Las pruebas de penetración varían de una empresa a otra, pero las actividades habituales se resumen en los seis pasos siguientes:
Prueba previa
1. Alcance y planificación
Como primer paso, se define un alcance y un plan del proyecto para modelar la prueba en torno a los requisitos de la organización según los resultados que se intentan conseguir. Estos se acuerdan entre las partes interesadas: el cliente y un miembro (o miembros) experimentado del equipo de pruebas de penetración. Esto da lugar a un alcance de proyecto que incluye:
- Objetivos de las pruebas de penetración y resultados empresariales deseados
- Sistemas, aplicaciones o infraestructura en el ámbito
- Metodología de las pruebas
- Lugar de la prueba (in situ/remoto)
- Duración del proyecto
- Confirmación de activos críticos y archivos sensibles
- Confirmación de cualquier exclusión
Una vez acordado el alcance del trabajo, el proveedor recomendará un plan de trabajo. Esto establece todas las expectativas para la prueba, incluido el coste.
2. Preparación
El equipo de gestión de la entrega del proveedor asignará un penetration tester al proyecto y programará el tiempo de trabajo. Los plazos, el acceso al sistema, los canales/frecuencia de comunicación y las medidas de seguridad acordadas se someterán a la aprobación del cliente. Esta aprobación proporciona la «autoridad para probar», es decir, el consentimiento oficial del cliente y de cualquier tercero necesario para que el proveedor comience las pruebas según lo acordado en el plan de trabajo.
Prueba
3. Reconocimiento
Como evaluación de seguridad ofensiva, las pruebas de penetración siguen a grandes rasgos la cyber kill chain. El tester comenzará realizando un reconocimiento para analizar los activos en cuestión. El reconocimiento implica el escaneado de la red y el mapeo de aplicaciones para crear un contexto e identificar posibles vulnerabilidades en los activos. Esta etapa es esencial para que el evaluador comprenda con precisión cómo están conectados los activos a la infraestructura más amplia de la organización y qué riesgo potencial plantean en ese contexto.
4. Pruebas manuales
Tras el reconocimiento, el pentester seleccionará las técnicas más adecuadas y diseñará una secuencia de ataque para alcanzar los objetivos descritos en el plan de trabajo. Esto puede implicar numerosas técnicas para explotar vulnerabilidades individuales dentro de los activos y encadenar vulnerabilidades para demostrar cómo se puede escalar una técnica. A diferencia del «red teaming», en el que la actividad se lleva a cabo de forma encubierta, los pentesters suelen trabajar abiertamente sin límite en los intentos que pueden hacer para comprometer el activo o activos.
Los enfoques utilizados por un pentester durante esta fase estarán ligados a la metodología de ataque, independientemente de que sus tácticas, técnicas y procedimientos (TTP) se hayan visto ejecutados in the wild. Esto permite a las organizaciones ver cómo podrían utilizarse contra ellas técnicas desconocidas y novedosas en un escenario de ataque real, aumentando el realismo de la prueba.
Ref: Definición de «TTPs» del MITRE
Revisión
5. Análisis de la prueba
Una vez finalizada la prueba, el pentester medirá su éxito y documentará sus conclusiones procesando los datos brutos para contextualizarlos de cara al cliente:
- Las técnicas empleadas y cómo lo hacen
- Una justificación del razonamiento en el que se basa el enfoque
- Cómo se traducen sus conclusiones en riesgo empresarial, así como en otros resultados empresariales relacionados con cliente
- Otras conclusiones sobre la arquitectura de seguridad global del cliente
Los objetivos esbozados en el ámbito de trabajo deben constituir la base de cualquier análisis y del informe posterior.
6. Informes
Un informe de pentesting contendrá normalmente la siguiente información:
- Una lista de las vulnerabilidades de seguridad identificadas, incluida una puntuación, normalmente basada en el Common Vulnerability Scoring System (CVSS)
- Una evaluación del nivel de riesgo creado por cada vulnerabilidad
- Sugerencias para remediar las vulnerabilidades (mediante reconfiguración, parches, etc.)
