Qué es Pentesting o Pruebas de Penetración

Muchas prácticas de TI surgieron como una adaptación de los enfoques de la era industrial. Por ejemplo, los fabricantes de cajas fuertes solían contratar a los ladrones de cajas fuertes para encontrar los puntos débiles de sus cerraduras, y ahora las empresas recurren a los hackers para identificar las vulnerabilidades de las redes corporativas.

Ha surgido todo un campo: el hacking ético, en el que las pruebas de penetración son realizadas por terceros especialistas. Los “sombreros blancos” realizan una serie de pruebas de penetración (penetration testing, o simplemente pentest) en la red de una organización, simulando diversos ataques y acciones de intrusos. El resultado es un informe que detalla los problemas de seguridad encontrados y las recomendaciones para solucionarlos.

En este artículo, aprenderás más sobre las pruebas de penetración, en qué se diferencian de los escaneos de vulnerabilidad, y sus diferentes tipos. También hablaré de las diferentes etapas de las pruebas de penetración, sus métodos, etc.

Todo sobre Pruebas de Penetración

¿Qué es Pentesting o Pruebas de Penetración?
¿En qué Consisten las Pruebas de Penetración?
¿Quién Puede Realizar Pruebas de Penetración?
Ventajas de las Pruebas de Penetración
¿Cómo se Realiza el Pentest?: 5 Métodos de Pruebas de Penetración
6 Aplicaciones de las Pruebas de Penetración
¿Qué Incluye el Pentest?
Programas y Herramientas de Pruebas de Penetración
Ejemplos de Pentesting
1. Ejemplo 1: Con Vulnerabilidad
2. Ejemplo 2: Sin Vulnerabilidad
¿Cuál es el Resultado de un Pentest?
Escáneres de Vulnerabilidad vs Pruebas de Penetración
Palabras Finales

Tabla de Contenido

¿Qué es Pentesting o Pruebas de Penetración?
¿En qué Consisten las Pruebas de Penetración?
¿Quién Puede Realizar Pruebas de Penetración?
Ventajas de las Pruebas de Penetración
¿Cómo se Realiza el Pentest?: 5 Métodos de Pruebas de Penetración
6 Aplicaciones de las Pruebas de Penetración
¿Qué Incluye el Pentest?
Programas y Herramientas de Pruebas de Penetración
Ejemplos de Pentesting
- Ejemplo 1: Con Vulnerabilidad
- Ejemplo 2: Sin Vulnerabilidad
¿Cuál es el Resultado de un Pentest?
Escáneres de Vulnerabilidad vs Pruebas de Penetración
Palabras Finales

¿Qué es Pentesting o Pruebas de Penetración?

La prueba de penetración (penetration test, pentest o pentesting) es un test de penetración y seguridad, también conocida como análisis de vulnerabilidad del sistema. Es un método para evaluar la seguridad de un sistema de información mediante la simulación de un ataque por parte de un atacante. El pentesting se realiza desde la perspectiva de un atacante potencial y puede implicar la explotación activa de las vulnerabilidades del sistema.

El objetivo de las pruebas es detectar posibles vulnerabilidades y debilidades que puedan conducir a una violación de la confidencialidad, la integridad y la disponibilidad de la información, provocar un funcionamiento incorrecto del sistema o llevar a una denegación de servicio, así como predecir posibles pérdidas financieras y riesgos económicos. Las pruebas afectan tanto a la capa virtual como a la física.

Los resultados de las pruebas de penetración proporcionan una estimación de la capacidad del nivel de seguridad actual para resistir un intento de intrusión por parte de un atacante potencial, datos sobre la cantidad de tiempo y recursos necesarios para atacar con éxito al cliente. Si se identifican vulnerabilidades, es obligatorio elaborar una lista de recomendaciones para subsanarlas.

¿En qué Consisten las Pruebas de Penetración?

La esencia del trabajo es simular las acciones de un intruso que pretende acceder a los sistemas de información del cliente y comprometer la integridad, confidencialidad o disponibilidad de la información propiedad del cliente. Los objetos de investigación más frecuentes son:

Sistemas de gestión de bases de datos;
Equipo de red;
Servicios de red y servicios (por ejemplo, correo electrónico);
Herramientas de seguridad de la información;
Software de aplicación;
Sistemas operativos para servidores y usuarios

¿Quién Puede Realizar Pruebas de Penetración?

