Ciberseguridad

Qué es el pentesting

El pentesting revela las vulnerabilidades en los sistemas y aplicaciones, es esencial para la seguridad de la información. Los pentesting son realizados por expertos en ciberseguridad, que intentan explotar los fallos de seguridad identificados y proponen soluciones para la mitigación de riesgos.

Objetivos del pentesting

El pentesting, o pruebas de penetración, tiene como objetivo identificar las vulnerabilidades de los sistemas de una organización a través de ataques realizados por un equipo de expertos en hacking y detección de vulnerabilidades.

Estas pruebas son reflejadas en informes que exponen los fallos de seguridad encontrados, determinando su explotabilidad en un potencial ciberataque, y las consecuencias que conllevarían explotar las vulnerabilidades encontradas en el pentesting.

Metodología y enfoque del pentesting

Las pruebas de penetración tienen un enfoque técnico, dedicando los esfuerzos en atacar los servicios y aplicaciones que utilizan las organizaciones en su día a día. Esto permite evaluar la seguridad de sus entornos y si las defensas implementadas son efectivas.

Durante la realización del pentesting, una vez determinado el alcance entre el equipo de testers y la organización; y autorizando la realización del mismo, se realiza en las siguientes fases:

1. Reconocimiento: Se recopila información sobre el objetivo, como las direcciones IP, los nombres de dominio, la información de la infraestructura, y demás. Su misión es conseguir una visión general de los sistemas que se van a auditar.

2. Escaneo: Durante un escaneo de vulnerabilidades, se utilizan herramientas automáticas y semi automáticas para detectar las vulnerabilidades existentes en los sistemas y servicios, que suelen generar un alto tráfico de red. Si no se requiere, el sigilo buscado en un red teaming para evitar la detección del ataque por los equipos de detección de incidentes deja de ser un aspecto clave en el proceso.

3. Análisis de vulnerabilidades: En esta fase, los expertos en ciberseguridad analizan exhaustivamente las vulnerabilidades encontradas durante el escaneo, dado que puede que todas las vulnerabilidades encontradas no afecten, o las herramientas automáticas hayan dado falsos positivos.

4. Explotación: Una vez detectados y confirmados los puntos y servicios críticos del sistema mediante el escaneo de vulnerabilidades y su análisis, llega el momento de poner a prueba los sistemas con la habilidad de los pentesters.

5. Reporte y mitigaciones: Terminadas las pruebas de penetración, toda la información debe ser presentada de forma útil a la organización. Se generan informes ejecutivos sobre el estado de los sistemas, reflejando sus puntos débiles y fuertes; e informes técnicos, que detallan las pruebas realizadas, las explotaciones, las mitigaciones y configuraciones seguras que deberían implementarse en los servicios para aumentar su seguridad.

Tipos de pentesting

Principalmente, hay tres tipos de pentesting según el nivel de acceso y conocimiento que tienen los pentesters sobre el sistema a la hora de realizar las pruebas:

• Pentesting de caja blanca (white box): Se realiza con un conocimiento completo y detallado del sistema en el que va a trabajar. Esto incluye diagramas de red, arquitectura de los sistemas, o el código fuente si se trata de una aplicación. Permite centrar los recursos en el estudio de las vulnerabilidades y riesgos específicos, pero requiere de una mayor colaboración con el equipo interno, por lo que puede ser más costoso.

• Pentesting de caja gris (grey box): El equipo de pentesters tiene un conocimiento parcial de la organización. Se suele proporcionar alguna información o acceso a parte de los sistemas. Este enfoque es más similar a las condiciones en las que se encontraría un cibercriminal si consiguiese acceso al sistema. Este tipo de pentesting está más equilibrado entre el realismo de las pruebas de intrusión y el tiempo que debe dedicar el equipo a la colaboración.

• Pentesting de caja negra (black box): No hay información del sistema. No se proporciona ninguna información previa, simulando las condiciones en las que un cibercriminal no tiene ningún acceso al sistema. Esta modalidad permite identificar mejor las vulnerabilidades que podrían ser utilizadas de forma más efectiva por los atacantes, proporcionando una perspectiva más realista, pero requiriendo más esfuerzos y tiempo del pentester en descubrir vulnerabilidades.

