Lecturas 08
Lecturas 08
Lecturas 08
La ciberseguridad cada día va cobrando más importancia y con ello surgen nuevos métodos para
reforzar las defensas de los sistemas operativos y el software empresarial. Así que si quieres evitar
los ciberataques en tu pequeña, mediana o gran empresa, y conocer las vulnerabilidades de tu
sistema para poder optimizarlo, es importante que conozcas el Pentesting.
¿Qué es Pentesting?
El Pentesting es un test de penetración que valora los posibles fallos de seguridad
informática que puede tener un sistema y qué alcance tienen dichos fallos. Es el resultado
de unir dos conceptos: penetration y testing.
Los resultados obtenidos se trasladan a un informe que será entregado a la empresa para
que con ello puedan implementar mejoras y reforzar su ciberseguridad.
Es un sistema muy eficaz para evaluar el nivel de eficiencia que tienen las defensas de la
empresa y aumentar su seguridad.
Recopilación y planificación.
Análisis de vulnerabilidades.
Modelado de amenazas.
Explotación del sistema.
Elaboración de los informes.
Recopilación y planificación
En esta primera fase se definen los objetivos del Pentesting, se determina qué
sistemas se van a abordar y qué métodos se emplearán para hacerlo.
Además, en algunos casos, en esta fase se intenta llevar al límite las defensas del
sistema para afinar aún más los resultados del pentest.
Elaboración de los informes
En esta fase es donde se cumple el objetivo final del Pentesting, que no es otro
que informar a la empresa de los resultados de un ataque simulado para que
pueda implementar mejoras y reforzar sus sistemas de seguridad.
Lo más habitual es emitir dos informes. Por un lado un informe técnico para los
administradores del sistema informático y por otro un informe ejecutivo para los
directivos de la empresa.
¿Conoces todas las consecuencias de los ciberataques?
Diferencias entre Pentesting y Análisis de
Vulnerabilidades
Como hemos visto en las fases del Pentesting, el análisis de vulnerabilidades es
solo una parte del mismo.
BurpSuite y Nessus son las pentesting tools más habituales y detectan puntos
débiles en sistemas o webs mediante un análisis en profundidad y contrastación
con amplias bases de datos.
Por último, comentar que existe la posibilidad de realizar Pentesting con Python,
lo que facilita el proceso por ser un lenguaje informático muy flexible,
multipropósito, potente y fácil de aprender.
Las empresas viven en un continuo peligro ante posibles ataques a sus sistemas
informáticos. En este contexto, a lo largo de los últimos años, la ciberseguridad ha
ido ganando importancia para ellas. Una de las técnicas que se emplean
en seguridad informática para combatir posibles ataques es el hacking ético. Esto
es, el testeo de los sistemas mediante ataques controlados para mejorar su seguridad.
El pentesting o prueba de penetración es una de estos exámenes.
En este artículo vamos a profundizar en qué es el pentesting, como se hace y para
qué sirve exactamente este tipo de prueba. Veremos como se trata de una de las
principales herramientas de los hackers éticos para testar los límit es de los sistemas
informáticos que deben proteger.
Por otro lado, también veremos cómo, si te interesa este campo, es necesario que te
formes, ya sea con un curso de Ciberseguridad, una especialización en Hacking
Ético o ambas. No obstante, de momento, vamos a ver qué es el pentesting o examen
de penetración en sistemas informáticos.
Tabla de contenidos
Para realizar este tipo de pruebas, las empresas y los responsables de ciberseguridad
suelen contratar a hackers éticos. Estos profesionales usan sus conocimientos de
piratería informática para buscar vulnerabilidades en los sistemas y, así, mejorar la
protección de los mismos. En este sentido, en este caso, se les conoce como
pentesters. Suelen ser profesionales externos y ajenos al desarrollo de la
aplicación o sistemas que se pretenden proteger. De esta manera es más fácil que
puedan exponer puntos ciegos no detectados por los desarrolladores.
Aunque lo ideal es que el software y la protección del lado del servidor estén
diseñados para eliminar posibles fallos de seguridad, los hackers de sombrero
negro siempre encuentran un lugar por el que poder entrar. Por ese motivo, la
contratación de hackers éticos para hacer tests de penetración está a la orden del día.
Además, el pentesting puede ayudar a las empresas en varios aspectos:
Encontrar vulnerabilidades y fallos en los sistemas informáticos.
Determinar cuan robustos son los controles de seguridad implementados en el
desarrollo de aplicaciones.
Ayudar en el cumplimiento de las normas de seguridad y privacidad de datos.
Proporcionar ejemplos cualitativos y cuantitativos del estado de seguridad actual
y, con ello, ayudar a determinar cuáles son las prioridades presupuestarias para su
gestión.
Para poder hacer un pentesting existen varios pasos que hay que seguir:
Por otro lado, para ejecutar este tipo de exámenes también existen una serie de
métodos que los pentesters deben conocer. De esta manera pueden aplicar el que
mejor se adapte a cada caso o aplicación en concreto. Te contamos cuáles son:
Externas
Su objetivo son los activos de la empresa que son visibles en Internet, ya sea la
aplicación web, la página o los servidores de dominio y correo electrónico. La idea
con el pentesting externo es obtener acceso a datos e información que pueda
considerarse valiosa. Sirve para detectar vulnerabilidades en el lado visible de las
aplicaciones y páginas web.
Internas
Se ejecutan desde la parte del servidor y sirven para detectar problemas en posibles
ataques maliciosos derivados de una suplantación de identidad por ataques de
phishing, entre otras posibilidades.
A ciegas
El hacker ético solo recibe el nombre de la empresa a la que tiene que atacar. Con un
pentesting a ciegas, los responsables de ciberseguridad de la empresa pueden tener
una visión en tiempo real de cómo se llevaría a cabo un ataque real a una aplicación
o página web.