¿Qué es un pentesting, o prueba de penetración?

¿Qué es un pentesting?

Esencialmente, un pentesting (o pentest) es una prueba que se realiza a un dispositivo informático con el fin de detectar cuáles son sus potenciales vulnerabilidades o puntos débiles. Un pentesting, entonces, simula el ataque de diversas herramientas utilizadas habitualmente por los hackers para acceder a un equipo. Sin embargo, un pentesting nunca llegará a infectar realmente los dispositivos, por lo que es inocuo. Solamente le hará saber cuáles son sus vulnerabilidades para que puedan subsanarse y protegerse así de un potencial hackeo.

¿Cómo se realiza un pentesting?

Hay diversas formas de hacerlo. Una de las principales formas de clasificar los pentests se establece en función del conocimiento previo que se tiene del equipo que se debe testear. Los pentest de caja blanca dispondrán previamente de toda la información referente al equipo, sistema operativo, arquitectura, etc., mientras que los de caja negra partirán a ciegas para simular mejor la información que es capaz de obtener un hacker exterior.

¿Qué métodos hay para realizar un pentesting?

Existen numerosos métodos y herramientas, pero generalmente siempre será aconsejable dejarse guiar por el pentester que realizará la prueba. Algunos de los métodos más comunes son:

PTES y OWASP

Se trata de dos de los primeros estándares en materia de pentesting y cuentan con muchísimos años de recorrido ofreciendo grandes resultados, con lo que son de las primeras herramientas que se enseñan en los manuales de referencia.

El PTES responde a las siglas Penetration Testing Execution Standard (es decir, Estándar de Ejecución de Pruebas de Penetración), y se constituye como el primer método desarrollado de forma sistemática para evaluar las vulnerabilidades de diferentes sistemas informáticos. Es importante tener en cuenta que PTES no es una técnica informática en sí, sino un conjunto de herramientas y técnicas para poner a prueba la seguridad de una red, un dispositivo o un programa, que ha ido ampliándose y perfeccionándose con el paso del tiempo.

OWASP, por su parte, no es una herramienta en sí sino una organización sin ánimo de lucro que propone diversas herramientas para poner a prueba la seguridad del software, y permite a sus usuarios descargar sus materiales de forma gratuita para obtener su formación al respecto. El PTES, entonces, es una de las metodologías que puedes encontrar recomendadas por la OWASP.

OSSTMM

Más orientado a las empresas, el OSSTMM se ha abierto camino hasta consolidarse también como una de las herramientas más importantes y útiles en materia de pentesting, llegando casi al nivel de PTES y OWASP.

OSSTMM (Open Source Security Testing Methodology Manual) es un método iniciado a finales del año 2000 que fue incorporando diferentes canales de seguridad a través de la aportación colectiva de miles de colaboradores. Aunque al comienzo estaba más centrado en la puesta a prueba de los firewalls y los routers, actualmente abarca también otros canales como las infraestructuras de comunicación móvil, la computación en la nube, las aplicaciones de mensajería e incluso el factor humano en la red y las instalaciones de cualquier empresa o institución.

PCI

Dedicado específicamente a la protección de la información de las tarjetas de crédito, este sistema fue desarrollado por la ISSAF y es la principal herramienta a la hora de comprobar la seguridad de los equipos que trabajan con información relacionada con las tarjetas de crédito o débito.

Surgió ante la necesidad de poner a prueba el protocolo PCI-DSS, que reemplazó al antiguo estándar PA-DSS en la protección y verificación de los datos de las tarjetas bancarias. A nivel técnico, este método no es tan diferente de otros mencionados en esta lista, pero a nivel contextual es el único que cuenta con esta orientación financiera tan específica, con lo que es obligatorio para una serie de instituciones financieras bajo el SAQ A-EP y el SAQ D. Es importante tener en cuenta que este test no evalúa la seguridad de otros aspectos como la privacidad de los datos personales de los clientes, sino únicamente los datos de las tarjetas de crédito propiamente dichas.

¿Por qué realizar un pentesting?

Por muchas razones. Tanto si se trata de equipos personales como equipos de empresa, el pentesting permitirá conocer de primera mano las vulnerabilidades presentes para que puesan subsanarse antes de que sean aprovechadas por un hacker o por una infección de software malicioso. Los riesgos a los que se expone en caso de no hacerlo, son:

Pérdida de datos personales

Su nombre y apellidos, número de DNI, últimas nóminas, números de tarjeta de crédito y débito,contraseñas de correo y mucha más información personal están almacenados en su equipo, su teléfono y muchos otros dispositivos. El robo de estos datos puede convertirle en víctima de extorsiones o incluso conllevar graves pérdidas económicas a través de sus tarjetas.

Pérdida del acceso a sus dispositivos

Si un equipo es vulnerable, puede ser víctima de un ataque de ransomware que encriptará los archivos y los dejará inutilizables hasta que se pague una fianza fijada por el hacker que los esté manteniendo retenidos. En muchas ocasiones la fianza solicitada es tan alta que resulta imposible hacerle frente, con lo que pasado un determinado número de días, los archivos son destruidos y pueden conllevar graves pérdidas económicas para particulares y empresas.

Infección por diversos tipos de malware

Una vez que haya infectado su equipo con determinados tipos de malware, es probable que el siguiente paso del hacker sea infectar todos los dispositivos relacionados con el suyo: no solamente los de su casa o trabajo, sino los de su lista de contactos o los de las personas con quienes ha intercambiado correos en los últimos meses. Esto puede perjudicar sus equipos y deteriorar la imagen que tienen de usted o incluso puede afectar a los equipos de la empresa donde trabaja y destruir sus nóminas, cuentas y muchos otros datos laborales de primera necesidad.