Herramientas y técnicas utilizadas en el pentesting

Los pentesters disponen de un amplio abanico de herramientas de ciberseguridad para hacer su trabajo de forma más efectiva. Trabajan con herramientas automáticas y manuales para la identificación de las aplicaciones del sistema, sus equipos conectados, y sus vulnerabilidades.

Durante la fase de reconocimiento, se emplean programas como nmap y analizadores de tráfico para identificar los activos del entorno que están poniendo a prueba.

En la etapa de escaneo, los testers utilizan scripts de nmap y herramientas de escaneo de vulnerabilidades como Nessus, Qualys o Acunetix. Si hay direcciones IPs públicas, pueden aprovechar Shodan o Netlas para encontrar vulnerabilidades descubiertas de forma pública.

Para la explotación, los testers desarrollan sus propios exploits para las vulnerabilidades identificadas, o frameworks de pentesting como Metasploit. Para los pentesting web, usan soluciones como BurpSuite o OWASP Zap; y para entornos Windows, BloodHound para analizar el Directorio Activo o Mimikatz para extraer credenciales en los sistemas, entre otros.

Qué es el red teaming

El red teaming es el proceso de demostrar cómo una organización es capaz de enfrentar un ciberataque.

Los términos red team y blue team se remontan a las maniobras y ejercicios militares, en el que el red team representa las fuerzas atacantes, mientras que el blue team es el equipo encargado de la defensa.

En el ámbito de la ciberseguridad, estos conceptos se aplican de manera similar, adaptándose al dominio del ciberespacio.

Objetivos del red teaming

Un red teaming se enfoca más allá de las pruebas de penetración tradicionales. Su objetivo es la infiltración en una organización de forma sigilosa para comprometerla al completo y poner a prueba al blue team. Tiene un enfoque amplio que abarca la organización en conjunto.

Algunas de las características de las maniobras de red team que la distinguen de un pentesting son:

• Alcance: Se pone en prueba la seguridad de elementos que van más allá de las páginas web, aplicaciones y/o servicios que utilice la empresa.

• Despliegue de infraestructura: Se requiere mayor infraestructura y se utilizan más recursos para realizar el ataque. Por ejemplo, la preparación de servicios para hacer campañas de phishing o spear phishing, o servidores de comando y control (C2).

• Tiempo: Mientras que unas pruebas de penetración pueden realizarse, dependiendo del alcance, en dos o tres semanas; una maniobra de red team puede estar realizándose durante varias semanas, incluso meses.

Enfoque y metodología del red teaming

Mediante el uso de técnicas, tácticas y procedimientos (TTP), que proporcionan ataques realistas, se pone a prueba la organización y sus capacidades de respuesta ante un ciberataque.

La colaboración con el blue team contribuye a mejorar el nivel de detección y respuesta a incidentes, garantizando que el red teaming sea efectivo y suponga una mejora real.

Aunque la estructura puede variar, una maniobra de red team suele contar -además de los preparativos iniciales- con las siguientes fases en su ciclo de vida:

1. Reconocimiento: La fase de reconocimiento se enfoca en conocer la estructura de la empresa. Existen dos tipos de reconocimiento.

   • Reconocimiento pasivo: Se enfoca en la recopilación de la información disponible, mediante OSINT y SOCMINT, de forma que no se descubre la identidad ni se interactúa con la organización.
   • Reconocimiento activo. En este tipo de reconocimiento sí se puede interaccionar con la organización. Por ejemplo, realizando escaneos de puertos, o entrando en las oficinas para comprobar el nivel de seguridad de los equipos de recepción.

2. Armamento: En la fase del armamento, el red team prepara sus herramientas de ataque y programas maliciosos para las posteriores fases. Pueden apoyarse de exploits de vulnerabilidades que hayan encontrado durante la fase de reconocimiento.

3. Entrega: En la fase de entrega comienza el ataque a la infraestructura objetivo. El red team puede utilizar diversos métodos, como envíos de correos electrónicos maliciosos, spear phishing, o explotando vulnerabilidades que hayan sido detectadas durante la fase de reconocimiento en los servicios expuestos por la empresa.

4. Explotación: Tomando ventaja de las vulnerabilidades encontradas, el red team se infiltra en la red interna y la investigan de forma sigilosa. En este punto, pueden realizar movimientos laterales hacia otros equipos, o consultar los recursos que tienen disponibles en búsqueda de otros usuarios que utilizar en el ataque.

