¿Tienes dudas? ¡Escríbenos!
Karen Quintero
Karen Quintero

Licenciada en Administración de empresas con Diplomado en Mercadotecnia por la Universidad Nacional Autónoma de México. Account Manager de iDric con experiencia en las soluciones de la marca ManageEngine y Sophos.

Bajo el entorno actual, las pruebas de penetración son una necesidad para cualquier organización. La disrupción digital ha motivado a las empresas de todo el mundo a aprovechar las nuevas tecnologías y los servicios en la nube para digitalizar aún más sus soluciones, pero, sin saberlo, también se están abriendo a nuevas amenazas y vulnerabilidades.

De hecho, a raíz de la adopción del teletrabajo y de la digitalización, estados y autoridades de diferentes lugares del mundo han empezado a fomentar la aplicación del pentesting como un deber legal y obligatorio que debe realizarse regularmente para garantizar la protección de datos.

Pero, ¿Qué es una prueba de penetración?

Las pruebas de penetración, también conocidas como pentesting, pentest o test de penetración, consisten en atacar a una aplicación o una red para evaluar sus niveles de seguridad. El objetivo es identificar y remediar las vulnerabilidades, que son fallas de seguridad que pueden ser atacadas, antes de que personas con intenciones maliciosas las exploten y saquen provecho de ellas.

Dicho de otra manera, nuestra sociedad depende en gran medida de la tecnología y, dentro de estos sistemas tecnológicos (cada vez más complejos) se esconden problemas que, si no se descubren a tiempo, pueden tener graves consecuencias. Cabe mencionar que el pentesting es considerado como un hacking ético, es decir, un pentester actúa de la misma manera en que lo haría un pirata informático, pero con la diferencia de que lo hace bajo un entorno controlado, con
autorización previa y sin malas intenciones.

Específicamente, ¿Qué se pone a prueba en un pentesting?

Primero que nada, hay que tener en cuenta que las pruebas pueden ser internas o externas. Una prueba de penetración interna consiste en identificar y explotar vulnerabilidades simulando ser un atacante interno que tiene privilegios sobre la infraestructura TI de la organización; mientras tanto, en una prueba de penetración externa se simula ser un atacante externo, sin ningún tipo de privilegios, para averiguar hasta dónde podría llegar.

Dicho esto, las pruebas de penetración usualmente se ejecutan sobre aspectos concretos de la organización. Por ejemplo, pueden ir destinados a:

  • Aplicaciones web o móviles: identifica las vulnerabilidades de sitios/aplicaciones web y aplicaciones móviles para evitar posibles exposiciones de datos, accesos no autorizados y daños que puedan afectarles.
  • Redes y dispositivos conectados: evalúa la seguridad de las redes alámbricas e inalámbricas y de todos los dispositivos conectados (incluyendo el Internet de las Cosas) para detectar posibles problemas en los puntos de acceso y en las configuraciones.
  • Suplantación de identidad: permite identificar las vulnerabilidades que tiene la organización con respecto a los ataques de ingeniería social.

Tipos de pentesting

Ahora bien, de acuerdo con la cantidad de información que disponga la persona o el equipo encargado de realizar la prueba, el test de penetración será realizado bajo una de estas tres clasificaciones:

Pentesting de caja blanca
En una prueba de caja blanca se conoce la composición interna y se tiene acceso total al software o sistema del que desean detectar vulnerabilidades, es decir, tienen pleno acceso al código fuente, a la documentación de la arquitectura y a las credenciales de usuario. Por eso se conoce como caja blanca, porque hay claridad total sobre la estructura que se quiere trabajar.

A partir de esta prueba, puedes obtener una evaluación completa de las vulnerabilidades tanto internas como externa de la infraestructura TI.

Pentesting de caja gris
La prueba de penetración de caja gris tiene cierta similitud con la anterior, con la diferencia de que solo se tiene acceso a las credenciales y no al código de fuente ni a la documentación de la arquitectura. En este caso, se realizan ataques desde la perspectiva de los usuarios para determinar el impacto que podría tener una persona malintencionada.