Los profesionales de la seguridad o los hackers éticos (ethical hackers) suelen ser las personas que realizan las pruebas de penetración. También es importante permitir que alguien con poco o ningún conocimiento previo de tus sistemas de seguridad realice estas pruebas. Así, los probadores pueden explorar todas las posibles vulnerabilidades y puntos ciegos que tu equipo interno podría haber pasado por alto. Por eso las empresas de todo el mundo contratan a contratistas externos para que comprueben sus sistemas de seguridad.

Las pruebas de penetración proporcionan varias ventajas a cualquier empresa. Veamos algunas.

Ventajas de las Pruebas de Penetración

Las pruebas de penetración le permiten asegurar y salvaguardar los sistemas de múltiples formas de ciberataques. He aquí algunas de sus principales ventajas.

Proteger la integridad y la privacidad de los datos de la empresa y de los clientes
Encontrar las vulnerabilidades de seguridad y las lagunas en tiempo real
Cumplir con varias políticas gubernamentales federales y provinciales
Detectar tendencias en los inconvenientes de seguridad para generar conciencia de seguridad dentro del equipo
Realizar un análisis del impacto de cada vulnerabilidad encontrada para poder priorizar los riesgos
Generar respuestas a incidentes para vulnerabilidades específicas de antemano para permanecer seguro
Mejorar y aumentar la continuidad del negocio y de las operaciones mientras se gana la confianza de los clientes (de la empresa)

Ahora, echemos un vistazo a los diferentes métodos para realizar pruebas de penetración.

¿Cómo se Realiza el Pentest?: 5 Métodos de Pruebas de Penetración

La mayoría de las veces, una organización externa lleva a cabo un pentest para evitar la colusión entre sus propios empleados. El proceso de pentest imita un ataque real de hackers e implica varios pasos:

Recopilación de información sobre el objetivo
Aplicación de la ingeniería social
Identificación de los puntos de entrada a la red
Detección y explotación de vulnerabilidades
Escalada de privilegios en el sistema objetivo
Informes y recomendaciones

Normalmente, las pruebas de vulnerabilidad comienzan con la red externa y luego prueban los servicios internos.

Por un lado, los pentests contienen muchos procedimientos típicos que pueden automatizarse para acelerar las cosas. Por otro lado, cada cliente tiene sus propias peculiaridades, que hay que tener en cuenta realizando una serie de comprobaciones de forma manual.

El método automatizado es bueno para encontrar los problemas típicos: vulnerabilidades conocidas, puertos abiertos, software potencialmente peligroso y malicioso, configuraciones de acceso incorrectas y servicios habilitados por defecto que no participan en los procesos empresariales reales. En resumen, para encontrar potenciales vectores de ataque.

A veces, los gestores se ven tentados a renunciar a un pentest completo y utilizar ellos mismos los escáneres de vulnerabilidad. El problema es que requieren conocimientos técnicos para su puesta en marcha y los resultados deben ser verificados por expertos. Sin ella, serán poco informativos y pueden contener falsos positivos. Ejecutar el escáner con la configuración predeterminada creará una falsa sensación de seguridad.

Por lo tanto, la segunda etapa de la prueba suele consistir en una prueba manual. Se basa en la experiencia profesional y permite encontrar problemas reales a partir de una larga lista de defectos detectados.

Una vez realizadas las pruebas, se elabora un informe detallado con recomendaciones para subsanar las deficiencias de seguridad. Tras el acuerdo, se verifica el cumplimiento de diversas normas y se asigna una clase de seguridad.

El método que debes elegir dependerá de los sistemas que necesites probar. Así que vamos a considerar los 5 métodos de pruebas de penetración.

Pruebas externas

En este método, las pruebas se realizan desde la perspectiva de un atacante externo sin ventajas inmediatas para el sistema. Más concretamente, los probadores pretenden identificar las vulnerabilidades del sistema desde un punto de vista externo. Se centran en los puntos finales de la empresa, como cortafuegos, servidores web y de correo, etc. Las pruebas externas también ayudan a encontrar y corregir las vulnerabilidades de los recursos externos de la empresa. Un ejemplo de pruebas externas son las pruebas de redes públicas inalámbricas destinadas a usuarios externos.

