¿Cómo hacer una prueba de penetración en mi empresa?

¿Cómo hacer una prueba de penetración en mi empresa?

Si aún no lo han hecho, es indispensable que las empresas de ahora se pregunten cómo hacer una prueba de penetración en sus sistemas informáticos. Pues se trata de uno de los mejores métodos para conocer los riesgos de ciberseguridad a los que las organizaciones están expuestas.

Los activos digitales cada día están más expuestos y cada vez hay más piratas informáticos esperando conseguir su preciado botín. Esto es especialmente importante en México, que ocupa uno de los primeros lugares a nivel mundial en ciberataques; y esto sin mencionar que las instituciones financieras son el principal objetivo de los cibercriminales. Los ataques al sector financiero incrementaron en un 238% a raíz de la pandemia y, con el crecimiento digital progresivo que vivimos, la ciberseguridad es esencial.

Dicho lo anterior, el pentesting puede ser llevado a cabo por ti mismo o un por equipo de profesionales de ciberseguridad. Idealmente, por supuesto, debería llevarse a cabo por expertos, pero aquí te mostraremos de qué se trata, cómo se desarrolla y qué herramientas podrías utilizar.

¿Qué son exactamente las pruebas de penetración?

Primero que nada, es importante mencionar que estas pruebas también son conocidas como pentesting, un acrónimo que surge de las palabras en inglés penetration testing. De ahí que esta práctica sea mencionada de distintas maneras, pero siempre se haga referencia a la misma técnica de ciberseguridad.

Ahora bien, las pruebas de pentesting son una forma de hacking ético. Básicamente, se trata del despliegue intencionado de ciberataques mediante el uso de herramientas y estrategias diseñadas específicamente para acceder y explotar sistemas informáticos, sitios web, aplicaciones y redes.

Si bien el principal objetivo del pentesting consiste en identificar las vulnerabilidades que podrían explotarse para luego poder aplicar los controles de seguridad correspondientes, los profesionales en ciberseguridad también lo utilizan para:

  • Verificar el cumplimiento de las normativas de seguridad.

  • Comprobar que se estén empleando las mejores prácticas de ciberseguridad (por ejemplo, bajo el cumplimiento ISO27001).

  • Comprobar la solidez de las políticas de seguridad digital en la organización.

  • Conocer el nivel de concienciación de los miembros de la organización en materia de ciberseguridad.

  • Determinar la capacidad para identificar y responder a los incidentes de seguridad.

Entonces, ¿por qué hacer una prueba de penetración? Porque son una de las herramientas más eficaces para reducir el impacto de los ciberataques. Qué mejor manera que simular un ataque utilizando las mismas herramientas y técnicas que un atacante malicioso.

En este caso, por supuesto, hablamos de hacking ético porque se trata de llevar a cabo ataques planificados, aprobados y legales que tienen como único objetivo encontrar problemas de ciberseguridad y corregirlos.

Metodologías aplicadas en el pentesting

Las pruebas de penetración pueden entregar resultados muy diferentes en función de las metodologías que se utilicen. Existen varias, pero lo ideal sería utilizar metodologías actualizadas que permitan a las empresas proteger sus sistemas y solucionar las vulnerabilidades de ciberseguridad.

Entre las metodologías más populares, gracias a su eficiencia, tenemos la PTES, la OSSTMM y la OWASP. Veamos de qué se trata cada una.

PTES (Penetration Testing Execution Standard)

Se trata de un estándar que guía a los examinadores a través de una serie de pasos consecuentes, que en realidad se trata de una estructura de divida en siete secciones:

  1. Interacciones previas a la prueba.

  2. Recopilación de información

  3. Modelado de las amenazas.

  4. Análisis de las vulnerabilidades.

  5. Explotación de vulnerabilidades.

  6. Continuación de explotación.

  7. Presentación de informes.

Bajo esta metodología los examinadores adquieren conocimiento de la organización y del contexto tecnológico antes de enfocarse en la explotación de las áreas potencialmente vulnerables, lo que permite identificar los escenarios con mayor probabilidad de ocurrencia.

OSSTMM (Open Source Security Testing Methodology Manual)

Consiste en una guía completa para que los examinadores identifiquen las vulnerabilidades de seguridad dentro de una red desde distintos vectores de ataque.

Esta metodología se apoya principalmente en el conocimiento y en la experiencia del examinador, así como en la inteligencia humana para interpretar las vulnerabilidades y conocer el impacto potencial que podrían tener dentro de la red.

OWASP (Open Web Application Security Project)

OWASP es uno de los estándares más reconocidos en el sector para la seguridad de las aplicaciones web y móviles.

Mediante esta metodología pueden identificarse tanto las vulnerabilidades que se encuentran comúnmente dentro de las aplicaciones, como los fallos lógicos derivados de las prácticas de desarrollo inseguras.

¿Qué herramientas puedo utilizar para hacer un pentest?

Existen diversas herramientas de código abierto o, dicho de otra manera, gratuitas, que podrías utilizar para llevar a cabo una prueba de penetración por ti mismo. Entre las más populares encuentras las siguientes:

  • BeeF.

  • Kali Linux.

  • Metasploit.

  • Nikto.

  • Nmap.

  • OpenVAS.

  • SQLmap.

  • Wireshark.

No obstante, que sean de código abierto no quiere decir que sean simples de usar. Muchas personas que estén relacionadas con el mundo de la administración de redes y sistemas probablemente estén familiarizadas con estas herramientas, pero esto tampoco implica que puedan llevar a cabo una prueba de la manera más eficiente posible.

¿Lo ideal? Contar con un equipo de profesionales experto en el área que pueda llevar a cabo una prueba de penetración siguiendo las mejores metodologías.

iDric: Profesionales en ciberseguridad y pruebas de penetración

iDric cuenta con un equipo profesional preparado para desarrollar las pruebas de penetración que necesitas en tu organización siguiendo las metodologías previamente mencionadas (PTES, OSSTMM y OWASP). Estas pruebas de pentesting pueden ser llevadas a cabo bajo tres enfoques distintos que varían de acuerdo a la madurez del activo a evaluar: test de caja negra, test de caja blanca y test de caja gris.

Conoce más sobre las pruebas de penetración y pon a prueba la seguridad informática de tu organización.

Angelica Espinoza

Angelica Espinoza

3 años de experiencia en las soluciones de ManageEngine, Account Manager del equipo Comercial de Ingeniería iDric. 10 años de experiencia en Customer Service. Amante de la mejora continua, Certificación en Sig Sixma, Green Belt. Siempre en busca de soluciones y brindar la mejor atención a los clientes.