¿Sabes qué es un pentesting y como ayuda a tu empresa?
Iñigo Ladrón Morales.jpg)
Si no has oído hablar antes de ello, quizá te suene a chino este término, pero es una excelente manera de verificar el estado de seguridad real de la empresa e identificar las vulnerabilidades y otros problemas de seguridad por donde ésta podría ser atacada, con el objetivo de corregirlos y estar mejor protegidos.
Quizá hayas oído hablar de él como test de penetración (penetration + testing) e incluso como hacking ético, aunque este último término guarda algunas pequeñas diferencias con el pentesting.
El pentesting consiste en el “intento de penetración o acceso”, intencionado, pero sin un objetivo malicioso, a los sistemas informáticos de una organización, para desvelar posibles problemas de seguridad y poder tomar medidas.
Así, un servicio de pentest busca y analiza todos los posibles agujeros y fallos de seguridad informática que puede tener un determinado sistema (la web, aplicaciones corporativas, etc.), valorando también su criticidad, alcance, y el posible impacto en caso de que alguien consiguiese explotar dichas vulnerabilidades.
Sin embargo, el hacking ético va un poco más allá completando al pentesting, puesto que, no sólo se centra en la localización e identificación de vulnerabilidades, sino que, una vez encontradas, su siguiente objetivo es la explotación de dichas vulnerabilidades, como si de un ciberataque provocado por un ciberatacante se tratase.
Un ejercicio de pentest puede plantearse de dos modos:
- Focalizándose en el análisis y la detección de vulnerabilidades y riesgos en la superficie corporativa que se encuentra expuesta en Internet, lo que se denomina pentest externo.
- O centrándose en la búsqueda de agujeros de seguridad en la red corporativa y en las actividades que podía llevar a cabo un atacante que haya conseguido entrar en ella, o incluso un insider que trabaje en la organización, lo que se conoce como pentest interno.
Por otro lado, existen tres tipos de pentests:
- De caja negra, donde no se cuenta inicialmente con ningún tipo de información acerca de la empresa ni de los sistemas informáticos de la misma que van a ser analizados (black box pentesting).
- De caja blanca, donde se cuenta inicialmente con toda la información posible acerca de la empresa y de todos los sistemas informáticos de la misma que van a ser analizados (white box pentesting).
- De caja gris, que es una mezcla de los dos anteriores, donde se cuenta inicialmente con información parcial o incompleta de la empresa y de los sistemas informáticos de la misma que van a ser analizados (grey box pentesting).
Este tipo de servicios de seguridad ofensiva debe de ser prestado por expertos en ciberseguridad que aplican sus amplios conocimientos y experiencia, siguiendo un plan de actuación concreto y unos determinados pasos, de forma metódica:
- En primer lugar, su objetivo es localizar toda la información posible sobre la empresa y sobre cada uno de sus sistemas de informáticos, a modo de descubrimiento de objetivos.
- En segundo lugar, encuentran las vulnerabilidades que estén afectando a dichos sistemas.
- En tercer lugar, analizan las vulnerabilidades encontradas y cómo podrían afectar a los sistemas informáticos y a la empresa.
- Si se trata de un hacking ético, se dedican a la explotación de vulnerabilidades encontradas.
- Y, finalmente, preparan un informe de conclusiones y recomendaciones, para solventar todos los problemas encontrados.
¿Conoces nuestros servicios de pentesting? ¿Podemos ayudarte?
Puedes ampliar detalles sobre nuestros servicios de Pentesting visitando la página de Zerolynx.
Si lo prefieres, contáctanos y hablamos.
