Las seis fases del pentesting

1) Planificación y preparación del pentesting

Hay muchos proverbios acerca de lo importante que es estar bien preparado. Lo mismo se aplica al pentesting: la planificación es la clave del éxito. Hay diversas formas de abordar el pentesting, por eso, establecer los objetivos y determinar el alcance del mismo, es fundamental para obtener mejores resultados del proceso. Considere estas preguntas para descubrir si sus expectativas coinciden con las de los pentesters, pues así podrá obtener toda la información que busca conocer:

• ¿Desea realizar un test externo para simular el ataque de un individuo u organización externa? ¿O bien realizar un test interno para simular un ataque desde dentro, o un ataque con la colaboración de alguien dentro de la organización?

• ¿Quiere que su equipo de Seguridad sepa de la existencia del pentest, o bien prefiere realizarlo de forma encubierta, para comprobar si son capaces de detectar la actividad de forma eficiente?

• ¿Cuánta información quiere compartir con los pentesters de antemano?

• ¿Cuán agresivos podrán ser los pentesters?

2) Investigación

Una vez se ha determinado el alcance del proceso, los equipos de pentesting pueden ponerse manos a la obra. En la fase de investigación llevarán a cabo distintas actividades de reconocimiento del objetivo. En relación con la parte técnica, información como las direcciones de IP, por ejemplo, pueden ayudar a recabar datos sobre los firewalls y otras conexiones. En lo que respecta a lo personal, la información más básica —como los nombres, cargos y direcciones de correo electrónico— puede tener mucho valor. Los atacantes suelen utilizar esta información para enviar correos electrónicos de phishing o averiguar quién podría tener credenciales con privilegios, a través de las cuales obtener acceso a todo el entorno.

Asimismo, antes de explotar un sistema, los equipos de pentesting deberán buscar las vulnerabilidades del entorno. Esta fase, denominada habitualmente footprinting (recogida de información) consiste en recopilar tanta información como sea posible sobre los sistemas y redes objetivo, así como sobre sus propietarios, sin intentar infiltrarse. El escaneado automatizado es una de las técnicas que se emplean para detectar vulnerabilidades que podrían ser la puerta de entrada de un atacante.

3) Intento de penetración y explotación

Una vez que ya conocen a su objetivo, los pentesters pueden empezar a usar los puntos de entrada que acaban de descubrir para poner a prueba todas las vulnerabilidades detectadas. Así pues, intentarán penetrar en el sistema objetivo a través de estos puntos de entrada. Pero no harán solo eso. Una vez dentro del sistema comprometido, intentarán obtener más privilegios de acceso al entorno para poder llevar a cabo otras acciones. Adquirir privilegios de administrador permite a los pentesters detectar fallos de Seguridad en otras áreas y recursos, como una configuración deficiente, un acceso sin supervisar a los datos sensibles, o una mala gestión de las cuentas y las contraseñas.

Asimismo, les permitirá poner a prueba activos de varios tipos. Además de la infraestructura y estaciones de trabajo on-premise que podrían ser vulnerables a un ataque, también se pueden verificar los dispositivos móviles, las aplicaciones web e, incluso, los dispositivos de IoT, como las cámaras de Seguridad.

4) Análisis y generación de reportes

Los pentesters deberán registrar todos los pasos que siguen durante el proceso de investigación y explotación. A partir de ahí, podrán crear un reporte que incluya todos los detalles, como qué técnicas han seguido para poder penetrar en el sistema, qué brechas en la Seguridad se han detectado, y demás información pertinente que hayan descubierto. En el mismo informe deberán incluir un análisis que ayude a determinar qué acciones se deben tomar a continuación. Los equipos de pentesting pueden ayudar a establecer las prioridades que la organización debe abordar lo antes posible, y hacer propuestas sobre medidas de remediación.

5) Limpieza y remediación

Tal como sucedería en un ataque real, los pentesters pueden dejar “huellas”; por eso es fundamental que salgan de los sistemas y eliminen cualquier artefacto que hayan utilizado durante el test, ya que sino cualquier atacante podría beneficiarse de ellos en un futuro.

Al finalizar, la organización puede dedicarse a corregir las vulnerabilidades de Seguridad identificadas y priorizadas en la fase de realización del test. Esto supone, por ejemplo, reforzar los controles para proteger las vulnerabilidades que no tienen fácil solución o, incluso, invertir en nuevas soluciones de pentesting que agilicen los procesos de Seguridad y mejoren la eficiencia.

6) Retesteo

Los pentests pueden (y deben) usarse con frecuencia, sobre todo cuando se implementa una infraestructura o se instalan nuevas aplicaciones. Aunque su organización esté convencida de haber resuelto las vulnerabilidades que aparecían en un reporte anterior, la mejor forma de asegurarse es repitiendo el test. Además, los entornos de IT y los métodos empleados para atacarlos evolucionan continuamente, por lo que es posible que vayan apareciendo nuevas vulnerabilidades.

Las filtraciones de Seguridad acaparan cada vez más los titulares de las noticias, por lo que es fundamental evitar cualquier posibilidad de que un incidente ponga en riesgo la reputación y la fiabilidad de su Negocio. Las organizaciones deben hacer todo cuanto esté a su alcance para identificar y evitar los comportamientos que las pongan en riesgo. El pentesting es una parte esencial de la estrategia de evaluación de riesgos y gestión de vulnerabilidades, ya que contribuye a reducir las chances de que se produzca un ataque de hackers.