Pruebas internas

En este método, los administradores del sistema concederán al probador acceso a los sistemas, aplicaciones subyacentes y servicios de la empresa. Se centra principalmente en los permisos y privilegios. Las pruebas internas también buscan encontrar vulnerabilidades que podrían resultar de empleados o recursos que tienen más acceso del que necesitan. Un ejemplo de pruebas internas consiste en encontrar vulnerabilidades en los sistemas y dispositivos internos de la empresa, como ordenadores, impresoras y periféricos de red.

Pruebas a ciegas

Las pruebas ciegas, o pruebas de penetración encubiertas, son una forma de prueba externa que reproduce las acciones de un ciberdelincuente externo sin un objetivo específico. Aunque estas pruebas no tienen un alcance concreto, pueden ayudar a descubrir vulnerabilidades en el sistema general. Suele comenzar con información muy limitada. Por ejemplo, los ciberdelincuentes sólo tendrán el nombre de una empresa. A continuación, utilizarán esto para tratar de encontrar medios de fuentes disponibles públicamente para infiltrarse en el sistema de tu empresa.

Pruebas a doble ciego

Al igual que las pruebas a ciegas, en las pruebas a doble ciego, tanto el sujeto como el observador desconocen la prueba de penetración que se está realizando. Esto amplía el alcance de la búsqueda de vulnerabilidades. También se puede utilizar para acceder a la seguridad general de la empresa y sus empleados. En este método de prueba, los empleados no suelen ser conscientes de las pruebas en curso. Así, es fácil para los hackers éticos replicar un escenario de trabajo habitual para llevar a cabo la prueba. Esto también proporciona resultados de pruebas más realistas y en tiempo real.

Pruebas dirigidas

Las pruebas dirigidas son un escenario en el que el probador recibe una aplicación, un punto final o un módulo específico para comprobar posibles vulnerabilidades. Este método puede producir resultados mejores y más rápidos. Esto se debe al alcance limitado de las pruebas dirigidas.

Ahora, puedes elegir cualquiera de estos métodos de pruebas de penetración para probar los recursos de tu empresa.

A continuación, cubriré las 6 diferentes aplicaciones de las pruebas de penetración.

6 Aplicaciones de las Pruebas de Penetración

Los diferentes tipos de pruebas de penetración se centran en diferentes aplicaciones y alcances. Algunas de estas aplicaciones para probar los recursos específicos de tu empresa son:

Aplicaciones para Pruebas de Penetración

Pruebas de infraestructura interna/externa

Se trata de pruebas de penetración de la infraestructura local y basada en la nube, incluyendo todos los componentes del sistema como cortafuegos, hosts, periféricos de red, etc. Las pruebas internas ayudan a encontrar vulnerabilidades dentro de la red de una empresa. Esto incluye todos los recursos, aplicaciones, marcos y dispositivos internos. Por su parte, las pruebas externas se llevan a cabo de forma remota, donde el objetivo es encontrar las vulnerabilidades en los activos de una empresa orientados a Internet, como los puntos finales de correo, web y FTP.

Pruebas de aplicaciones web

Uno de los vectores de ataque más comunes para los ciberdelincuentes son las aplicaciones web. Las pruebas de aplicaciones web realizan evaluaciones en profundidad de las vulnerabilidades de seguridad de sus aplicaciones web para identificar posibles lagunas de seguridad. Esto puede incluir la autenticación y/o autorización rota, codificación débil, o la posibilidad de inyecciones SQL.

Pruebas de seguridad de la red

Las pruebas de seguridad de la red tienen como objetivo encontrar todas las vulnerabilidades de la red antes que los atacantes. Estas pruebas se centran en las vulnerabilidades de la red de tu empresa y los periféricos asociados. Eso también incluye routers, switches, hubs, hosts de red, etc.

Pruebas de seguridad en la nube

Esta forma de prueba de penetración se centra en la búsqueda de vulnerabilidades en los sistemas de la nube. Estos sistemas incluyen la infraestructura, las aplicaciones o las plataformas que alojan tus servicios. Como empresa, es posible que alojes parcial o totalmente tu infraestructura y aplicaciones en la nube. Las pruebas basadas en la nube también te permiten probar todos los componentes basados en la nube como la infraestructura basada en la nube, las aplicaciones o cualquier paradigma as-a-service de tu empresa.

