¿Qué es un pentest o prueba de penetración?

Descarga el PDF
Concept of a hacker programmer that analyze software

Cuando se trata de encontrar algún tipo de vulnerabilidad, alguna “fractura” que algún malintencionado pueda explotar a futuro para acceder a los sistemas de información de una compañía y robar datos sensibles, no hay nada más efectivo que las llamadas pruebas de penetración, o pentest.

Estas prácticas para probar la seguridad de una aplicación web —o de un sistema informático, un sistema de almacenamiento virtual o la misma red empresarial— se pueden automatizar con software o se pueden realizar manualmente.

El proceso incluye la recopilación de información, la identificación de posibles puntos de entrada (ya sea virtual o real), tiempo de reacción ante un ataque y, posteriormente, dar a conocer los resultados.

El principal objetivo de las pruebas de penetración es determinar las debilidades de seguridad. También puede ser utilizadas para probar el cumplimiento de la política de seguridad de una organización, poner a prueba la conciencia de los empleados y la capacidad de la organización para identificar y responder a los incidentes de seguridad.

PRUEBA DE PENETRACIÓN A LA CARTA

A veces estos test son llamados “ataques de sombrero blanco”, pues pueden diseñarse como pruebas de intrusión, donde hackers “buenos” son contratados para tratar de entrar y romper los códigos de seguridad para mostrar vulnerabilidades.

Hay pruebas específicas que llevan a cabo el equipo de TI de la organización y el equipo contratado trabajando juntos. También hay las pruebas externas, donde un ataque se dirige a distancia hacia servidores u otros dispositivos resguardados. El objetivo es averiguar si un atacante puede entrar a distancia y hasta dónde puede llegar una vez que han obtenido acceso.

Las pruebas a ciegas son otro método, que simula acciones y procedimientos de un atacante real, limitando severamente la información que se da la persona o equipo que realizará la prueba de antemano. Por lo general, sólo se puede dar el nombre de la empresa. Debido a que este tipo de test puede requerir una cantidad considerable de tiempo para el reconocimiento, puede ser caro.

Finalmente existen también las llamadas pruebas de penetración de “doble ciego”, que suma la característica anterior de test, pero lo lleva un paso más allá. En este tipo de trabajos para conocer los peligros que puede enfrentar una compañía, sólo una o dos personas dentro de la organización podrían ser conscientes de que se está llevando a cabo un ataque simulado.

Normalmente este grado de test es útil para poner a prueba la supervisión de seguridad de una organización e identificación de incidentes, así como sus procedimientos de respuesta. Su objetivo es conocer cómo reaccionar y medir el tiempo en que se responde ante una emergencia.

En conclusión, las pruebas de penetración son valiosas para todas las empresas que trabajan en internet, y deben ser recurrentes para mejorar constantemente la cultura de la seguridad, además de contar con el software y una estrategia necesaria frente a la ciberdelincuencia que crece en el país.

Vale señalar que según la editorial Springer International Publishing AG Switzerland, México ya está dentro del Top Ten de los países más atacados en internet, pues sólo en 2015 se contabilizó 13% de los servidores empresariales vulnerados y un promedio de 7.96 ataques por servidor.

En su reporte para el año pasado, esta compañía mencionó que las naciones más vulnerables hoy en día son India, Corea del Sur, Arabia Saudita, China, Malasia, Rusia, Turquía, Tailandia, Filipinas y México.

De ahí la importancia de contar con este tipo de prueba de penetración, para protegerse mejor.