La era digital ha llegado y se ha ido. Hoy vivimos en la era posdigital. Las aplicaciones y los sistemas ya no son simplemente una parte esencial de las empresas, ahora son la base del ecosistema empresarial mundial. Más que meros “usuarios” de software, la mayoría de las organizaciones se han transformado en empresas tecnológicas de pleno derecho; el diseño, el desarrollo y la implantación de aplicaciones constituyen la columna vertebral de la operatividad y crecimiento. Es un momento apasionante para hacer negocios.
Naturalmente, dentro de unas infraestructuras digitales dinámicas y multiplexadas donde el negocio se rige por ciclos de vida de desarrollo, las aplicaciones se acumulan y el riesgo cibernético evoluciona rápidamente. El desarrollo y la expansión brindan oportunidades a las organizaciones, pero también a un mayor número de atacantes dispuestos a aprovechar esta acumulación. La aparición de nuevos riesgos es continua, magnificada por la mayor accesibilidad de las técnicas de los atacantes . Esto nos lleva a una pregunta importante: ¿cómo escalar las actividades de pruebas de seguridad para igualar el crecimiento del riesgo?
Los servicios de penetration testing. siempre han sido un componente fundamental de la ciberseguridad, y con más aplicaciones y sistemas que probar que nunca, sigue siendo así. Pero el sector avanza y el escenario para las pruebas está cambiando. En respuesta, este artículo profundiza en las pruebas de penetración: qué son, cuál es la mejor forma de utilizarlas y cómo se integran con los nuevos enfoques de continuous security testing.
Qué son los penetration testings?
Los penetration testing (también conocidas como pentesting o tests de penetración) son un ejercicio ofensivo de seguridad que emplea técnicas manuales y automatizadas (basadas en herramientas) para diseñar y ejecutar un ataque controlado contra los activos de una organización con el objetivo de evaluar su seguridad. La “seguridad”, en este contexto, se define por la resistencia de dichos activos; es decir, su capacidad para resistir diversas técnicas maliciosas que se utilizan contra ellos para:
- Dañarlos (corromperlos, destruirlos o cifrarlos)
- Extraer información y secretos
- Emplearlos como medio para atacar otros activos
El resultado de una prueba de penetración es un informe. Este informe proporciona detalles sobre la seguridad de los activos evaluados para que la organización sometida a la prueba pueda corregir vulnerabilidades y errores, y mejorar sus procesos de implementación y gobernanza de aplicaciones.
Los penetration testings son una actividad puntual: evalúan la seguridad de un activo en un momento específico. A diferencia de los continuous security testing, que tratamos más adelante en este artículo, no están diseñados para ser dinámicos.
Por qué es necesario realizar penetration testings?
Las pruebas de penetración son solo una de las muchas actividades necesarias dentro de una estrategia de seguridad sólida y centrada en la resiliencia. A un alto nivel, las organizaciones necesitan penetration testing porque destacan las debilidades basadas en activos presentes en una superficie de ataque . Visto en un contexto empresarial práctico, esto puede dar lugar a múltiples resultados positivos:
- Gestión de riesgos:supervisar, controlar y minimizar la probabilidad, gravedad e impacto de un ciberataque contra la organización; mantener la continuidad de la actividad durante un ataque
- Cumplimiento: establecer y/o mantener el cumplimiento normativo para evitar sanciones; desarrollar la confianza de los clientes y obtener una ventaja competitiva como organización orientada al cumplimiento
- Transformación digital: obtener el máximo rendimiento de la inversión (ROI) de los proyectos de transformación digital verificando la seguridad de las nuevas tecnologías y los procesos que sustentan su implantación
- Protección de la marca: evitar o reducir el daño a la reputación y las implicaciones financieras asociadas tras un compromiso
- Demanda de socios/clientes: lograr el crecimiento del negocio cumpliendo los requisitos de pruebas de seguridad de los socios
Quién realiza los penetration testings?
Los penetration testings son realizados por especialistas conocidos como penetration testers o pentesters. Estos profesionales suelen trabajar para empresas de seguridad o proveedores de servicios de seguridad gestionados (MSSP), aunque algunas organizaciones disponen de ellos en equipos internos. Los pentesters son expertos en seguridad ofensiva formados para abordar la seguridad desde la perspectiva de un atacante, más que desde la defensiva.
El trabajo de un penetration tester no se limita a realizar pruebas de manera aislada. Gran parte de su labor implica comunicar y asesorar. Discutirán la lógica detrás de su enfoque, ofrecerán consejos basados en experiencias previas y recurrirán a especialistas de su equipo cuando se requiera una experiencia adicional.
