¿Qué es el Pentesting y por qué necesitas un hacker ético en tu empresa?

0
53

El pentesting o pruebas de penetración son ataques planeados y controlados hacia los sistemas de información, portales web y redes empresariales con la intención de encontrar sus debilidades y vulnerabilidades. Estas pruebas comprenden desde el análisis de dispositivos físicos y digitales, servicios lógicos hasta el factor humano utilizando Ingeniería Social. Estas pruebas son diseñadas para clasificar y determinar el alcance y repercusión de dichos fallos de seguridad y como resultado, las empresas pueden obtener una idea bastante clara de los peligros y riesgos a los que se enfrentan.  Los pentesters, como son llamados, utilizan software y métodos manuales para hacer un primer reconocimiento, recolectando información del negocio tal como lo haría algún criminal cibernético.  Después de esto, identifican puntos de entrada vulnerables y finalmente, abren una brecha en el sistema y reporta como lo hicieron.

Algo que debe quedar muy claro es que, durante una prueba de penetración, los sistemas o la información no es afectada, simplemente se intenta ingresa a los sistemas para probar las defensas de la organización. El punto clave es que, si el pentester hackea las defensas actuales o encuentra vulnerabilidades, te da la oportunidad de cerrar el agujero de seguridad o corregir el problema antes de que un ciberdelincuente lo descubra y tome ventaja.

De manera general, las fases al realizar un pentesting son:

  • Fase de definición de alcance:En esta etapa, se define en qué va a consistir esta prueba de penetración, se describen cuales son los servicios críticos de la empresa y qué escenario supondría un mayor riesgo para su operación. Para algunos puede ser más crítico que el sitio web estuviera abajo y para otros que se roben información de sus sistemas.
  • Fase de recolección de información:En esta etapa se utilizan arañas y scanners para obtener toda la información posible de la empresa, de cierta manera se utilizan las mismas herramientas que un ciberdelincuente usaría para obtener información de tus sistemas de información y redes.
  • Fase de modelado de la amenaza:A partir de la información recolectada, se debe pensar como si uno fuera un ciberdelincuente y definir cual sería nuestra estrategia de penetración con base en los puntos débiles identificados en nuestro análisis inicial.
  • Fase de análisis de vulnerabilidades:Con base en el modelado de la amenaza, se identifican proactivamente las vulnerabilidades que pudieran ser más fácil de explotar.   El 90% de los ataques a redes empresariales son muy similares así que se analiza de que forma otros ataques han sido exitosos y de cómo estos escenarios podrían ser utilizados en nuestra contra.
  • Fase de explotación:En esta etapa, se intenta conseguir acceso a los sistemas ejecutando exploits contra las vulnerabilidades identificadas en las etapas anteriores, en este punto en realidad estamos simulando un ataque de un ciber delincuente estableciendo límites para no causar daño alguno a nuestros sistemas o información.
  • Fase de post-explotación:En esta fase tratamos de conseguir el máximo nivel de privilegios, información de la red y acceso al mayor número posible de sistemas identificando que datos y/o servicios tenemos a nuestro alcance. En todo momento, el atacante tiene claro que no debe realizar daño alguno y que se garantizará la confidencialidad de la información.
  • Fase de informe:Al final de la prueba de penetración, se genera un reporte con todos los hallazgos encontrados, se muestran las vulnerabilidades, se priorizan y se dan recomendaciones de qué acciones tomar. Se debe generar un reporte tanto para la alta dirección de la empresa como uno más técnico para el personal especializado del área de tecnología de información.

En resumen, si quieres conocer que tan efectivos son tus sistemas de seguridad y qué tan preparado estas ante un ataque cibernético, sin lugar a duda debes realizar una prueba de penetración. Si quieres conocer más acerca de las vulnerabilidades y posibles riesgos que actualmente corre tu empresa, contáctanos a través del correo electrónico contacto@tbsek.mxy con gusto podemos ayudarte a realizar un pentesting para tu empresa.