Debido al incremento de ciberataques, así como, la llegada de ataques mucho más sofisticados, se ha visto la necesidad de intensificar la seguridad informática de los sistemas, con la aparición de nuevas soluciones de ciberseguridad para hacer frente a las brechas de seguridad y vulnerabilidades que aprovechan los ciberdelincuentes para atacar a una infraestructura IT .
Una de estas medidas es con técnicas de Pentesting y la figura del Pentester.
Pentesting es la abreviatura de dos palabras en inglés: “penetration” y “testing”. Una práctica que consiste en atacar diferentes entornos los sistemas con la finalidad de encontrar y prevenir posibles fallos, antes de que fallen realmente.
Es hacerse la típica pregunta retórica de: ¿Qué puede salir mal? Y hacer un listado de las posibilidades que tenemos. Por tanto, es tan sencillo como hacer una previsión de todo aquello que puede fallar en un sistema para encontrar medidas o soluciones que puedan prevenir o evitar estos fallos.
Por tanto, podríamos definir el Pentesting como: Testear o auditar un sistema para encontrar fallos de seguridad.
Y la persona encargada de hacer los test de penetración se llama Pentester.
El trabajo del Pentester para llevar a cabo el test o auditoría de seguridad en un sistema consta de varias fases:
Antes de empezar con el Pentesting, es importante que haga un análisis de los datos e información de la que dispone, y dependiendo de esta, el tipo de pentesting a realizar.
Existen varios tipos de Pentesting clasificados según el tipo de información que obtengamos de este test o auditoría.
Cuando se debe realizar un Pentesting de caja blanca, el Pentester suele formar parte del equipo de la empresa, por tanto, es un trabajador interno, y dispone y conoce todos los datos sobre el sistema: Estructura, contraseñas, IPs, Firewalls…
Al disponer de toda esta información, realizar este tipo de testeos es muy sencillo, puesto que se dispone de la información suficiente para saber exactamente qué mejoras se pueden realizar en la arquitectura del sistema.
Este es el tipo de Pentesting más real que se puede hacer, es decir, saber exactamente las brechas de seguridad y vulnerabilidades del sistema debido a que el Pentester no tiene apenas datos sobre la organización. Al estar en las mismas condiciones con las que se puede encontrar un ciberdelincuente (a ciegas total), este debe encontrar la manera de entrar en el sistema, por tanto, debe localizar las brechas de seguridad que puede haber para acceder a él.
Es una mezcla entre el Pentesting de Caja Negra y Caja Blanca. El Pentester posee algo de información sobre la empresa, la suficiente como para no partir de cero, pero es más real que el de Caja Blanca al no tener toda la información y tener la posibilidad de actuar como lo haría un ciberdelincuente.
Observar el entorno en el que trabaja la empresa, como por ejemplo las herramientas que utiliza o cómo proceden los empleados es importante, puesto que el factor humano es una de las principales causas de la entrada de malware en un sistema.
Qué herramientas y técnicas (ataques) se van a emplear para entrar en el sistema de la empresa y conocer sus vulnerabilidades.
Una vez atacado el sistema, es momento de realizar un informe informando del alcance e impacto de los fallos de seguridad, además de aportar información de mejora para solventar dichos fallos y errores.
En ESED, como especialistas en ciberseguridad y servicios IT, te ayudamos a encontrar las brechas de seguridad y vulnerabilidades de tus sistemas. Descubre cómo trabajamos con nuestro caso de éxito.
Para más información puedes contactar directamente con nosotros.