Las brechas de seguridad no muestran signos de desaceleración y son cada vez más costosas. Según datos de IBM, el coste promedio de las brechas de datos fue de 4,45 millones de dólares por ataque en lo que llevamos de 2023, con un incremento del 15% en los últimos 3 años. Algunas brechas de alto perfil en 2022 fueron la que sufrió el gobierno de Costa Rica, la violación de los servidores del juego Neopets o el ataque contra Uber, donde los ladrones obtuvieron acceso a 57 millones de cuentas de usuarios. Aquí en España, aún resuena el ataque sufrido por el Ayuntamiento de Sevilla el pasado mes de septiembre. Dos semanas después del ataque, el consistorio seguía sin gestión online.
Estos datos dejan claro que definir una estrategia sólida de ciberseguridad es absolutamente prioritario. Pero, ¿cómo saber qué aplicaciones, sistemas y datos son vulnerables? Es ahí donde entra en escena el pentesting. O lo que es lo mismo, la simulación de ataques como medida de protección.
El pentesting consiste en un conjunto de acciones o pruebas que permiten determinar el alcance de los fallos de seguridad de un sistema emulando la actuación de un intruso (hacker) con el objeto de investigar las infraestructuras y las aplicaciones de la organización en busca de vulnerabilidades. Es lo más cerca que se puede estar de un ataque real sin sufrir sus consecuencias. Luego, los resultados se pueden utilizar para solucionar o abordar problemas antes de que comprometan los sistemas.
El pentesting y la evaluación de vulnerabilidades están relacionados, puesto que ambos persiguen identificar vulnerabilidades y riesgos antes de que impacten en el negocio. Pero, mientras la evaluación busca vulnerabilidades conocidas, y se realiza con herramientas automatizadas, el pentesting emula proactivamente un ataque para explotar la vulnerabilidad y analizar hasta dónde llegarían los datos.
Pentesting “tradicional” vs. pentesting avanzado
Paradójicamente, si lo comparamos con la gran mayoría de las tecnologías modernas, centradas siempre en incrementar los niveles de automatización, el pentesting ha recorrido (está recorriendo) el camino inverso. En efecto, el pentesting “tradicional” se basa casi por completo en procesos automáticos, utilizando conjuntos predeterminados de pruebas basados en conjuntos conocidos de vulnerabilidades (por ejemplo, las de la lista OWASP Top Ten). Estas pruebas automatizadas producen resultados rápidamente y no requieren grandes equipos de profesionales experimentados. Son efectivos, por tanto, para probar vulnerabilidades conocidas y para proporcionar una estimación general de la postura de seguridad.
Por su parte, el pentesting más moderno (que podríamos denominar “pentesting avanzado”) permite añadir a la ecuación el ingenio humano. Los pentesters son profesionales de seguridad experimentados y fiables con conocimiento tanto de la naturaleza como de la aplicación de los sistemas de ciberseguridad y de cómo eludirlos. En el caso de Synack, por ejemplo, el Synack Red Team (SRT) está formado por una comunidad de más de 1.500 investigadores de todo el mundo. Trabajando en conjunto con los sistemas automatizados, estos profesionales realizan escaneos en profundidad, priorizan los activos a proteger y luego realizan un seguimiento para fines de remediación y verificación.
Synack, además, ofrece una plataforma de pentesting bajo demanda que permite realizar pruebas de penetración de forma continua para obtener la máxima protección contra ataques.
Tipos de pruebas
Una de las decisiones preliminares que se deben tomar al planificar un pentest es qué acceso e información se aportará a los pentesters. En las pruebas de tipo Black Box, los analistas no reciben ningún acceso ni información sobre el sistema que van a piratear -excepto lo que se puede localizar en fuentes públicas-, lo cual produce un escenario que es lo más parecido a un ataque del mundo real. Por el contrario, en las pruebas de tipo White Box, sí reciben credenciales para obtener un nivel de acceso al sistema elevado (o completo), de modo que no tienen que perder tiempo intentando entrar y pueden centrarse en analizar las estructuras y procesos internos de seguridad.
A caballo entre ambas, en las pruebas Grey Box, a los analistas se les otorga un acceso parcial, con credenciales limitadas o de bajo nivel. Dado que el pentester cuenta con credenciales de acceso, este tipo de prueba también se puede utilizar para simular un ataque desde dentro.
¿Cómo hacer un pentest?
Un pentest completo requiere planificación y seguimiento, así como intentos de penetración reales.
- Planificación. El objetivo puede ser simplemente saber si un hacker podría entrar en el sistema o comprobar cuántas vulnerabilidades explotables se podrían descubrir. O podría haber un objetivo específico, como ver si sería posible robar una información sensible en particular.
- Reconocimiento. Una vez establecido el objetivo, los pentesters recopilarán tanta información como puedan sobre el objetivo y su superficie de ataque y luego trazarán una estrategia previa.
- Obtención de acceso. Los pentesters examinarán todas las posibles entradas y determinarán las mejores herramientas a utilizar para penetrarlas. Como es sabido, existen numerosas herramientas de malware disponibles, incluyendo aquéllas diseñadas para producir ataques concretos como denegaciones de servicio, ataques de fuerza bruta o inyecciones SQL.
- Movimiento silencioso. Una vez han obtenido acceso al sistema, los analistas procederán de manera sigilosa, manteniendo el acceso durante el tiempo suficiente para lograr su objetivo. También pueden intentar moverse de forma más profunda o lateral.
- Informes y remediación. Cuando haya finalizado el pentesting, los analistas proporcionarán un informe detallado sobre cada prueba y recomendaciones sobre los pasos de remediación necesarios.
- Verificación: un pentesting integral no finaliza hasta que se ha verificado que todos los pasos de remediación se han implementado y funcionan correctamente.
¿Con qué frecuencia se debe realizar el pentesting?
Los expertos en seguridad recomiendan realizar pentesting con regularidad para responder a las vulnerabilidades emergentes. La frecuencia de las pruebas depende del tamaño de la organización, su negocio y sus requisitos de seguridad. Las grandes organizaciones son objetivos propicios para los ataques y necesitan una vigilancia continua. Las organizaciones que se ocupan de las normativas a menudo necesitan realizar una serie de pruebas obligatorias. Todas las organizaciones deben realizar pentesting después de cualquier cambio de infraestructura, como instalación de parches, modificaciones de la política de seguridad, actualizaciones de hardware y software, y después de abrir nuevas instalaciones o ubicaciones.
Alejandro Novo, director South EMEA en Synack