5. Instalación: En esta fase se consigue la persistencia en el sistema, asegurando el acceso a largo plazo en la infraestructura. Esto involucra la instalación de malware, crear nuevos usuarios y accesos remotos o puertas traseras.

6. Comando y control: Una vez el red team ha conseguido el acceso encubierto, se implementan mecanismos que permitan el acceso continuo al entorno comprometido y su interacción con éste, usualmente mediante servidores de comando y control, implementados de forma habitual sobre HTTP, HTTPS o DNS.

7. Acciones en los objetivos: La última fase implica realizar las acciones objetivo en los sistemas. Dependiendo del ciberataque, pueden darse distintos escenarios, como la denegación del servicio, la exfiltración de datos o la propagación de un ransomware.

El red teaming adopta un enfoque más completo evaluando la ciberseguridad de toda la empresa y las capacidades del blue team, así como la formación en ciberseguridad de los empleados.

Utilizando la información disponible en la red junto a técnicas de ingeniería social, se aprovecha del eslabón más débil, el ser humano; y se obtiene una visión amplia de las debilidades en la seguridad y los vectores de ataque en una organización.

Componentes del red teaming

• Red team: Equipo de hackers expertos en ataque encargados de comprometer la seguridad de una organización de forma controlada y gestionada, para identificar las vulnerabilidades existentes dentro de los sistemas.

• Blue team: El equipo de defensa y respuesta ante incidentes de ciberseguridad. Suele ser un equipo dedicado en exclusiva a la monitorización, defensa y mejora de la seguridad de los entornos.

• Purple team: El tercer involucrado en las maniobras es el purple team. El “purple” viene de la combinación del “blue” y “red”. Facilita la comunicación entre blue team y red team, consiguiendo una mejor sinergia. Tiene un enfoque colaborativo entre las partes de ataque y defensa.

Herramientas y técnicas utilizadas en el red teaming

¿Cómo se prepara un ciberataque en un red teaming? En cuanto a las TTP utilizadas, se basan las acciones de grupos de cibercriminales reales para los ataques. Esto implica el estudio de los grupos de cibercriminales, conocidos como amenazas avanzadas persistentes (APT). Con un enfoque realista, se pone a prueba la organización como si se tratase de un ciberataque real.

Existen dos organismos en el ámbito de la seguridad ofensiva que juegan un papel importante en el modelaje y estudio de las APTs. Las maniobras de red team se apoyan en ellas para identificar las vulnerabilidades en los sistemas de una organización:

• MITRE ATT&CK, es un marco de referencia para comprender y mitigar ciber amenazas, que describe las TTPs utilizadas por las APT conocidas durante ataques que han llevado a cabo.
• European Framework for Threat Intelligence-based Ethical Red Teaming (TIBER-EU), ha sido desarrollado por el BCE para evaluar y mejorar la ciber resiliencia.

Para atacar a los sistemas y recolectar información, se utilizan herramientas de los pentesters, y frecuentemente las modifican o crean nuevas para evitar que sean detectadas por los mecanismos de defensa de los equipos de seguridad.

Diferencias clave entre red teaming y pentesting

Realizando una comparativa entre red team vs pentesting, nos encontramos diferencias en su enfoque, metodología, alcance, recursos necesarios y beneficios. Impactan directamente en la forma en la que se aborda la evaluación de la seguridad y la detección de amenazas en una organización.

Alcance y enfoque de las pruebas

Mientras que en un red teaming tiene un alcance amplio, intentando comprometer la organización al completo con un enfoque realista y sigiloso, incluyendo ataques mediante técnicas de ingeniería social. En un pentesting, las pruebas realizadas por los testers tienen un alcance más definido, usualmente los sistemas de información o una parte de éste.

Nivel de conocimiento y colaboración con el cliente

Realizar una maniobra de red teaming supone una mayor dedicación, requiere colaboración estrecha con la organización. El purple team ayuda a blue team y red team a coordinarse. En cambio, en un pentesting, depende del tipo que se realice. En un pentesting white box es necesaria más colaboración con el cliente; mientras que en un black box, al no proporcionar tanta información, no es necesaria tanta.

Respecto al trabajo en equipo con la organización, en un red teaming hay una implicación del equipo defensivo, mientras que un pentesting puede realizarse por un equipo externo que no requiere participación directa de un blue team.