Pentesting de caja negra
Por último, en un pentesting de caja negra, no posee más información de la que ya es pública y conocida por cualquier persona, poniéndose desde la perspectiva de un hacker externo. No tiene credenciales ni acceso a ninguna información privada.

El objetivo principal es conocer si un atacante externo sin información previa podría obtener acceso al sistema, a la aplicación o a los datos de la organización.

Fases de la prueba de penetración

Los profesionales en ciberseguridad siguen una serie de pasos para garantizar que las pruebas de penetración sean llevadas a cabo con éxito. Por lo general, consta de las siguientes fases:

  1. Reconocimiento: Primero se determina y entiende el ambiente sobre el que se aplicará la prueba, sea un sistema o una aplicación.
  2. Enumeración: Luego se buscan y analizan las posibles vulnerabilidades que pueda tener la estructura objetivo.
  3. Explotación: Ya identificadas las posibles vulnerabilidades, se utilizan herramientas y exploits para intentar explotarlas.
  4. Elevación: Habiendo ganado acceso a la infraestructura interna, se intenta tomar control sobre otros sistemas de la organización o aumentar los privilegios de una cuenta de usuario.
  5. Elaboración de informes y remediación: Por último, se genera un informe donde se describen todos los fallos de seguridad detectados y los pasos a seguir para remediarlos.


¿Con qué frecuencia debería realizarse una prueba de penetración?

Para definir la frecuencia es necesario evaluar cuáles son los puntos críticos en la organización y dependiendo de la criticidad de los mismos se puede generar un plan de pruebas de pentesting trimestral , semestral o anual.

De igual forma, se recomienda hacer una prueba de penetración cada vez que se lanza una nueva aplicación o infraestructura.

En síntesis, la adopción de nuevas tecnologías son una gran oportunidad empresarial, pero al mismo tiempo requieren de ciertos cuidados de ciberseguridad para garantizar la protección de datos; y aquí es donde entran en juego las pruebas de pentesting.

Visitas: 54

ARTICULOS RELACIONADOS

Descubre la delgada línea que existe entre seguridad y hacking

La ética del hacker es lo que separa a la seguridad del hacking, ya que, mientras hay hackers maliciosos destruyendo el trabajo ajeno, también hackers éticos fortaleciendo las defensas de las organizaciones.

Autor: Karen Quintero
Karen Quintero
Seguir leyendo keyboard_arrow_right
May 2022 Visitas: 12

¿Por qué es importante realizar un análisis de vulnerabilidades?

¿Qué es una vulnerabilidad? ¿Qué es un análisis de vulnerabilidades? El análisis de vulnerabilidades es fundamental para los expertos de tecnología que quieren incrementar los escenarios de seguridad de las construcciones tecnológicas

Autor: Karen Quintero
Alfonso Orrantia
Seguir leyendo keyboard_arrow_right
May 2022 Visitas: 15

7 mejores prácticas de seguridad informática

¿Qué pasos debo seguir para asegurar mi computador? Uno de los más importantes peligros para la información de las compañías son las prácticas descuidadas de sus trabajadores al utilizar Internet. Estas prácticas tienen dentro abrir emails con programas malintencionados

Autor: Karen Quintero
Marisol Viveros
Seguir leyendo keyboard_arrow_right
May 2022 Visitas: 26

¿Cómo prevenir la ciberdelincuencia en las empresas?

Los ataques cibernéticos son un grave problema para cualquier empresa moderna y, por tanto, es necesario contar con mecanismos que permitan evitarlos. Mira cómo prevenir la ciberdelincuencia en tu organización con estos consejos de ciberseguridad.

Autor: Karen Quintero
Karen Quintero
Seguir leyendo keyboard_arrow_right
May 2022 Visitas: 22