¿Qué es el Pentesting y cuáles son sus fases?

Cada día hay más ciberamenzas, superando las 350mil denuncias por ciberdelitos en España durante el 2023 según los datos más recientes de Statista. En este sentido, debemos conocer el modus operandi de los hackers y protegernos.

Ya seas un particular, una pyme o una gran multinacional, todas tus operaciones pasan por un sistema informático. El trabajo de los ciberdelincuentes es detectar las vulnerabilidades de tu sistema y buscar formas para explotarlas y acceder a datos confidenciales, datos financieros, interrumpir operaciones o causar daños.

De esta situación de ciberamenazas crecientes, nace el Pentesting, una herramienta para adelantarse a los ciberdelincuentes y blindar el sistema.

¿Qué es el Pentesting?

El Pentesting, o test de penetración, es una técnica informática que simula una ataque cibernético aplicado en sistemas, redes o apps, con el fin de detectar e identificar vulnerabilidades. Una vez detectadas, los Pentesters entregan un informe con el listado de las vulnerabilidades para que la entidad pueda mejorar y reforzar su ciberseguridad.

¿Cuáles son los tipos de Pentesting?

Dependiendo del grado de conocimiento que tenga el Pentester sobre el sistema a atacar, se diferencias 3 tipos de Pentesting:

Pentesting de caja blanca

El Pentesting de caja blanca o White Box Pentesting, es un tipo de test en el que el pentester tiene todo el conocimiento sobre el sistema que quiere penetrar. Es decir, tiene acceso al código fuente, documentación del sistema, contraseñas, y cualquier tipo de información sobre la infraestructura.

Este tipo de test es complejo y toma más tiempo debido a su profundidad. Al final, el pentester tiene mucha más información que la que un potencial hacker podría tener, por lo que puede encontrar vulnerabilidades ocultar y mejorar mucho la ciberseguridad del sistema.

Pentesting de caja negra

El Pentesting de caja negra o Black Box Pentesting, es un tipo de test en el que el pentester tiene acceso a la misma información a la que podría acceder un hacker. Es decir, se trata de un test con un enfoque más realista y práctico, dónde además de ser más rápido, simula perfectamente la forma de pensar, y la forma de buscar vulnerabilidades que ejecutaría un hacker.

Pentesting de caja gris

El Pentesting de caja gris o Grey Box Pentesting, es un tipo de test que mezcla los dos anteriores. Es decir, el pentester tiene un conocimiento parcial del sistema (incluyendo información clave) por lo que puede realizar una ataque con externo que simula el enfoque de un hacker junto con un análisis interno fruto de tener ese conocimiento inicial.

¿Cuáles son las fases del Pentesting?

El Pentesting consta de cinco fases:

• Reconocimiento
• Análisis de vulnerabilidades
• Modelado de amenazas
• Explotación del sistema
• Elaboración del informe

Fase 1: Reconocimiento

En esta fase se estudio el objetivo y se realiza una recolección de información pública sobre él. El pentester aplica dos tipos de reconocimiento:

• Reconocimiento activo: Este reconocimiento deja un rastro digital ya que el pentester interactúa con el sistema objetivo. Por ello, muchas veces se necesitan permisos y accesos.
• Reconocimiento pasivo: Este método no deja ningún rastro sobre la recolección de información del objetivo, es decir, recolecta información del sistema sin llegar a interactuar con él.

Fase 2: Análisis de vulnerabilidades

Tras recoger toda la información sobre el objetivo, el auditor realiza un análisis de las vulnerabilidades. Para esta parte, el auditor normalmente se apoya en herramientas como Nmap, SubFinder o Dnsrecon que le ayudan a realizar el análisis o escaneo de una forma muy rápida. Cabe destacar que se necesita autorización del sistema para aplicar estos softwares.

Fase 3: Modelado de amenazas

Esta fase se centra en identificar las amenazas que podrían poner en riesgo al sistema. El auditor estudia posibles escenarios en los que un ciberdelincuente podría explotar vulnerabilidades ya detectadas. Con esta información, el auditor puede clasificar las amenazas en función de su potencial impacto y su probabilidad con el fin de darle una puntuación en cuanto al riesgo de la amenaza en cuestión.

