El “pentesting” o “test de penetración” consiste en atacar un sistema informático para identificar fallos, vulnerabilidades y demás errores de seguridad existentes, para así poder prevenir los ataques externos.
Todas las empresas se enfrentan a riesgos, cada vez más frecuentes, que pueden afectar a su sistema. Ser conscientes de estos riesgos es fundamental, pero no todas las empresas lo son.
Existen herramientas para comprender la gravedad de los peligros a los que una organización se enfrenta en el día a día. Esto les permite detectar las brechas de seguridad existentes en su compañía y así estar prevenidos ante los riesgos que pueden surgir.
A causa de los importantes ataques y filtraciones sufridos por varias empresas en los últimos años, el pentesting es algo reciente pero que está en auge. Por ello, no hay a penas certificaciones oficiales que acrediten como “Pentester” o Expertos en Seguridad Informática. Sin embargo, al ser tan escasas las certificaciones existentes en este campo, hace que estas se revaloricen en los puestos de trabajo.
El pentesting realmente es una forma de hacking, solo que esta práctica es totalmente legal, ya que cuenta con el consentimiento de los propietarios de los equipos que se van a testear, además de tener la intención de causar un daño real.
Estos test están diseñados para clasificar y determinar el alcance y la repercusión de los fallos de seguridad. Gracias a estos test, se obtiene conocimiento y consciencia del peligro que existe en el sistema testeado, de las defensas de las que dispone y de su eficiencia.
Además, también proporciona datos de probabilidades de éxito de un ataque al sistema y otras vulnerabilidades existentes en este que no se pueden hallar de otra forma.
Tipos de Pentesting
Según el tipo de información que se tenga sobre el sistema para su testeo, hay diferentes formas de realizar estas pruebas:
- Pentesting de caja blanca: en este tipo de test sabemos todo a cerca del sistema, la aplicación o la arquitectura. Es el Pentest más completo. Este método parte de un análisis integral, que evalúa toda la infraestructura de red. Al disponer de un volumen tan alto de información, suele realizarse por miembros del propio equipo de TI de la empresa.
- Pentesting de caja negra: en este, sin embargo, no disponemos de ningún tipo de información sobre el objetivo. Es casi como una prueba a ciegas y el más cercano a seguir las características de un ataque externo. Su actuación es la más similar a la de los cibercriminales.
- Pentesting de caja gris: este sería una mezcla entre los dos anteriores, es decir, se posee ya cierta información, pero no la suficiente, por lo que se invertirá tiempo y recursos para identificar las vulnerabilidades y amenazas en base a la cantidad de información que se tenga. Es el pentest más recomendado.
Se deben tener en cuenta estos tipos de pentesting ya que, muchas veces, las condiciones del test irán determinadas en base a lo que establece el cliente.
Fases o métodos de pentesting
Una vez se ha determinado el tipo de prueba a realizar, el siguiente paso es elegir el método. Esta elección se basa en las necesidades existentes y en función de las características del sistema, o de los requerimientos de la empresa.
Estos son algunos de los métodos de pentesting:
- ISSAF (Information Systems Security Assessment Framework): organiza la información alrededor de los criterios de evaluación, escritos y revisados por expertos.
- PCI DSS (Payment Card Industry Data Security Standard): este método fue desarrollado por las compañías de tarjetas de débito y de crédito más importantes y sirve como guía para las organizaciones que procesan, almacenan y transmiten datos de los titulares de las tarjetas.
- PTES (Penetration Testing Execution Standard): es puesto en práctica por muchos profesionales altamente reconocidos del sector, además de ser un modelo a seguir en libros de aprendizaje asociados al pentesting.
- OSSTMM (Manual de la Metodología Abierta de Testeo de Seguridad): sus pruebas no son especialmente innovadoras, pero es uno de los primeros acercamientos a una estructura global de concepto de seguridad. Este modelo es referente en instituciones que precisan de un pentesting de calidad, ordenado y eficiente.
Estos métodos son extensos y densos de tratar, pero conocerlos en profundidad es una necesidad a la hora de aplicarlos.
En Hiberus Tecnología disponemos de un servicio de consultoría legal tecnológica para aportar un valor añadido a nuestros clientes. Si necesitas una atención personalizada en derecho tecnológico, no dudes en contactar con nosotros. Nuestro equipo de profesionales en Derecho Tecnológico y ciberseguridad proporciona tranquilidad y calidad a nuestros clientes sobre el cumplimiento legal de los procesos de su negocio.
