El término pentesting surge de la fusión de las palabras penetration (penetración) y test (prueba). Se trata de un método que permite determinar el alcance de los fallos de seguridad de un sistema. Gracias a las técnicas de esta prueba, una empresa puede conocer las vulnerabilidades que tienen, a qué peligros está expuesta y cómo de eficientes son sus defensas.
Para preparar el pentesting se elabora una estrategia con un conjunto de ataques, adaptados a la tecnología que use la organización y a sus necesidades de seguridad. Las personas que realizan el pentesting (pentesters o auditores) disponen de metodologías para desarrollar varias pruebas de forma sistemática. La organización deberá decidir qué tipo de pruebas se van a realizar y sobre qué aplicaciones o servicios.
Según la información inicial de que disponga el pentester, la prueba puede ser de tres tipos:
- Pentesting de caja blanca: el pentester conoce todos los datos del sistema; suele formar parte del equipo técnico de la empresa. Es el test más completo y forma parte de un análisis total de la estructura corporativa.
- Pentesting de caja negra: es el caso diametralmente opuesto al anterior, el pentester no tiene apenas datos de la organización y debe descubrir las amenazas y vulnerabilidades prácticamente a ciegas. Es una aproximación más real.
- Pentesting de caja gris: esta aproximación es una mezcla de las dos. El pentester tiene cierta información, suficiente para poder realizar el test. Es el tipo de prueba más recomendado porque proporcionará una visión más completa.
Una vez determinado el tipo de test que se va a realizar, es importante conocer las fases que tiene un test de penetración:
Fase de reconocimiento
El objetivo es recopilar toda la información posible de nuestro objetivo, ya que seguramente la necesitaremos. En esta fase toda información es bienvenida, pero conviene hacer hincapié en:
- Datos personales de los trabajadores
- Infraestructura física
- Infraestructura IT
Hay muchas técnicas y herramientas que pueden utilizarse en la fase de reconocimiento; entre ellas está el OSINT, y también herramientas de sniffing para filtrar el tráfico de la “víctima”.
Fase de escaneo
Con la información recopilada previamente, se trata de buscar vectores de ataque. En esta fase ya no se actúa de forma pasiva, sino que tratamos de escanear puertos y servicios de la organización. El objetivo es obtener información muy variada, por ejemplo:
- Nombres de máquinas
- Sistemas operativos
- Software instalado
- Estructura de puertos
- Direcciones IP
- Cuentas de usuario
Para conseguir este objetivo también existen muchas técnicas y herramientas, como pueden ser los dialers, escáneres de puertos, ICMP, SNMP o de vulnerabilidades.
Fase de enumeración
Es muy importante tener bien documentados todos los hallazgos que se hayan realizado en las fases anteriores. De esta forma, si el acceso falla, se puede volver a esta fase para seguir un nuevo camino.
Fase de ataque
Esta es la fase más activa del test de penetración, en la que el pentester intenta entrar en el sistema explotando las vulnerabilidades detectadas. El proceso de pentesting es cíclico, por lo que, en caso de que fallara el acceso, se volvería a la fase de enumeración a buscar otra forma de entrar en el sistema.
Fase de persistencia
Una vez el pentester ha conseguido acceder al sistema, es importante que esa conexión perdure en el tiempo. Así se podrá ir avanzando en la organización o volver a entrar en una futura explotación.
