Importancia del pentesting y cómo proteger a tu empresa del mismo

Qué es el pentesting

Pentesting, es el acrónimo de Penetration Testing que, traducido al español es, literalmente, “Prueba de Penetración”, es un procedimiento dentro de la ciberseguridad donde hay dos partes involucradas, el particular o empresa que recibirá el pentesting y, el o los pentester que harán el procedimiento posible.

Este procedimiento se realiza siguiendo alguna metodología, actualmente existen muchas, tales como OSSTMM u OWASP, por nombrar algunas y busca principalmente, la detección de vulnerabilidades en los activos a auditar, para esto usando varias técnicas de seguridad ofensiva con la intención de, como comentamos antes, detectar la mayor cantidad de vulnerabilidades posibles, esto para su posterior reporte ante la entidad auditada y, como objetivo principal, que todos estos fallos descubiertos sean solucionados y la entidad mejore así su seguridad.

Este tipo de pruebas (dependiendo en parte de su metodología) suelen constar de 5 fases que se deben seguir de forma correcta para lograr llevar a cabo con éxito el examen, estas fases son las siguientes:

  • Fase de reconocimiento.
    • Reconocimiento pasivo.
    • Reconocimiento Activo.
  • Fase de análisis de vulnerabilidades.
  • Fase de explotación de vulnerabilidades.
  • Fase de Post-explotación.
  • Generación de informes (técnico y ejecutivo).

Todas estas fases se detallan de mejor forma en el artículo soibre la Terminología básica en hacking ético, publicado en nuestro blog y que te recomendamos leer si estás interesado en profundizar en esta temática.

Tipos de pentesting

Las pruebas de penetración, a pesar de todas buscar el mismo objetivo, que es a final de cuentas mejorar la seguridad de la entidad a auditar, también se pueden clasificar por tipos de pruebas, esta clasificación principalmente se hace basándose en la cantidad de información que reciben los pentesters a la hora de empezar la prueba y, se clasifican de la siguiente forma:

· Pentesting de caja blanca: Este tipo de prueba es el “más simple” debido a que la información proporcionada por parte del cliente es abundante y, gracias a esto, la prueba de penetración puede hacerse teniendo en cuenta muchos datos como direcciones IP, códigos fuente e incluso credenciales de acceso a determinados activos, obviamente no es la prueba de penetración que simule de mejor forma a un atacante real y completamente ajeno a la empresa, aunque claro, si lo que se busca es hacer una completa simulación de un ataque real, se debería elegir mejor un ejercicio de Red Team y no una prueba de penetración.

· Pentesting de caja negra: Este tipo de prueba es todo lo contrario a un pentesting de caja blanca, ya que aquí no se nos otorga ningún tipo de información interna o de carácter crítico sobre los activos a auditar y, debemos ir descubriendo esta información poco a poco a medida que avanza la prueba de penetración, podría decirse que esta prueba es la más cerca a la simulación de un ataque informático real, debido a que nos ponemos en el papel de un atacante que no sabe nada sobre la empresa y busca acceder a ella partiendo desde cero.

· Pentesting de caja gris: Este tipo de prueba es un punto intermedio entre un pentesting de caja blanca y un pentesting de caja negra, debido a que la información que se nos provee es limitada en comparación a una pentesting de caja blanca, pero es bastante en comparación a un pentesting de caja negra donde la información es nula.

También es importante resaltar el hecho de que, si se llegan a conseguir detectar todos los fallos de seguridad o no dentro de los activos a auditar, depende en parte del tipo de pentesting que se esté realizando, eso es evidente, pero sobre todo va a depender de las capacidades del o de los pentesters que realicen la prueba, además que cada tipo de pentesting no se realiza al azar, siempre se elige el adecuado dependiendo del contexto y del alcance que se tenga en la prueba de penetración.

Imagen 0 en Importancia del pentesting y cómo proteger a tu empresa del mismo

Herramientas de pentesting

Seguidamente, para llevar a cabo un pentesting, se suelen usar muchas herramientas que automatizan el proceso, lo recomendable siempre es hacer tanto pruebas manuales como usar este tipo de herramientas, no depender solamente de ellas debido a que no cuentan con la intuición ni el pensamiento lateral humano, pero tampoco depender solo de pruebas manuales, ya que, como humanos, podemos saltarnos vulnerabilidades que estas herramientas pueden encontrar.

Vamos a nombrar las principales herramientas utilizadas para pentesting, clasificadas según la fase en la que se empleen.

