¿Qué es el pentesting?

Hoy en día, es muy importante poner a prueba la fiabilidad de las medidas y herramientas de ciberseguridad con las que cuenta una organización. Si no, probablemente, estemos subestimando las brechas de seguridad que sufre o podría
sufrir nuestra empresa.

 

Ahí, es donde surgen herramientas como el pentesting. Pero ¿qué es?

 

El pentesting es una acción constituida por un conjunto de “test de penetración” o penetration test, que se basan en ataques hacia los sistemas informáticos con la intención de encontrar sus debilidades o vulnerabilidades. Están diseñados para clasificar y determinar el alcance y repercusión de dichos fallos de seguridad.

 

Es decir, es una prueba que nos ofrece resultados fiables sobre la respuesta de nuestros sistemas de seguridad ante un ciberataque “real”, así como el nivel de actualización de las herramientas de las que dispone la organización.

 

Pentesting de caja blanca, negra y gris

 

En función de las necesidades de la empresa, se pueden establecer tres formas de realizar un análisis pentesting:

 

Pentesting de caja blanca: Es el tipo de pentesting más completo ya que recopila toda la información acerca del sistema, aplicación o arquitectura. Al iniciar la prueba, se obtiene aquella información de tu empresa como contraseñas, logins, IP, posibles medidas de ciberseguridad o firewalls.

 

Con la información obtenida, puedes saber qué necesitas mejorar en la ciberseguridad de tu empresa. Este tipo de prueba, suele realizarse por miembros del propio equipo TI de la empresa.

 

Pentesting de caja negra: Es como una prueba a ciegas, ya que partiendo de la base no posees mucha información sobre la organización. Este es el pentesting más cercano a un ataque externo ya que dadas sus características (no poseer gran cantidad de información) actúa de forma similar a la de los cibercriminales.

 

Con el pentesting de caja negra podemos reconocer las fragilidades de una estructura de red.

 

Pentesting de caja gris: Es una mezcla del pentesting de caja blanca y el pentesting de caja negra, ya que posee cierta información para realizar la prueba de intrusión. Sin embargo, a diferencia de la información que podemos obtener en el de caja blanca, la que obtenemos aquí es baja.

 

La prueba de Caja Gris invertirá tiempo y recursos para identificar vulnerabilidades y amenazas, basándose en la cantidad de información específica que tiene. Es el tipo de Pentest más recomendado, si existe la necesidad de contratar alguno de estos servicios.

 

Además, existen determinadas pruebas que se pueden realizar de manera específica como son:

 

Prueba de servicios de red. Consiste en realizar un análisis completo de la infraestructura red de tu compañía. Se buscan debilidades que pueden ser atacadas desde el exterior. Para conseguir el objetivo, lo que se evalúa es la configuración del firewall o se realizan pruebas de filtrado de stateful.

 

Prueba de aplicación web. Es un buceo muy profundo, ya que el análisis que se hace durante la prueba de intrusión es increíblemente detallado. Las vulnerabilidades se encuentran con una mayor facilidad, ya que se basa en la búsqueda de aplicaciones web.

 

Prueba de client side. Aquí se explora software, navegadores de Internet y programas de creación de contenido en los ordenadores de tus usuarios.

 

Prueba en red inalámbrica. Examina las redes inalámbricas que utilizas dentro de tu empresa. Aquí entran las pruebas de protocolo de red inalámbrica, credenciales administrativas y puntos de acceso a la propia red.

 

 

Consejos a tener en cuenta antes de realizar un pentesting

 

Si solicitamos que realicen un pentesting a nuestros sistemas, debemos dejar claro que en ningún caso se podrá:

 

– Obtener provecho ni causar prejuicio con la información descubierta.
– Destruir la información que no sea necesaria para llevar a cabo el test y guarda de manera segura la que sí lo sea.
– No divulgar ninguna información obtenida.

 

Para contratar un servicio de pentesting, deberás redactar un contrato específico para este servicio y definir la manera correcta que no dé lugar a ninguna duda:

 

  • Firmar un contrato de confidencialidad con la empresa que vaya a realizar el pentest.
  • La información que está disponible.
  • La técnica que se utilizará para la intrusión.
  • El tratamiento de la información que se pueda obtener, en particular si fueran datos personales o información confidencial.
  • Establecer horarios para realizar la prueba.

 

Es importante recordad que un pentest es una fotografía de un momento. Es decir, los resultados de hoy no son permanentes y vigentes por siempre.

 

Si necesitas más información sobre este tipo de prueba o quieres realizarla en tu empresa, ponte en contacto con nosotros escribiendo a comunicacion@tecon.es o llamando al 967 505 024. ¡Te ayudaremos!

Tags:

Deja un comentario