Dentro de la seguridad informática, hay varios procesos que, principalmente se diferencian en su forma de ser ejecutados, pero todos buscan siempre el mismo objetivo, que es mejorar la seguridad de la información, uno de ellos es el pentesting, conocido en español como test de intrusión o prueba de penetración, esta disciplina esta siendo cada día más demanda por la fuerte necesidad de ciberseguridad que se necesita en la empresas, es por eso que en este artículo indagaremos más sobre el pentesting y sus tipos.
Qué es pentesting
Pentesting es el acrónimo de penetration testing, en español es prueba de penetración, cuyo objetivo es el de poder detectar la mayoría de las vulnerabilidades en los activos informáticos que se auditan, estos activos evidentemente se auditan con una previa autorización y con contratos de por medio, este procedimiento se realiza mediante metodologías que, dentro de cada una de ellas se puede dividir un pentesting en varias fases, veamos las fases de un pentesting basándonos en la metodología OWASP con ligeras modificaciones para que entiendas de mejor manera.
Fases de un pentesting
Como comentamos, un buen pentesting consta de diferentes fases, dependiendo de la metodología usada, pueden variar las fases, pero en norma general lo que se busca es una recopilación de información, un análisis de las posibles vulnerabilidades, una explotación de las anterior nombrada y, finalmente la comunicación con el cliente, enseñando el procedimiento a través de los informes que generes y, como mencionamos antes, veremos las fases partiendo de la metodología OWASP con ligeras modificaciones.
Fase de pre-acuerdo
Es el procedimiento antes de empezar la prueba, donde se aclaran temas sobre el alcance, objetivos, fechas, tipo de pentesting a realizar y en general definir muy bien la forma de llevar a cabo el pentesting.
Fase de recopilación de información
Una vez concluida la fase de pre-acuerdo, se procede a realizar la prueba, empezando con una búsqueda de información sobre los activos acordados que se van a auditar, esta fase a su vez se divide en dos más, ya que la recopilación de información puede ser tanto pasiva como activa.
Recopilación pasiva de información: La información se obtiene de fuentes públicas y sin interactuar para nada con los activos, ni siquiera acceder a su sitio web (si lo tiene).
Recopilación activa de información: La información se obtiene interactuando con el objetivo, para esta fase si o si se debe tener el permiso y la autorización para interactuar con el objetivo.
Fase de análisis de vulnerabilidades
Luego de obtener una buena base de la información sobre los activos a auditar, se procede a la búsqueda tanto de forma manual como automatizada de fallos de seguridad en dichos activos, recuerda que estamos en un pentesting, por lo que, nuestro objetivo es conseguir la mayor cantidad de fallos posibles, no es un ejercicio de red team, por lo cual, aunque consigas una vulnerabilidad, debes seguir buscando porque lo que se busca es que el cliente quede informado de la mayor cantidad de fallos en sus activos para que puedan corregirlos y mejorar su seguridad.
Fase de explotación de vulnerabilidades
Seguidamente, con todas las vulnerabilidades detectadas, ahora el objetivo es explotarlas todas de forma manual y/o automatizada, analizando tanto la complejidad de explotación como los privilegios obtenidos.
Fase de post-explotación
Por otro lado, en esta fase puede variar, depende del alcance y el objetivo del pentesting se determinará que hacer por aquí, podremos, escalar privilegios, mantener el acceso, pivotar hacia otro segmento de red y demás, pero generalmente quiero que te quedes con que la post-explotación no siempre es la escalación de privilegios, incluso esta fase en algunas ocasiones puede llegar a ni siquiera implementarse, depende mucho de los objetivos del pentesting que se vaya a hacer.
Fase de redacción
Finalmente, una vez culminadas todas las fases anteriores, se procede a hacer la comunicación con cliente para enseñarle los resultados además de entregar los informes acordados en la fase de pre-acuerdo donde se explican (dependiendo el contexto) lo que se hizo en el pentesting.
Tipos de pentesting
El pentesting también tiene varios tipos, dependiendo principalmente de la información a la que se accede antes de hacer la prueba.
Caja blanca: Se otorgan una información amplia y casi completa de todos los activos a auditar.
Caja negra: No se otorga información de ningún activo a auditar, hacer este tipo de pentesting puede considerarse la prueba más realista, ya que el pentester parte de un escenario donde no sabe nada de los activos a auditar.
Caja gris: Se otorga una información no tan amplia como en la caja blanca pero no inexistente como en la caja negra, es un intermedio entre ambos tipos.
Para finalizar, el ser pentester es una profesión que cada día va a seguir tomando más relevancia, debido a que, cada día las empresas afortunadamente están entendiendo que la ciberseguridad JAMÁS va a ser un gasto sino una completa inversión porque la información es el activo más importante actualmente y es nuestro deber protegerla.