- Un análisis holístico de la seguridad informática general de la empresa
- Asesoramiento más amplio sobre gestión de vulnerabilidades
El trabajo de reparación posterior a una prueba normalmente queda fuera del alcance del pentesting. Sin embargo, si se incluyera la repetición de las pruebas, se debatiría cómo y cuándo debería llevarse a cabo.
¿Son seguras las pruebas de penetración?
Cualquier evaluación en vivo conlleva el riesgo de interrupción de los sistemas, pero puede gestionarse y reducirse. Durante las discusiones sobre el alcance, deben establecerse acuerdos sobre las precauciones necesarias para mantener la estabilidad y la seguridad, tales como:
- Actividades DoS/DDoS excluidas del ámbito de trabajo
- Ejecución de exploits inestables después de haber recibido la debida aprobación
- Pruebas en plataformas de desarrollo o de ensayo.
Tipos de penetration testing
Las pruebas de penetración son un área enorme dentro de la ciberseguridad, por lo que hay muchas variables y enfoques.Sin embargo, el punto de partida de cualquier proyecto de pruebas es el objetivo, seguido del tipo de activo o entorno.
| Activo/entorno | Áreas típicas de evaluación |
|---|---|
| Pruebas de aplicaciones web y API |
|
| Pruebas de aplicaciones móviles |
|
| Pruebas de infraestructura (red) |
|
| Pruebas de infraestructura en la nube |
|
Las pruebas de penetración también se describen a veces en el contexto de las metodologías de caja negra, caja gris y caja blanca:
| Tipo | Ejecución | Beneficios/uso |
|---|---|---|
| Caja blanca (caja abierta) | El pentester tiene pleno acceso a la información sobre el activo/entorno objetivo. | Permite que una prueba utilice tantos vectores de ataque como sea posible. Ejemplo de uso: intentar comprender los riesgos asociados a la implantación de una nueva herramienta. |
| Caja gris (colaborativa) | El pentester recibe información limitada, como las credenciales de inicio de sesión de un usuario. | Equilibra realismo y eficacia eliminando algunas partes del proceso. Ejemplo de uso: simular cómo atravesaría la red un atacante que ha conseguido robar las credenciales de un usuario. |
| Caja negra (caja cerrada) | El pentester no tiene conocimiento previo de los activos objetivo. La prueba se basa en los resultados de su reconocimiento inicial. | Imita un ataque de la forma más realista. Ejemplo de uso: calcular el perfil de riesgo global de la organización en función de la susceptibilidad de sus activos críticos a la explotación. |
Para garantizar que se selecciona el tipo de prueba adecuado, el equipo de seguridad de una organización debe empezar con una mentalidad centrada en el riesgo y vinculada a un problema u objetivo empresarial. Durante la fase de alcance y planificación, esto ayudará al proveedor de pentesting a planear una hipótesis adecuada y construir una prueba en torno a ella.
¿Cuáles son los resultados de una prueba de penetración?
Una prueba de penetración tiene resultados a corto y largo plazo: algunos los proporciona el proveedor de la prueba y otros requieren la actuación de la organización del cliente y su equipo.
El informe del proveedor debe ayudar a la organización a comprender en qué aspectos la seguridad no se ajusta a determinadas normas o necesidades empresariales. Algunas de las ideas y recomendaciones que pueden proporcionarse son:
- Una lista de vulnerabilidades, clasificadas por riesgo, impacto y gravedad, de modo que puedan desplegarse las medidas adecuadas para detenerlas.
- Una idea de cómo los hallazgos se traducen en riesgo empresarial, de modo que puedan desarrollarse estrategias para mejorar la resistencia cibernética a través de medidas de ciberseguridad.
- Amenazas que pueden existir ya en un patrimonio, y cómo identificarlas y erradicarlas.
A largo plazo, las organizaciones pueden gestionar estos hallazgos como parte de los programas de gestión de vulnerabilidades y riesgos.
Si quieres obtener más información, te invitamos a explorar nuestros servicios de penetration testing y continuous security testing.