¿Qué es el PenTest y qué importancia tiene en ciberseguridad?

Garantizar el normal funcionamiento de una organización, prevenir incidentes cibernéticos como ataques de ransomware o denegación de servicio (DoS, por sus siglas en inglés) y evitar el robo de información debe ser una prioridad. Para ello, es fundamental que se analicen los sistemas informáticos y se identifiquen los riesgos y las vulnerabilidades asociados a su uso. Algo que se consigue a través del denominado PenTest.

¿Qué es el PenTest y para qué sirve?

Hablar del PenTest es hacerlo de pentesting –fruto de la unión de los términos ingleses penetration (penetración) y testing (pruebas)–, esto es, de un test de penetración o un test de intrusión. En lo referente a su definición y para qué sirve, el Instituto Nacional de Ciberseguridad (Incibe) de España, a través del Glosario de términos de ciberseguridad, observa lo siguiente:

• Se trata de un ataque a un sistema de software o hardware con el propósito de encontrar vulnerabilidades.
• El pentesting implica un análisis activo de cualquier vulnerabilidad potencial, configuraciones deficientes tanto de hardware como de software o deficiencias operativas en las medidas de seguridad.
• El test de penetración se realiza desde la posición de un atacante potencial. Y puede implicar la explotación activa de vulnerabilidades de seguridad.
• Una vez concluida la prueba de intrusión se ha de presentar una evaluación de seguridad del sistema, indicando los problemas de seguridad detectados junto a una propuesta de mitigación o una solución técnica.

En definitiva, el pentesting sirve para determinar la viabilidad de un ataque cibernético y el impacto que podría tener en una organización. Además, permite conocer si se está cumpliendo una estrategia o política de ciberseguridad o los requisitos de un estándar o una certificación.

¿En qué consiste el trabajo de un ‘pentester’?

La persona que lleva a cabo un PenTest se conoce como pentester. Este profesional realiza una serie de labores con el fin de determinar cómo se encuentran los sistemas que soportan la información de una organización. A grandes rasgos:

• Evaluación de datos y elección de la prueba de penetración. En primer lugar, un pentester se encarga de evaluar los datos que tiene a su disposición y determinar qué tipo de test de intrusión es el más apropiado.
• Identificación de vulnerabilidades. De igual manera, sirviéndose de distintas herramientas, identifica vulnerabilidades y se informa sobre cómo actúan los empleados o colaboradores con los sistemas de la organización.
• Ataque al sistema analizado. Seguidamente, tiene lugar el ataque con el propósito de confirmar las vulnerabilidades identificadas previamente o detectar otras nuevas.
• Elaboración de un informe. Por último, como se comentaba en el apartado anterior, un pentester elaborará un informe detallando los fallos de seguridad detectados. Y presentará una propuesta para proteger los sistemas.

¿Qué pruebas de penetración existen?

Por lo que respecta al primero de los pasos que debe considerar un pentester («Evaluación de datos y elección de la prueba de penetración»), la información recopilada inicialmente es la que permitirá establecer qué clase de test de intrusión es el más conveniente:

• Prueba de Caja Blanca o White Box. Al contar con abundante información acerca de los sistemas de la organización (estructura, contraseñas, direcciones IP, etc.), es el tipo de prueba más completo. Ello facilita saber qué hacer para reforzar la seguridad.
• Prueba de Caja Gris o Grey Box. Aquí se dispone de menos información. Por lo tanto, un pentesting completo requiere más tiempo y más medios.
• Prueba de Caja Negra o Black Box. En este supuesto, el pentester carece de información. Parte desde cero y actúa como un ciberdelincuente para descubrir las vulnerabilidades de un sistema.

¿Cuáles son las fases del ‘pentesting’?

Llegado el momento de hacer un PenTest, los profesionales especializados en pruebas de intrusión tienen en consideración una serie de etapas que llevan a la práctica progresivamente. A saber:

1. Planificación y reconocimiento. Forma parte de los pasos «Evaluación de datos y elección de la prueba de penetración» e «Identificación de vulnerabilidades». En esta fase es de suma importancia recopilar toda la información posible sobre el sistema que se desea analizar: desde el software y las direcciones IP hasta los cortafuegos utilizados, pasando por las direcciones de correo electrónico, los datos del personal o los colaboradores de la organización, etc. De esta manera se podrá definir el alcance y los objetivos de la prueba.
2. Escaneo y análisis de vulnerabilidades. Es una etapa crucial para comprobar el nivel de seguridad de un sistema y tener una visión general del mismo en lo que a las vulnerabilidades se refiere.
3. Modelado de amenazas. Con toda la información recopilada se elabora una representación estructurada de la misma para la toma de decisiones encaminadas a mejorar la seguridad del sistema.
4. Explotación. En esta fase se pasa a la acción. Es decir, se ingresa a los sistemas por los puntos de entrada detectados de cara a comprobar qué daño podría provocar un ciberatacante. Este paso posibilita diagnosticar el estado del sistema analizado y definir las medidas necesarias para protegerlo de intrusiones.
5. Borrado de huellas. Finalmente, deben borrarse las huellas del pentesting para que no sirvan de guía o pista a los ciberdelincuentes. De lo contrario, podrían representar una vulnerabilidad de alto riesgo.
6. Elaboración de informes. En último término, como ya se ha mencionado, las personas responsables del test de intrusión han de elaborar documentos con los resultados del pentesting: uno técnico para los administradores del sistema y otro ejecutivo para los gestores de la organización.

¿Cuándo es aconsejable realizar un PenTest?

En lo relativo a cada cuánto tiempo es recomendable realizar un PenTest, los expertos sugieren llevar a cabo, al menos, dos pruebas de intrusión al año:

• A los sistemas más críticos.
• Y también si se ha registrado algún tipo de modificación significativa en ellos.

Gracias a los test de penetración periódicos, una organización estará más tranquila sabiendo que se han analizado las vulnerabilidades que podrían ser aprovechadas por un atacante cibernético y que se han implementado las medidas necesarias para prevenir ciberincidentes o mitigar sus consecuencias en caso de producirse.

¿Qué consideraciones legales deben tenerse en cuenta?

Para finalizar, un asunto trascendental que no puede pasarse por alto en un pentesting es el que compete a las consideraciones legales. En este capítulo, es imprescindible:

• Que la organización objeto del test de penetración autorice por escrito la realización de dicha prueba y la vulneración de las medidas de seguridad existentes en los sistemas y equipos determinados.
• Que las personas que lleven a cabo el test de intrusión firmen un contrato de confidencialidad comprometiéndose a no revelar datos de la organización a terceros.

En resumen, el PenTest es esencial para identificar vulnerabilidades, saber a qué riesgos está expuesta una organización y qué medidas han de implementarse para prevenir ciberataques o atenuar sus efectos en caso de llegar a producirse.

FUENTE: Noticia. »Qué es el PenTest y qué importancia tiene en ciberseguridad» Segurilatam.com. 28/09/2023. (https://www.segurilatam.com/actualidad/pentest-que-es-importancia-ciberseguridad_20230928.html).