En los últimos años el número de ciberataques ha aumentado debido a la gran cantidad de virus, malwares y la creación de métodos cada vez más sofisticados.
Para evitar los ciberataques y proteger los sistemas, la ciberseguridad tiene que avanzar a la misma velocidad que lo hacen los atacantes, y es aquí donde entra en juego el Pentesting.
¿Qué es el Pentesting y en qué consiste?
Es una abreviatura de dos palabras, penetration y testing, que consiste en atacar diferentes entornos y sistemas de una empresa con la finalidad de encontrar y prevenir las posibles brechas de seguridad.
Actualmente es una de las prácticas de seguridad más demandadas, ya que gracias a esos análisis, las empresas pueden saber cuál es su niel real de seguridad y eficiencia de sus defensas.
En la seguridad informática se pueden diferenciar dos tipos de equipos, tenemos el red team y el blue team. El red team se encarga de la parte ofensiva de los pentesters y el blue de la parte defensiva.
Cuestiones legales ha tener en cuenta.
Cuando contratamos un servicio de pentesting debemos considerar el acceso a información de secreto profesional y datos personales a terceros. Por ello cuando se firma el contrato de este servicio hay que dejar claro que:
-No se podrá obtener provecho ni causar ningún prejuicio por la información descubierta.
–No se destruirá ningún tipo de información aunque no sea necesaria.
–No divulgar ningún tipo de información obtenida o a la que se haya tenido acceso.
Por lo tanto, en el contrato de pentesting se deberá definir de manera correcta y que no quede lugar a duda:
-Información que está disponible
-Las técnicas de intrusión que se utilizaran
-El tratamiento de la información que se obtendrá.
Tipos de pentesting
Pentesting “White Box”
En este caso, el auditor conoce todos los datos sobre el sistema, tanto estructura, IPs, contraseñas… Además suele formar parte del propio equipo técnico de la compañía. Es el más completo y con toda esa información preliminar es relativamente más fácil saber que hay que modificar o mejorar dentro de la arquitectura del sistema.
Pentesting “Black Box”
Es el tipo de pentesting más “real”, ya que, el pentester no tiene apenas datos sobre la organización y actúa como un ciberdelincuente más. Por eso, como si fuera una prueba a ciegas se debe descubrir las vulnerabilidades y amenazas en la estructura de la red.
Pentesting de caja gris “Grey Box”
Es una mezcla de los anteriores, el auditor tiene cierta información a la hora de realizar el test. Es el tipo de pentest más recomendado, ya que se necesitará tiempo y medios para poder realizar este test de penetración en su totalidad.
Etapas del pentesting:
Determinar la auditoría
Aquí se debe de evaluar con que datos y que tipos de pruebas se van a realizar. Por norma general, el cliente determinará el tipo de información que tendrá acceso el analista y el tipo de pruebas que quiere realizar.
Recogida de información
El Pentester debe realizar varias pruebas para analizar las vulnerabilidades, fugas de información …. Utilizará varias herramientas y valorará aspectos clave como la manera de proceder de los empleados o el entorno.
Acceso al sistema
Después de recabar la información y analizar de qué manera se va a actuar, se organizan los ataques y se mantiene el acceso al objetivo a atacar.
Elaboración del informe
En el informe deben aparecer el alcance e impacto de los fallos de seguridad atacados, así como una recomendación para poder minimizarlos o suprimirlos.
Si estás interesado en este tipo de análisis de pentesting no dudes en ponerte en contacto con nosotros y te aconsejaremos para encontrar la mejor solución para tu empresa.
Articulos descatados: