Las Pruebas de Penetración (Penetration Testing, Pentesting o Hacking Ético) se realizan para dar visibilidad sobre las brechas de seguridad que pudieran impactar en la confidencialidad, integridad y disponibilidad de la información por medio de la emulación de acciones ofensivas similares a las que efectuaría un atacante. Normalmente se estructuran en esquemas conocidos como caja negra, caja gris y caja blanca que se hacen en conjunto con ejercicios de evaluación sobre el estado de seguridad de la infraestructura, de las comunicaciones y de los componentes de servicios o aplicaciones publicados en Internet.

​

Solución: servicio de Pentesting o Pruebas de penetración

​

Los objetivos particulares de un Pentest son los siguientes:

 

• Identificar los huecos de seguridad en el ecosistema tecnológico ya sea desde el interior o el exterior del mismo.
   

• Documentar vulnerabilidades explotables que afecten la seguridad, habitualmente categorizadas en conformidad con la ISO 27001, la OWASP Testing Guide v4 y otra normativa relevante.
   

• Emitir recomendaciones para mitigación, sugerir procedimientos que ayuden a minimizar el impacto o especificar acciones correctivas que eliminen las fallas detectadas, según sea posible, normalmente se verifica el resultado mediante acompañamiento, planes de seguimiento o retests.

​

¿Cómo lo hacemos?

​

Las Pruebas de Penetración pueden ser conducidas desde el exterior o desde el interior del ecosistema tecnológico que se busca analizar, están enfocadas en la aplicación estructurada de técnicas, herramientas y acciones de ataque que están orientadas a poner a prueba los mecanismos, controles y niveles de seguridad, emulando las acciones que podrían realizar atacantes. El éxito de la prueba radica en la comprensión de las pruebas aplicadas y en la habilidad técnica con que sean aplicadas de manera que permitan encontrar fallas en la seguridad de la organización que se esté analizando. Las pruebas se realizan habitualmente de forma remota desde internet o VPNs según sean requeridas, pero es posible que parte de ellas se realicen presencialmente si las condiciones lo exigen.

 

• Caja negra (“Black Box”): en este tipo de prueba el equipo de ejecución no dispone de conocimiento previo acerca de la infraestructura que va a ser probada, en este sentido, es el tipo de test de intrusión más parecido a un ataque real.
   

• Caja blanca (“White Box”): se trata del test más completo ya que parte de un conocimiento completo previo de la infraestructura a ser probada, es realizado normalmente con apoyo de personal interno de los clientes.
   

• Caja gris (“Grey Box”): se parte de un conocimiento parcial previo de la infraestructura objetivo del test. Suele ser el tipo de pentest recomendado cuando se contrata a empresas especializadas.

 

En algunos casos se dispondrán equipos de cómputo dedicados al análisis de forma automatizada que podrán efectuar escaneos durante periodos continuos y prolongados de tiempo, en estos caso se requerirá de la aprobación explícita del cliente.

​

Relación de hallazgos y reporte de resultados

​

La relación de hallazgos se estructura por medio de la categorización de las vulnerabilidades en conformidad con su impacto en el negocio y con base en normativas aplicables en la industria o en el sector en el que el cliente tenga su operación, habitualmente la ISO 27000, PCI, la OWASP Testing Guide v4, NIST, CIS, etc. Esa relación se concentra en una matriz que permite la revisión integral de los problemas encontrados con una visión de conjunto.

 

Para cada una de las vulnerabilidades se establecen recomendaciones, acciones de mitigación, remediación técnica o ejecutiva. en algunos casos solo es posible mitigar el efecto de la vulnerabilidad, en otros es posible eliminarlo, pero ello depende muchas veces de la accionabilidad de las recomendaciones que puede estar limitada por la naturaleza de los servicios, aplicativos, la criticidad de los equipos involucrados u otras variables que pueden exceder el alcance de las pruebas.

 

Las recomendaciones pueden ser puntuales para cada vulnerabilidad o para grupos de ellas, habitualmente se entregan con una presentación ejecutiva y un documento técnico que permite a los responsables de la seguridad del cliente entender a cabalidad la naturaleza de las fallas y el rumbo de las acciones requeridas para la mejora.

 

Seguimiento

​

Lo normal es que el cliente se encargue de efectuar las acciones correctivas de acuerdo con las recomendaciones presentadas por el equipo de pruebas, por ello pueden definirse procesos de seguimiento a las vulnerabilidades, normalmente las críticas y las de prioridad alta, es posible que se establezca un acompañamiento con el equipo de pruebas con alcance meramente consultivo para no incurrir en un conflicto de independencia, es también común programar un retest con alcance enfocado en las remediaciones realizadas que se realiza 3 meses después de la primera prueba.

​

Ciclo de mejora continua

​

Un PentTest es un proceso de mejora continua porque es un ciclo sistemático, analítico y proactivo que identifica, realiza la explotación de debilidades y fallas técnicas, vulnerabilidades y errores de diseño en las aplicaciones para conocer el nivel de exposición de la información, especificando los controles de seguridad requeridos para proteger la infraestructura Tecnológica y de Comunicaciones de una organización. Es común que se efectúa al menos una vez al año permitiendo:

 

• Identificar las amenazas y vulnerabilidades a las que los recursos de información están expuestos. Esto permite cuantificar los impactos de los riesgos y proporcionar una implementación de seguridad adecuada.

• Reducir los costos de la organización proporcionando un mejor retorno de la inversión en seguridad, identificando y resolviendo vulnerabilidades y debilidades en el diseño e implementación de las tecnologías, en lugar de gastar en medidas reactivas.

• Obtener y mantener certificaciones que regulan a la industria según sea el caso.

• Alinear la organización a las mejores prácticas y dar cumplimiento con regulaciones internas, externas y de la industria.