Objetivos y resultados esperados

Gracias a un red teaming, se evalúa la postura general de ciberseguridad y ciberresiliencia de una organización, así como las capacidades de detección y respuesta a incidentes de los equipos de seguridad. Los pentesting, por su parte, identifican las vulnerabilidades del sistema, determinando su explotabilidad y las consecuencias que conlleva su explotación, proporcionando las recomendaciones técnicas de seguridad para proteger los sistemas.

Cuándo utilizar red teaming o pentesting

Al escoger entre realizar un pentesting o un red teaming, es importante considerar el objetivo que se desea alcanzar. Además, cada negocio tiene diferentes objetivos, lo que hace que el entorno y los sistemas de la organización sean determinantes en la elección.

Cabe destacar que cada organización cuenta con una estructura, sistemas y filosofías de trabajo única. Por lo tanto, los expertos en ciberseguridad deben adaptarse a las necesidades de cada organización para garantizar una evaluación de seguridad efectiva.

Escenarios y casos de uso recomendados para cada enfoque

Ambas opciones son beneficiosas para la seguridad de la información, cada una con sus virtudes. Además del objetivo que se busque, el nivel de madurez alcanzado y el estado en el que se encuentre la organización son determinantes a la hora de escoger entre red teaming vs pentesting.

• Si hay un equipo de blue team dentro de la organización que busca poner a prueba sus capacidades, una maniobra de red team ayudará a simular un ciberataque de forma controlada y segura.
• Si se quiere poner a prueba los conocimientos en ciberseguridad de los empleados de una organización, una campaña de phishing realizada en un red teaming, identificará las debilidades y desconocimientos del personal.
• Si desarrollas software y en la fase de pruebas no realizas pruebas de seguridad, un pentesting puede ayudar a determinar si el desarrollo es seguro y cumple con los principios de confidencialidad, integridad y disponibilidad.
• Si se han hecho cambios significativos en el sistema o se han implementado nuevas aplicaciones y servicios, la realización de un pentesting es la opción más efectiva para evaluar si los cambios introducidos han sido implementados de forma segura.

Consideraciones para la elección adecuada según las necesidades y objetivos de seguridad

Aquí tienes unas consideraciones para hacer la decisión más adecuada a los objetivos que se busquen:

• Las pruebas de penetración, debido a su enfoque, tienen una duración más corta, y son menos costosas a nivel económico. Además, tienen el beneficio que se centran en específico en una parte concreta de tu organización.
• Si lo que buscas es conocer cuál es tu capacidad para defenderte en un ciberataque, el red teaming proporciona un mayor nivel de realismo.
• Si no cuentas con un equipo de respuesta a incidentes, no es conveniente realizar un red team. Destinar recursos para crear un equipo “blue team” con herramientas de detección y monitorización, sería la opción más efectiva.

Conclusiones

Realizar una auditoría de ciberseguridad ayuda a las organizaciones a evaluar su nivel de ciberresiliencia y la eficacia de sus procedimientos, políticas y capacidad de detección ante los ciber incidentes.

Podemos resumir los beneficios en los siguientes:

• Identificar los riesgos de seguridad en una organización.
• Descubrir el estado de ciberresiliencia y capacidad de detección de incidentes de seguridad.
• Poner a prueba los sistemas simulando un ciberataque de forma controlada, sin poner en riesgo los datos.
• Aumentar el nivel de ciber preparación, mitigando los riesgos encontrados durante la auditoría de ciberseguridad.
• Fortalecer la confianza de los clientes y socios comerciales al actuar de forma proactiva en la protección de los datos.

La ciberseguridad ha llegado para quedarse. Cada vez son más las organizaciones concienciadas en la necesidad de proteger sus sistemas y actuar de forma proactiva.

Al invertir en pentesting y red teaming, las organizaciones demuestran su compromiso por proteger los datos y transmiten confianza al demostrar que toman medidas proactivas para asegurar que sus sistemas están seguros contra posibles ciberataques. Esto puede ser un factor diferenciador en el mercado e influir en las decisiones de clientes y proveedores.

¿Quieres potenciar tus conocimientos en ciberseguridad? En OpenWebinars puedes mejorar con nuestro Curso de Hacking Tools & Forensic: Red Team y todas los demás formaciones, que puedes realizar suscribiéndote al Plan Profesional, disfrutando de un trial de 15 días gratis.