En este artículo no voy a entrar a detallar, a nivel técnico, cómo llevar a cabo ningún tipo de ataques. De eso ya se encarga Carlos Cilleruelo con el curso al final del post. Mi aportación es explicar por qué el Penetration Testing (Pentesting) es una parte vital de cualquier estrategia efectiva de ciberseguridad.
Para ello, primero hay que entender que en tecnología, la velocidad de cambio es un elemento existente que tenemos que tener siempre en mente. Que lo que ayer era un estándar, hoy puede estar obsoleto. Este es uno de los paradigmas en los que se debe basar la seguridad.
Para que una estrategia de seguridad sea efectiva, la tecnología, la gente y los procesos deben testarse regularmente para identificar debilidades en alguna de estas áreas. Y una de las mejores formas de hacer este test es mediante ataques simulados que nos obliguen a construir una serie de protocolos y un simulacro de actuación que, en caso de un ataque real, se sepa cómo actuar.
Debido a esta naturaleza cambiante de la tecnología, a diferencia de las auditorías de seguridad, el Pentesting no debe ser un proceso puntual para comprobar y detectar vulnerabilidades, sino que debe ser un servicio que esté funcionando siempre, a todas horas. Si estamos expuestos a ataques 24/7, deberemos protegernos 24/7. Para ello, tu sistema tiene que estar diseñado con soporte para Pentesting desde la fase de diseño.
Según el conocido Hacker Chema Alonso, una adecuada estrategia de seguridad exige que los pentesters tengan la oportunidad de aplicarse al 100% en todo momento: “Si tu equipo de pentesting interno no puede hacer una prueba de D.O.S. cuando quiera para testar el sistema, o no puede pegarle fuerte y duro a una web porque el servicio puede dejar de funcionar, entonces estás perdido“.
Ajá… ¿pero qué es exactamente el Pentesting?
El pentesting es una técnica de ciberseguridad consistente en atacar entornos informáticos con una misión: descubrir y explotar vulnerabilidades con el objetivo de documentar el ataque y recopilar información sobre la seguridad, para que los administradores del sistema palien la ruptura del sistema y sirva de prevención futura sobre ataques que podrían llevarse a cabo.
A menudo, el Pentesting se confunde con auditorías de seguridad o un escaneo de vulnerabilidades. Sin embargo, una de las mayores diferencias es que el pentesting no se detiene en descubrir vulnerabilidades. Va al siguiente paso para explotar estas vulnerabilidades con el objetivo de probar y dirigir ataques simulados que pueden venir del mundo real contra la seguridad de la compañía y los activos de una organización IT, sean digitales o físicos.
Del mismo modo que hay muchas formas de ataque, también hay multitud de “pentests” que se pueden realizar para probar diferentes puntos críticos de seguridad.
Pero resumiéndolo a un único punto, el pentest debe ser diseñado para contestar una pregunta:
“¿Qué efectividad tiene este control de seguridad ante hackers y personas altamente cualificadas en ciber ataques?”
Cada organización, dependiendo de sus activos y su nivel de seguridad, necesitará un tipo de pentest u otro. No es lo mismo una corporación que maneja fondos y datos personales críticos, que un SaaS de intercambio de criptomonedas o un eCommerce que alberga información personal de ámbito más general.
¿Cómo funciona el Pentesting?
Los Pentesters, como son llamados aquellos que se especializan en esto, utilizan software y métodos manuales para hacer un primer reconocimiento. Colectan información del negocio desde la perspectiva del hacker. Después identifican puntos de entrada vulnerables y, finalmente, abren una brecha en el sistema y reportan cómo lo hicieron.
Erróneamente, se piensa que los ataques se basan en ataques altamente sofisticados propios de la NSA, pero hay de todo. La mayoría suelen explotar el desconocimiento o, en palabras de muchos hackers “la estupidez humana”.
Uno de los más comunes es mediante phishing, ya sabes, el típico email que suplanta alguna dirección y busca conseguir tu user y password o, que instales algo en tu sistema.
¿Cómo lo hacen? Un ejemplo muy sencillo que usan algunos hackers es el de enviar un archivo Word con una macro (que realmente es malware). Al abrirlo, aparecerá la barra amarilla de habilitar Macros. Si aceptas, lo tienes dentro.
Por otro lado, si tu correo aparece en una lista de contenedores a los cuales se les hizo spam y, debido a que alguna de las páginas / foros / servicios en los que te diste de alta con un nuevo usuario, tiene una mala protección de contraseñas, consiguen entrar y… magia. Tienen tu usuario y contraseña.
No debería pasar nada más, ¿no? En principio no, pero los hackers, al igual que yo, sabemos que tienes 2 o 3 contraseñas diferentes (como mucho). Así que hackeando una cuenta, pueden tener acceso a unas cuantas…
Aunque, por supuesto, hay formas complejas y que requieren de un gran conocimiento para poder, ya no sólo defenderse, sino prevenir. Por ello, un pentester requiere de un amplio conocimiento de múltiples tecnologías y sistemas operativos.
La importancia del Pentesting
Como ya hemos dicho a lo largo del artículo, el Pentesting es totalmente necesario. Pensamos que el ser objeto del ataque de un hacker es algo totalmente premeditado, o que debe ser orquestado por un grupo de asaltantes que buscan algo específico. Pero sin ir más lejos, la mayoría de las ocasiones es algo totalmente azaroso. Si te hackean, no te sientas especial, sólo eres un número.
Como el Pentesting es un elemento muy importante dentro de toda organización y, requiere de un nivel técnico y un conocimiento amplio, creemos que debemos potenciar esta área. Por eso te traigo un Curso Gratuito de Ciberseguridad enfocada en Pentesting.