Pruebas de IoT

Con los crecientes ciberataques, los atacantes encuentran vulnerabilidades en todos los posibles puntos finales de la empresa. Los dispositivos IoT son un vector de ataque cada vez mayor que puedes asegurar utilizando dispositivos IoT y pruebas de penetración de red. Las pruebas basadas en IoT tienen como objetivo encontrar las vulnerabilidades en la red de IoT que conecta múltiples dispositivos junto con cada dispositivo de punto final de IoT. También puede ayudarte a identificar las vulnerabilidades relacionadas con el hardware, el software y la red de una configuración de IoT.

La ingeniería social es una táctica de violación cibernética que tiene como objetivo identificar las vulnerabilidades dentro de la fuerza de trabajo de tu empresa, incluyendo a tus empleados. En esencia, los probadores tratan de obtener acceso o control sobre los recursos de tu empresa utilizando el engaño. En la ingeniería social, los probadores de penetración utilizan métodos tradicionales de acceso o control de datos, como el phishing. La ingeniería social también te permite obtener información sobre la conciencia de ciberseguridad de tus empleados.

¿Qué Incluye el Pentest?

Prueba de penetración en la red:

identificación de las vulnerabilidades a nivel de red y de sistema;
identificación de configuraciones y ajustes incorrectos;
identificación de las vulnerabilidades de las redes inalámbricas;
servicios fraudulentos;
falta de contraseñas fuertes y presencia de protocolos débiles.

Prueba de penetración de aplicaciones:

identificación de fallos en la capa de aplicación;
suplantación de solicitudes;
uso de scripts maliciosos;
la interrupción de la gestión de la sesión;
etc.

Prueba de penetración física:

romper las barreras físicas;
pruebas y manipulación de cerraduras;
interrupción y bypass de los sensores;;
desactivar las cámaras de seguridad;
etc.

Pruebas de intrusión en dispositivos (IoT):

identificar los fallos de hardware y software de los dispositivos;
forzar contraseñas débiles;
identificación de protocolos, APIs y canales de comunicación inseguros;
infracciones de la configuración y mucho más.

Programas y Herramientas de Pruebas de Penetración

Las pruebas de penetración utilizan programas específicos para tratar las vulnerabilidades del sistema, por ejemplo:

Metasploit: software para proporcionar información sobre vulnerabilidades, ayudar a crear firmas de virus para sistemas de detección de intrusiones (por ejemplo, antivirus), crear y probar ataques a sistemas informáticos.

Nmap es una utilidad diseñada para el escaneo configurable de redes IP con cualquier número de objetivos, determinando el estado de los objetivos en la red escaneada (puertos y servicios asociados). El programa está disponible en diferentes versiones para diversos sistemas operativos.

Nessus es una herramienta para automatizar el escaneo y la detección de vulnerabilidades y brechas de seguridad en los sistemas de información. Se distribuye bajo una Licencia Pública General, lo que significa que es de código abierto.

Kali Linux: Una distribución Linux con configuraciones, aplicaciones y herramientas específicas diseñadas para el hacking ético y las pruebas de penetración. También funciona en varias plataformas.

Otras herramientas a revisar:

Invoker: Utilidad Pruebas de Penetración para Windows
Kaboom: Herramienta para Automatizar las Pruebas de Penetración
Sifter: Centro de Operaciones Totalmente Cargado para Pentesters
Pentest Lab: Laboratorio de Pentesting Local utilizando Docker-Compose
Xerror: Herramienta de Pentesting Totalmente Automatizada
PCF: Automatizar Procesos de Rutina para Pentesting
WriteHat: Herramienta de Informes de Pentest escrita en Python

Recomendado

Mejores herramientas Prueba Penetración Pentesting

Seguridad

10 Herramientas de Prueba de Penetración que usan Profesionales

Alexynior·

Ejemplos de Pentesting

¿Qué preguntas se plantean a los expertos, la metodología de las pruebas de penetración, cómo es el proceso de pruebas? Te lo contamos en el ejemplo de pentesting realizado por algunos expertos:

Ejemplo 1: Con Vulnerabilidad

Una organización privada ha contratado una prueba de infraestructura de la citada organización. La investigación se realizó desde la oficina del experto y se utilizó una dirección IP externa. Durante la primera fase de pruebas, se identificaron los tipos de equipos utilizados con el software Router Scan y NMap. En el proceso de pruebas perimetrales encontramos servidores y software con componentes vulnerables que permitirían a un atacante obtener acceso no autorizado a los servidores del banco, a la información de los clientes y realizar una intrusión no autorizada en la red interna del banco. Se determinó que la versión vulnerable de Windows contiene un determinado componente vulnerable que es utilizado por el servidor web, debido a lo cual el intruso remoto puede ejecutar código remoto en el servidor o provocar la denegación de servicio de dicho servidor. Se recomienda instalar las actualizaciones de seguridad de Windows.

Ejemplo 2: Sin Vulnerabilidad

Se encargó a una organización privada la realización de un pentest de la infraestructura de dicha organización. La prueba de penetración se realizó desde la oficina del experto y se utilizó una dirección IP externa. En la primera fase de la prueba, se identificaron los tipos de equipos en uso utilizando el software Router Scan y NMap. Según la información obtenida a través del servicio WhoIs, la dirección IP de reserva pertenece al conjunto de direcciones del proveedor de servicios de la organización del cliente. El servicio de este pool se presta bajo la norma ADSL. Este estándar de comunicación es obsoleto y conlleva el riesgo de denegación de servicio. Sin embargo, el uso de este estándar de comunicación para el enlace de respaldo es aceptable. En la siguiente etapa se realizó un escaneo de todas las direcciones proporcionadas, una por una, a través de ZMap en busca de puertos abiertos para poder seguir buscando vulnerabilidades. El análisis mostró que el puerto 9091 estaba abierto vía TCP. No se identificaron otros recursos abiertos. Otros puertos tienen un estado cerrado, filtrado o abierto|filtrado, lo que hace que su uso posterior en las pruebas de penetración sea poco práctico. No se identifican los servicios utilizados en las direcciones IP proporcionadas por el cliente, ya que la infraestructura sometida a prueba es de carácter cerrado. Para garantizar la integridad de las pruebas de penetración y el análisis de vulnerabilidad, se utilizó la herramienta Armitage y la base de datos de vulnerabilidad Metasploit. No se identificaron vulnerabilidades en los recursos del cliente durante la prueba.

¿Cuál es el Resultado de un Pentest?

El resultado de una prueba de penetración realizada es el informe del experto. La forma y el contenido del informe no están regulados legalmente, lo que indica que el formato del informe lo determina el experto que lo elabora. Normalmente, el informe contiene los siguientes datos:

Datos del experto o expertos que han elaborado el informe;
Fecha de inicio y finalización de las actividades;
Motivos del estudio;
Recursos proporcionados por el cliente;
Materiales y bibliografía de referencia utilizados;
Software y hardware de segunda mano;
Circunstancias de la realización de los trabajos;
El progreso del trabajo (proceso de pentesting);
Vulnerabilidades críticas detectadas;
Recomendaciones para abordar las vulnerabilidades críticas;
Información adicional y anexos del informe (enlaces, transcripciones)

Así, como resultado de la prueba de penetración, el cliente recibe información completa sobre la vulnerabilidad de su sistema de información, así como instrucciones y recomendaciones específicas para abordar estas vulnerabilidades.

Escáneres de Vulnerabilidad vs Pruebas de Penetración

El escaneo de vulnerabilidades es otra práctica eficaz de ciberseguridad que te ayuda a detectar cualquier vulnerabilidad existente. Dicho esto, es diferente de las pruebas de penetración.

Las pruebas de penetración se confunden a menudo con la exploración de vulnerabilidades. Aquí están las diferencias clave entre estos dos.

Característica	Escaneo de Vulnerabilidad	Pruebas de Penetración
Objectivo	Vulnerabilidades conocidas	Todas las posibles vulnerabilidades
Realizado por	Herramientas automatizadas supervisadas por humanos	Hackers éticos experimentados o profesionales de la ciberseguridad
Frecuencia	Se realiza semanal, mensual o trimestralmente	Se realiza anualmente o dos veces al año después de realizar cambios importantes
Alcance	Muy amplia y horizontalmente extendida	Muy centrado y con una distribución vertical
Resultados	Lista detallada de vulnerabilidades	Lista priorizada de vulnerabilidades junto con una evaluación detallada del impacto
Ideal para	Comprender las facetas básicas de la seguridad de una empresa	Comprender todos los aspectos posibles de la seguridad general de una empresa

Palabras Finales

Las pruebas de penetración se llevan a cabo utilizando una amplia gama de software y aplicaciones especializadas (extracción de contraseñas, explotación de puertos de red IP, detección de malware) y abarcan un gran número de puntos de prueba. Los más comunes son:

Recopilación de información (búsqueda de datos de clientes en fuentes públicas, recopilación de datos sobre aprobaciones de empleados)
Base tecnológica (identificar y recopilar datos sobre los recursos, sistemas operativos, software y aplicaciones existentes)
Análisis de vulnerabilidad y amenazas (identificar las vulnerabilidades en los sistemas de seguridad, aplicaciones y software utilizando software y herramientas personalizadas)
Explotación y tratamiento de datos (esta fase implica la simulación de un ataque real para obtener información sobre las vulnerabilidades que deben analizarse y recoger datos sobre la duración probable de un incidente y un cálculo del riesgo económico)
Generación de informes (esta etapa incluye la recopilación de información, recomendaciones e instrucciones sobre cómo abordar las vulnerabilidades existentes)

Entonces, ¿por qué es necesaria una prueba de penetración y con qué frecuencia debe hacerse? Como hemos mencionado anteriormente en el texto, la prueba de penetración da la imagen más completa del estado de la seguridad de la información en una empresa, permite identificar los lugares débiles y desprotegidos y tomar medidas oportunas para mejorar la seguridad, da una comprensión del trabajo actual de los departamentos relacionados con la seguridad de la información, da un plan de acción para eliminar las vulnerabilidades.

Muchos especialistas en seguridad de la información recomiendan realizar pruebas de penetración de forma regular, siendo la mejor solución la anual. Las tecnologías de seguridad de la información se quedan anticuadas muy rápidamente, la solución que es óptima para la empresa del cliente en este momento no lo será dentro de algún tiempo. Hay que tener en cuenta que es mejor elegir un especialista para el pentest desde fuera, debe ser una persona competente, desinteresada e imparcial.

Frecuencia del Pentest

La mayoría de los estándares de la industria indican la frecuencia mínima de ejecución de pentests. Por ejemplo, el PCI DSS regula su realización cada seis meses.

Los responsables de seguridad de la organización cliente no son adecuados para esta función, ya que tienen un interés directo en el resultado y pueden simplemente no tener el nivel de conocimientos necesario. Un experto externo con un conocimiento mínimo de la arquitectura de seguridad del cliente tiene más probabilidades de descubrir vulnerabilidades.

4 Comentarios

Angel Muñoz dice:
12 noviembre, 2022 a las 1:20 pm
¿Cuáles serían las fases de las pruebas de penetración¿
Responder
1. Alexynior dice:
  12 noviembre, 2022 a las 1:30 pm
  Las pruebas de penetración tienen 5 fases diferentes, que forman su ciclo de vida:
  1. Planificación y reconocimiento: Incluye la recopilación de requisitos y la planificación para simular un ciberataque con un alcance y un objetivo determinados.
  2. Descubrimiento y escaneo: Los probadores pueden aprovechar diferentes herramientas de exploración y descubrimiento para explorar los sistemas.
  3. Obtención de acceso al sistema: Ahora que has obtenido información sobre los sistemas potencialmente vulnerables, puede empezar a explotar las debilidades para infiltrarse en la infraestructura de la empresa.
  4. Acceso persistente: Después de obtener el acceso al sistema, esta fase te ayuda a aprovechar los privilegios de acceso para identificar el impacto de todas las vulnerabilidades subyacentes y exploradas.
  5. Análisis e informes: Esta es la fase final del proceso de pruebas de penetración. Implica el análisis detallado y la elaboración de informes de todas las vulnerabilidades identificadas con su respectivo impacto.
  Un saludo 🙂
  Responder

Deja una respuesta Cancelar la respuesta

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.