acerca del sistema, su arquitectura, incluso la aplicación con la que estemos trabajando. Esto nos ayuda también a crear un catálogo con datos relevantes como: número de equipos, estructura de la red, los tipos de sistemas, contraseñas, servidores y etc.

• Caja negra: El pentesting de caja negra o black box pentesting se llama así porque el perito no dispone de ningún tipo de información. El objetivo es comprobar la facilidad con la que se puede acceder a los equipos y sistemas, tal como lo haría un ciberdelincuente.

• Caja gris: También llamado grey box pentesting, se trata de una combinación de los dos anteriores. El perito informático dispone de cierta información, pero no suficiente. Se utiliza principalmente para la localización de vulnerabilidades y amenazas.

Auto evaluación: Hazlo tú mismo

No te voy a engañar. Nadie mejor que una persona o equipo experto podrá hacer un test de penetración mejor. Pero si tu presupuesto es limitado y no es posible contratar a un tercero para realizar pruebas independientes puedes considerar el uso de herramientas de código abierto para realizar pruebas de penetración en tus propias redes o sistemas.

Algunas de las siguientes herramientas son también usadas por profesionales de la industria en general, no por eso son fáciles de usar, pero si tienes experiencia en administración de sistemas y redes no te serán desconocidas:

• Kali Linux

• Nmap

• Metasploit

• OpenVAS

• BeeF

• SQLmap

• Wireshark

• Nikto

Ahora bien, debemos insistir en que, si bien las herramientas pueden ser gratuitas, otra cosa es interpretar los resultados Si te pierdes en un mar de falsos positivos, si no sabes por dónde comenzar, entonces mejor recurrir a un experto en lugar de entrar en pánico por la incapacidad de resolver un problema.

Conclusión

2020 ha sido un año particularmente complicado, la llegada del COVID y la necesidad de implementar soluciones basadas en teletrabajo para mantener la fuerza laboral de muchos negocios ha presentado nuevos retos que no pueden ser ignorados. En este tiempo los ciberataques no han dejado de incrementarse de manera exponencial.

Realizar pruebas de penetración frecuentes como parte de nuestra política de seguridad nos ayudará a detectar amenazas antes de que puedan ser un problema. Involucrando en el proceso a las herramientas y personas necesarias, la investigación e interpretación de resultados será más sencillo y ayudará a proteger nuestros activos más valiosos. En estos tiempos donde no podemos fiarnos de nada ¿por qué insistir en ahorrar dinero en aquello que debería ser nuestro centro de atención?

Si quieres saber más te recomiendo que veas los cursos de ciberseguridad en OpenWebinars que tenemos preparados para ti. Estos cursos te ayudarán a obtener un mejor conocimiento de las herramientas a usar, conceptos como ethical hacking y en especial a cómo implementar mejoras en tu organización.