TIPOS DE PENTESTING
Después del artículo anterior sobre explicar ¿Por qué es importante realizar un Pentesting a tu sitio web? Ahora sabemos que hay tres maneras en que se pueden realizar las pruebas de intrusión (caja blanca, gris y negra), además de la cantidad de información que cada uno de ellos requiere para alcanzar cierta eficiencia, haremos un rápido abordaje en los tipos de Pentest disponibles.
- Prueba en Servicios de Red: Se realizan análisis en la infraestructura de red de la corporación, en busca de fragilidades que pueden ser solidificadas. En este aspecto, se evalúa la configuración del firewall, pruebas de filtrado, etc.
- Prueba en Aplicación Web: Es un buceo profundo en la prueba de intrusión, pues todo el análisis es extremadamente detallado y las vulnerabilidades son más fácilmente descubiertas por basarse en la búsqueda en aplicaciones web.
- Prueba de Client Side: En este tipo de prueba, es posible explorar software, programas de creación de contenido y Web browsers (como Chrome, Firefox, Explorer, etc) en ordenadores de los usuarios.
- Prueba en Red Inalámbrica: Examina todas las redes inalámbricas utilizadas en una corporación, así como el propio nombre lo dice. Se realizan pruebas en protocolos de red inalámbrica, puntos de acceso y credenciales administrativas.
- Prueba de Ingeniería Social: Informaciones y datos confidenciales son susceptibles de robo por medio de manipulación psicológica, es un intento de inducir al colaborador a repasar ítems en que deben ser sigilosos.
Diferencias entre Hacking y Pentesting
Las principales diferencias que podemos encontrar entre estos dos conceptos son:
- No existe el pentesting malicioso, ya que es algo que se realiza a una empresa o compañía determinada, mediante un procedimiento definido, con el objetivo de encontrar vulnerabilidades, explotarlas y luego subsanarlas.
- El pentesting es un subconjunto del hacking ético. Aparte de todo lo que hace el pentesting, podría hacer cosas de ingeniería social, enviar correos, intentar hacer phishing, comprobar si en la papelera de reciclaje hay información sensible… todo lo que esté en su mano para tratar de buscar puntos débiles y vulnerabilidades de seguridad.
- Siempre se cuenta con el conocimiento y consentimiento del dueño del sistema ha auditar.
Fases del Pentesting
El proceso formal a realizar por un Pentester a la hora de llevar a cabo una auditoría se divide en cinco etapas:
1.- Reconocimiento
Planificación y reconocimiento es la primera etapa del pentesting. Se define el alcance y los objetivos de la prueba, los sistemas a abordar y los métodos de prueba que se utilizarán. Además, se aprovecha para recopilar toda la información posible (nombres del dominio y de red, el software, correos electrónicos, etc.) para comprender mejor cómo funciona la empresa y sus potenciales debilidades.
2.- Análisis de Vulnerabilidades
Corresponde al segundo paso, se busca entender cómo responderá el sistema al que se está intentando penetrar a varios intentos de intrusión. Se comienza a interactuar con el objetivo y se analiza el sistema de forma manual y/o automática para identificar posibles debilidades. Se define el ámbito y el alcance del test de intrusión y se consulta con el cliente la profundidad de las pruebas que se van a realizar.
3.- Modelado de Amenazas
Ya con toda la información, se elabora una representación estructurada de la información que afecta a la seguridad de una aplicación. En este proceso se captura, organiza y analiza todos los datos desde una vista a través de expertos en seguridad. Permite tomar decisiones sobre los riesgos y generar una lista priorizada de mejoras de seguridad informática.
4.- Explotación
El modelo generado nos ayuda a ver de qué forma atacaremos el sistema, por donde entrar, por qué puerto acceder. Si la intrusión se ha llevado con éxito, esta fase consta de la recolección de información privada, como archivos en un servidor o sistema. La finalidad es demostrar al cliente que pasaría si un ciberdelincuente atacara el sistema analizado.
5.- Elaboración de Informes
Por último, debemos generar un completo informe detallando todos los fallos y mejoras en seguridad detectadas. Idealmente se deben realizar dos tipos de reportes. Por un lado, uno técnico dirigido a los administradores del sistema, que se escribe con las terminologías apropiadas junto a las soluciones detalladas. Y por otro lado, un reporte ejecutivo dirigido a la mesa directiva para que las personas que no se dedican al mundo de la informática lo logren entender.