De esta forma, el auditor puede crear un mapa de riesgos que ayude más tarde al equipo de ciberseguridad a dar prioridad a estructurar las amenazas y solucionarlas en un ordene específico.

Fase 4: Explotación del sistema

En esta fase ocurre el verdadero ataque, es decir, el pentester simula cómo un hacker aprovecharía para atacar la vulnerabilidades encontradas en tres pasos:

Obtención de acceso

El pentester utiliza la lista de vulnerabilidades identificadas e investiga qué tipo de exploit (software diseñado para obtener acceso a través de un fallo informático concreto) podría utilizar para acceder al sistema. Una vez encuentra y ejecuta el exploit, tiene acceso al sistema por lo que puede empezar a ejecutar su ataque.

Este paso es importante dado que revela cuánto de fácil o difícil es acceder al sistema así como los tiempos y las principales dificultades.

Mantenimiento del acceso

Como haría cualquier hacker, después de acceder al sistema necesita garantizar un tiempo mínimo de acceso que le permita encontrar y extraer la información de busca, o insertar el malware. Es decir, el auditor establece persistencia en el sistema. A veces también se crean “puertas traseras” que permiten un acceso continuado.

Este paso aporta información sobre la capacidad que tiene el sistema de detectar intrusos, los tiempos de reacción, etc.

Borrado de huellas

Tras simular el ataque, esta fase busca eliminar todo rastro o evidencia que pueda delatar al ciberatacante. Es decir, se busca eliminar la huella digital que haya podido quedar almacenada en el proceso del ataque.

Fase 5: Elaboración del informe

Una vez termina la simulación, viene la parte más importante, pues aquella por la que las pymes y multinacionales pagan. Se trata del informe detalladas que describe las vulnerabilidades encontradas, el nivel de riesgo de cada una, y las recomendaciones para solucionarlas.

Al final, el equipo de ciberseguridad interno de la entidad utilizará esta guía para reforzar la ciberseguridad del sistema y tomar decisiones sobre la prioridad en la que se arreglarán los fallos, e incluso decidir cuáles dejarán sin solucionar porque son muy poco probables o tomaría muchos recursos solucionarlos.

Un buen informe de Pentesting es un listado de problemas, sino más bien uno de soluciones. Es decir, se entrega un plan de acción estructurado para mejorar su ciberseguridad y reducir la exposición a futuros ataques.

Pentesting vs Análisis de vulnerabilidades

Es común confundir el análisis de vulnerabilidades con un ataque de penetración ya que ambos tienen cómo objetivo identificar las debilidades de un sistema. Sin embargo, el análisis de vulnerabilidades sólo es una fase más dentro del test de penetración.

Veamos algunas diferencias:

• Alcance: El análisis de vulnerabilidades se enfoca en detectar y listar las vulnerabilidades de un sistema, pero no las explora ni las utiliza para simular un ataque real como sí haría un test de penetración.
• Metodología: El análisis de vulnerabilidades es un proceso más automatizado y puede realizarse mediante herramientas que escanean el sistema y generan un informe preliminar. El Pentesting, sin embargo, requiere de un auditor que no solo emplea herramientas, sino que también aplica conocimientos, técnicas y análisis avanzado para simular ataques reales.
• Resultado: El análisis de vulnerabilidades es un proceso rápido que ofrece una lista de posibles fallos de seguridad, pero no permite entender el riesgo de cada vulnerabilidad. Por otro lado, el test de penetración sí que proporciona un análisis profundo y detallado del riesgo de cada vulnerabilidad así como recomendaciones para solucionarlas.

El análisis de vulnerabilidades es ideal para ejecutarlo de forma periódica y revisar la seguridad del sistema. No obstante, es recomendable utilizar el pentesting para identificar el peligro de cada vulnerabilidad y dar un mapa de actuación al equipo de ciberseguridad.

Si quieres saber más sobre hacking y asegurarte de proteger tu empresa, te recomendamos nuestro Ebook sobre amenazas internas.