El ciclo de vida de una prueba de penetración cibernética
Las pruebas de penetración son la forma más segura de averiguar hasta qué punto los protocolos de seguridad definidos, protegen a los sistemas para los cuales están diseñados. Los hackers éticos exponen los puntos débiles de seguridad, exponiendo lo que hay que hacer para reducir el nivel de riesgo.
Se podría pensar en una prueba de penetración como algo necesario durante una evaluación inicial de los procedimientos de seguridad, o como parte de los requisitos reglamentarios de la industria, o tal vez con una nueva adquisición de negocios.
En realidad, la prueba de penetración es una buena herramienta, si no crucial, para cualquiera de estas circunstancias.
¿Cómo se lleva a cabo una prueba de penetración?
Unas pruebas de penetración rigurosas (y periódicas) ayudarán a las empresas a evaluar su estrategia de seguridad actual, planificar futuras mejoras y demostrar tanto a los organismos del sector como a los clientes que se está haciendo todo lo posible para proteger la ciberseguridad de la organización.
Si la organización está planeando un proyecto de pruebas de penetración, probablemente querrá saber cuál es el proceso. ¿Simplemente llama a alguien y le pide que intente piratear su sistema? Pues no.
Las pruebas de penetración pueden dividirse en varias fases. Lo que ocurra en cada fase variará en función del tipo de organización y del tipo de prueba realizada, pero la metodología es básicamente la misma.
En este artículo, analizamos en detalle cada una de las fases del proyecto:
PASO 1: Análisis previo a la contratación
Antes de iniciar esta ciberevaluación, es imprescindible definir muy bien el alcance del proyecto, los objetivos, el presupuesto, etc. Empezar un proyecto sin concretar antes estos detalles será una pérdida de tiempo y dinero. Los resultados podrían diluirse por tener un alcance demasiado amplio.
PASO 2: Recopilación de información
El especialista en pruebas de intrusión investiga la organización utilizando todos los medios a su disposición, desde motores de búsqueda hasta la Web oscura. Esta fase expone todos los datos que están disponibles públicamente y cómo podrían utilizarse contra la organización. Por ejemplo, si el director general tiene un perfil público en Facebook y una relación especial con una gata llamada Pitufa, eso podría dar a los atacantes una idea de cuál podría ser su contraseña.
PASO 3: Análisis de vulnerabilidades
La prueba pasa a una fase más activa. El evaluador analiza a fondo el sistema en busca de vulnerabilidades, examinando la configuración general de la infraestructura informática y buscando puertos abiertos o puntos débiles que puedan explotarse.
PASO 4: Explotación
Los evaluadores de penetración comienzan a explotar esas vulnerabilidades. En esta fase se identifica cuál de las vulnerabilidades permite al evaluador obtener acceso «no autorizado» a los sistemas/información. El objetivo de esta fase es confirmar la existencia de la vulnerabilidad y hasta qué punto es explotable.
PASO 5: Post-Explotación
Entrar puede parecer el punto clave de una prueba de penetración, pero en realidad los clientes están más interesados en lo que los atacantes son capaces de hacer una vez que han conseguido el acceso. El experto utilizará todos los medios disponibles, incluidos servicios mal configurados, permisos y otras técnicas para obtener los máximos privilegios en los objetivos vulnerables. Esto podría incluir, por ejemplo, intentar extraer o manipular datos, o -en el caso de una brecha física- intentar llevarse un ordenador portátil o una tableta.
PASO 6: Limpieza
Una vez completada con éxito la prueba, el especialista debe asegurarse de dejar todo como lo encontró. Cualquier script o archivo colocado en el sistema debe ser eliminado, y cualquier puerta virtual que haya sido forzada debe ser devuelta a su estado original. Debe ser como si la prueba nunca hubiera tenido lugar.
PASO 7: Entrega del informe final
La información contenida en el informe de la prueba de penetración es altamente sensible. Por lo tanto, sólo debe compartirse con las personas previamente acordadas en formato impreso y sólo cara a cara.
PASO 8: Revisión y conclusiones
Una reunión final con el proveedor de servicios de seguridad permite discutir en detalle los resultados del informe. El especialista en pruebas de penetración debería ser capaz de recomendar los siguientes pasos para mejorar la seguridad, ya sea un nuevo software de protección o la formación del personal en materia de concienciación sobre seguridad. La reunión debe aprovecharse al máximo implicando al personal adecuado para que sea más fácil comprometerse con futuros proyectos de ciberseguridad.