Es crucial conocer el nivel de servicio que tu proveedor puede ofrecer a través de sus pentesters, ya que esto influirá en la precisión del test, la exhaustividad del informe que recibas y tu experiencia general durante el proceso. La acreditación es un método para validar la calidad de un equipo de pentesters. Otros indicadores pueden incluir:
- Compromisos complejos y personalizados adaptados a las necesidades específicas del cliente (estudios de casos)
- Investigación ofensiva y desarrollo de herramientas
- Investigación independiente, creación e intercambio público de conocimientos
Penetration testing puntuales frente a continuous testing
Las pruebas de penetración son un componente esencial de cualquier estrategia de ciberseguridad, y su importancia sigue creciendo. Los conocimientos específicos que ofrecen actúan como una instantánea de la seguridad en un momento determinado. En la era posdigital donde nuevas aplicaciones, sistemas e infraestructuras se implementan, diseñan y modifican continuamente, esto permite a las organizaciones alcanzar un alto nivel de seguridad en el menor tiempo posible.
Los nuevos continuous security testing abordan la necesidad de mantener esa excelencia de forma constante. Estas soluciones de “pruebas de seguridad continuas” proporcionan identificación de activos y análisis de vulnerabilidades de forma permanente. En lugar de centrarse en áreas específicas de alcance táctico, ayudan a mantener la seguridad a lo largo de todo el patrimonio digital, alimentando así una estrategia de gestión de vulnerabilidades. Mientras que los penetration testing son útiles para realizar pruebas en contextos limitados (como una aplicación dentro de un dominio específico), los test de seguridad continuos son comparables a disponer de un conjunto de herramientas de automatización y un equipo de ingenieros de seguridad que buscan vulnerabilidades y otras debilidades en toda la organización en un contexto empresarial.
La importancia de la continuidad
El aumento de los ataques oportunistas de exploración y explotación puede vincularse al ritmo universal de cambio y crecimiento de las infraestructuras digitales. Lo que tu empresa considera importante solo tiene cierta relación con lo que será objeto de ataque, porque ahora hay mucho en juego. Los presupuestos de seguridad no son infinitos y, en muchos casos, son limitados. Las organizaciones están empezando a comprender la importancia de la cultura de seguridad en todos los departamentos, especialmente (con el auge de DevSecOps) en sus equipos de desarrollo e ingeniería. El terreno de juego ha cambiado.
Las pruebas continuas ayudan a abordar este cambio de las siguientes maneras:
| Desafío empresarial | Continuous security testing |
|---|---|
| Cada día surgen nuevas vulnerabilidades que incrementan los riesgos para la empresa. | Buscar e identificar continuamente nuevas vulnerabilidades (tanto conocidas como desconocidas) y recomendar soluciones efectivas para ellas. |
| Potencial de riesgo desconocido por visibilidad limitada de la seguridad. | Aumentar la visibilidad sobre las vulnerabilidades y otros puntos débiles en todo el parque tecnológico. |
| Presupuesto limitado y remediaciones no realizadas que generan deuda de seguridad. | Ayudar a priorizar las soluciones en función de la probabilidad de explotación y el impacto, optimizando así la asignación de recursos. |
| Nuevos requisitos para cuantificar la resistencia operativa. | Revelar una visión dinámica de la seguridad de la organización y del impacto de las soluciones a lo largo del tiempo, proporcionando datos concretos para la toma de decisiones estratégicas. |
| Creación de una cultura de seguridad en toda la empresa. | Analizar nuevas áreas del patrimonio tecnológico, identificar y gestionar la TI en la sombra, y alinear las políticas y prácticas de seguridad con la velocidad del desarrollo para asegurar que la innovación y la protección avancen de manera conjunta. |
Cómo mejorar la estrategia de los pentesting
Este es un momento emocionante y desafiante para los equipos de seguridad. Por cada oportunidad que ofrece esta nueva área de la tecnología, hay nuevas amenazas a las que enfrentarse, nuevas limitaciones presupuestarias, nuevas limitaciones de recursos, etc. Pero tenemos buenas noticias: las pruebas de seguridad también evolucionan. La penetración puntual debe seguir siendo una actividad clave dentro de los programas de ciberseguridad de todas las organizaciones, pero ahora es el momento de considerar cómo pueden superponerse las actividades continuas para proporcionar el nivel necesario de visibilidad y control en todo el patrimonio.
Si quieres obtener más información, te invitamos a explorar nuestros servicios de penetration testing y continuous security testing.