Herramientas para la fase de reconocimiento

Reconocimiento pasivo

Las herramientas más conocidas y utilizadas son:

  • Registros Whois (Independientemente la fuente de consulta)
  • theHarvester
  • OSINT Framework (es una recopilación de herramientas, no una herramienta en sí)
  • Netcraft
  • TinEye
  • FOCA
  • Exiftool
  • Maltego
  • Sherlock
  • Extensiones como HackTools o Wappalyzer

Reconocimiento activo

Para este caso, las herramientas más comunes son:

  • Nmap
  • ARP-Scan
  • Net-discovery
  • Gobuster u otro fuzzer
  • WPScan (si la ocasión lo amerita)
  • CMSScan (si la ocasión lo amerita)
  • Wireshark
  • Whatweb
  • wafw00f
  • Burp Suite
  • SMBClient
  • Enum4Linux

Herramientas para la fase de análisis de vulnerabilidades

En esta fase del pentesting se suelen utilizar herramientas como las siguientes:

  • Nmap (con scripts para esta acción)
  • WPScan (si la ocasión lo amerita)
  • CMSScan (si la ocasión lo amerita)
  • Nessus
  • Acunetix
  • Burp Suite y Burp Suite Pro (este último por su escáner de vulnerabilidades incluido)
  • OWASP Zap
  • OpenVAS

Herramientas para la fase de explotación de vulnerabilidades

Las herramientas más destacadas para esta fase son:

  • Metasploit
  • SQLMap
  • Hydra
  • John The Ripper

Herramientas para la fase de post-explotación

Depende mucho el tipo de post-explotación que se busque hacer, si es una escalamiento de privilegios, algunos de los scripts más usados son los siguientes:

  • LinEnum.
  • LinPeas.
  • WinPeas.
  • Recursos online como GTFOBins.

Herramientas para la generación de informes (técnico y ejecutivo)

En esta fase el procedimiento es manual, ya que se trata de redactar los informes, sin embargo, hay quienes utilizan para ello alguna herramienta para automatizar este proceso, de la que podemos destacar PWNDoc.

Cómo proteger tu empresa del pentesting

Por otro lado, es importante entender que, todas las empresas deberían, por lo menos y como mínimo, una vez cada año, solicitar un pentesting a sus activos. Como ya desarrollamos ampliamente en el artículo sobre la importancia de hacer pentesting en tu empresa, hay que tener claro que, los robos ya no se hacen en tiendas físicas ni con un arma, se hacen con un ratón y un teclado. La información es el mayor activo con el que cuentan empresas y particulares, es por eso por lo que, el invertir en ciberseguridad siempre será eso, una completa inversión, jamás será un gasto. El simple hecho de tener empleados concienciados en ciberseguridad, ya es un avance muy grande para la seguridad de una empresa.

Sin embargo, hay algo importante a resaltar y es que, si bien es vital contar con una alta seguridad en los activos informáticos de la empresa, esto por sí solo no llegará a brindar una seguridad tan completa como si se combinara con una concienciación en ciberseguridad.

Por consiguiente, si se combina una alta concienciación en ciberseguridad de los empleados con profesionales altamente capacitados testeando la seguridad de los activos de la empresa, se llega a un nivel de seguridad muy encima de la media con el que cuentan la mayoría de las empresas hoy en día.

Conclusiones

Hay que entender que la mayoría de los ataques informáticos que sufren las empresas, pocas veces son ataques directamente a sus activos informáticos, sino que son ataques dirigidos a empleados que, no tienen muchos conocimientos sobre informática, provocando que por técnicas de ingeniería social, logren manipularlos para que cedan información confidencial o brinden acceso a activos internos de la empresa, por lo que sí, es importante velar por la seguridad de los activos informáticos pero también es muy importante velar por la concienciación en ciberseguridad dentro de la empresa, además de implementar políticas de seguridad y buenas prácticas.

Finalmente, si todo lo comentado en este artículo llamó tu atención y quieres dedicarte al pentesting, podrías empezar con la Creación de laboratorio para pentesting para que de esta forma tengas un entorno en local con el que practicar usando algunas de las Plataformas para practicar y aprender hacking ético de las que te hablamos en ese artículo y en su continuación Plataformas para practicar hacking ético y pentesting (Parte II).

También te puede interesar...

Metasploit para pentesting

Metasploit para pentesting

32 minutos y 13 segundos · taller

  • Ciberseguridad
Ciberseguridad

Hacking vs Pentesting

23 Agosto 2019 Carlos Lucena Herrera
Lenguajes de Programación

Python para pentesting y hacking

13 Julio 2022 Diego Caceres Solis

Las cookies nos permiten ofrecer nuestros servicios. Al utilizar nuestros servicios, aceptas el uso que hacemos de las cookies. Más Información.