Pasar al contenido principal

Pentesting

¿Qué es el pentesting?

Actualmente la dependencia tecnológica que viven las organizaciones conlleva una serie de riesgos que hay que gestionar. Día a día se reportan vulnerabilidades que pueden suponer una puerta de entrada para posibles atacantes y es por este motivo que es muy necesario la actualización continua de los sistemas, los conocimientos y los procesos de testeo y detección de brechas de seguridad.

Las pruebas de penetración (pentesting) es un proceso que se centra en realizar una evaluación o auditoría de la seguridad de un dispositivo, sistema informático u organización para conocer sus riesgos y subsanarlos a través de medidas concretas y oportunas.

Los objetivos principales que busca un pentesting son:

  • Evaluar la seguridad un dispositivo, sistema informático o infraestructura de una organización.
  • Sacar a la luz vulnerabilidades y vectores de entrada y conocer la situación real respecto a su seguridad.
  • Aplicar los parches o medidas de seguridad oportunos para subsanar las debilidades encontradas.

Tipos de pentesting

Dependiendo del enfoque y objetivo buscado en las pruebas de seguridad podemos encontrar diferentes tipos de pentesting:

Caja negra: En este enfoque se evalúa los sistemas informáticos sin tener conocimientos sobre las tecnologías internas desplegadas. Es el enfoque más realista a un posible ataque real y su objetivo es determinar los posibles vectores de entrada que tendría un atacante real, así como las vulnerabilidades que podrían ser explotadas para conseguir entrar en los sistemas.

Caja blanca: En este enfoque se conoce las tecnologías internas e infraestructuras desplegadas en la organización, lo que permite evaluar no solo los vectores de entrada sino la arquitectura de los sistemas, configuraciones y software utilizado. Gracias a este mayor conocimiento interno es posible reducir los tiempos, esfuerzos y costo de los análisis. Integrándose mejor en los procedimientos o ciclos de vida de desarrollo utilizados por la organización.

Caja gris: En este enfoque se conoce parcialmente las tecnologías internas e infraestructuras desplegadas en la organización, hecho que permite descubrir posibles vectores de entrada y vulnerabilidades conocidas en los sistemas.

Metodología utilizada en los pentesting

Se utiliza una metodología de evaluación de seguridad informática que incluye cinco grandes etapas:

  1. Reconocimiento: En esta fase de planificación se define el alcance y los objetivos de la auditoría y se recopila toda la información posible sobre la organización o sistemas a auditar
  2. Búsqueda y análisis de vulnerabilidades: Se identifican posibles vulnerabilidades presentes en los sistemas y se estudian los posibles vectores de entrada que se van a utilizar en siguientes fases.
  3. Explotación: A través de los vectores de entrada identificados y la explotación de las vulnerabilidades se inicia la intrusión en los sistemas a auditar y la recogida de evidencias para su documentación.
  4. Post-Explotación: Si el alcance del pentesting lo permite, una vez dentro del sistema o red interna de la organización se realiza un descubrimiento de nuevos equipos y vulnerabilidades para posteriormente pivotar hacía ellos e ir ganando nuevos accesos.
  5. Informe: Se documenta todo el proceso realizado, herramientas, técnicas, evidencias recopiladas, vulnerabilidades encontradas y explotadas, … Y se proponen las medidas de subsanación posibles para garantizar la seguridad de los sistemas.

Si bien el orden de las etapas no es arbitrario, en muchos casos se solapan dependiendo de las casuísticas de la organización y el tiempo propuesto para la realización de la auditoría.

¿Dónde recibir asesoramiento o contratar un servicio de pentesting?

Desde el BCSC, se pone a disposición de las empresas y la ciudadanía el “Libro Blanco de la Ciberseguridad en Euskadi” en el que se incluye el catálogo de empresas de ciberseguridad, en el ámbito de Euskadi, que ofrecen este tipo de servicios.

Este Libro Blanco pretende servir de resumen o instantánea del mercado de la ciberseguridad en Euskadi, siendo un catálogo vivo, revisado y actualizado periódicamente, dada la constante evolución y el avance en la digitalización de los servicios y las oportunidades que se generan. 

BCSC Libro Blanco

Compartir

Compartir en Linkedin