Pasar al contenido principal

Test de intrusión (penetration test, pentest)

Un test de intrusión consiste en simular un ataque para comprobar la seguridad de uno o varios sistemas. Se trata de una prueba controlada y autorizada para evaluar la seguridad de un sistema imitando las acciones que llevarían a cabo atacantes en la vida real.

El alcance de un test de intrusión puede ser variable. Puede abarcar la infraestructura tecnológica completa de una organización o centrarse en un sistema o aplicación concreto. En un test de intrusión se aplica un conjunto de metodologías y técnicas que permite simular un ataque real a los sistemas de información de una organización para determinar su nivel de seguridad y el grado de acceso que podría conseguir un atacante real con intenciones maliciosas. Hay varias metodologías que especifican los detalles para la realización de un test de penetración, como las descritas en el PTES (Penetration Testing Execution Standard) o el OSSTMM (Open-Source Security Testing Methodology Manual)

La realización periódica de tests de intrusión puede ayudar a mejorar la seguridad de los sistemas informáticos de una organización, y entre otros aporta los siguientes beneficios:

  • Descubrir vulnerabilidades tras cambios de software o hardware.
  • Identificar configuraciones erróneas.
  • Da a conocer el grado de vulnerabilidad de los sistemas.
  • Ayudan a cumplir con la estrategia de seguridad de la información de la empresa.
  • Aplicando las medidas de corrección pertinentes se reduce la probabilidad de materialización de las amenazas.

Los test de intrusión pueden ser de tres tipos:

  • Pruebas de caja negra (Black Box testing). El ejecutor de la prueba no tiene ningún conocimiento del sistema a analizar. Suele tratarse de un tercero contratado por la organización, a modo de atacante externo.
  • Pruebas de caja blanca (White Box testing). El ejecutor de la prueba conoce perfectamente el sistema a analizar.
  • Pruebas de caja gris (Grey Box testing). El ejecutor de la prueba simula ser un empleado de la organización que dispone de cierta información (por ejemplo, credenciales de acceso al sistema), pero sin privilegios. En este caso, se busca detectar vulnerabilidades que permitan a dichos usuarios conseguir privilegios de forma ilícita.

Los elementos que se ponen a prueba durante el test de intrusión suelen ser el software (sistema operativo, servicios, programas y aplicaciones), el hardware, la red, los procesos corporativos y el comportamiento del usuario. La prueba suele desarrollarse en cuatro etapas:

  1. Recopilación de datos.
  2. Evaluación de vulnerabilidades.
  3. Explotación.
  4. Análisis del resultado y elaboración de informes detallados, que sugieren las medidas de corrección que se pueden tomar para reducir riesgos y vulnerabilidades.

Compartir

Compartir en Linkedin