Una guía sobre pruebas de penetración
Pentesting o pruebas de penetración o pen testing manual
Las pruebas de penetración
son una técnica de evaluación en la que
hackers éticos
simulan ciberataques reales en un sistema con el permiso
de su propietario para determinar su seguridad.
Este artículo del blog te ofrecerá los conceptos básicos
sobre las pruebas de penetración,
junto con enlaces útiles a otros artículos
en los que profundizamos en cada tema.
¿Quién realiza las pruebas de penetración?
Las pruebas de penetración son realizadas por personas altamente cualificadas
que tienen experiencia en buscar, identificar,
explotar y reportar vulnerabilidades en los sistemas de información.
Aunque la actividad de pen testing
puede realizarse con buenas o malas intenciones,
el término se utiliza universalmente
para referirse a la práctica legal y bienintencionada.
El experto que realiza las tareas de pentesting,
cuyo fin último es proteger los sistemas informáticos,
puede denominarse de varias maneras, entre ellas, “pen tester“,
“hacker ético”
o “analista de seguridad”.
En este artículo los utilizaremos indistintamente.
Los pen testers pueden o no tener educación y capacitación formales.
Pueden haber obtenido un diploma en informática o ingeniería,
o completado un programa de estudios sobre ciberseguridad.
Pueden haber obtenido certifications
como OffSec Certified Professional (OSCP)
o incluso Offensive Security Exploitation Expert (OSEE).
O puede que no.
La única condición para ser un pen tester es demostrar efectivamente
que se posee conocimientos de ciberseguridad utilizándolos
de forma creativa para eludir las defensas de seguridad.
¿En qué se diferencian las pruebas automatizadas del pen testing?
Mientras que las pruebas de penetración las realizan seres humanos,
las pruebas automatizadas consisten en el uso de herramientas
para conocer detalles sobre el estado de seguridad
de un sistema informático y ayudar a mejorarlo.
Ambos tipos de pruebas son útiles,
y aconsejamos utilizarlas al mismo tiempo para obtener los mejores resultados,
aprovechando la velocidad de la automatización
y la precisión de las revisiones manuales.
A continuación presentamos una breve comparación entre pen testing
y las pruebas automatizadas:
-
Tipos de vulnerabilidades: Las pruebas de penetración son
más adecuadas para encontrar fallas en la lógica del negocio,
problemas con el manejo de datos
(p. ej., los que permiten ataques de secuencias
de comandos en sitios cruzados (XSS) e SQL injection)
y vulnerabilidades de control de acceso.
Las pruebas automatizadas encuentran vulnerabilidades
conocidas que suelen tener un impacto más leve si se explotan. -
Precisión: Los resultados de las herramientas tienen
altos índices de falsos positivos
(es decir, a menudo alertan erróneamente de vulnerabilidades),
y estas muestran altos índices de falsos negativos
(es decir, a menudo no detectan vulnerabilidades).
Por el contrario,
los hackers verifican que estén reportando problemas reales y,
gracias a su habilidad, pueden encontrar vulnerabilidades
que las herramientas no pueden. -
Explotación: Los hackers, a diferencia de las herramientas,
crean exploits personalizados
(p. ej., cadenas de código que permiten aprovecharse de una vulnerabilidad)
para averiguar con mayor precisión qué impacto pueden tener
los problemas detectados en la disponibilidad,
confidencialidad e integridad de la información.
Es más, los hackers combinan vulnerabilidades
para saber cómo podría un adversario lograr
el mayor impacto en el sistema informático. -
Tiempo para empezar a obtener resultados: Los escaneos de vulnerabilidades
son más rápidos que las revisiones manuales,
por lo que generalmente una herramienta comenzará
a reportar vulnerabilidades antes que un hacker. -
Recomendaciones de remediación: Los consejos de los hackers
pueden ser normalmente más detallados
y efectivos que los que dan las herramientas.
Por cierto, las pruebas de penetración también se conocen
como “pentesting manual” (MPT).
De hecho, hemos publicado
nuestra posición sobre las
“pruebas de penetración automatizadas”
(APT, por sus siglas en inglés),
y es que en realidad todavía no existen:
MPT es el único tipo de pruebas de penetración,
ya que solo los humanos pueden realizar
y lograr lo que se espera con esta técnica de pruebas de seguridad.
Diferencia entre la evaluación de vulnerabilidades y el pentesting
Mientras que la evaluación de vulnerabilidades
es el nombre que se da a la evaluación sistemática
de la seguridad de los sistemas informáticos y, por lo tanto,
responde al “qué”, las pruebas de penetración
se refieren a una metodología de evaluación específica y,
por tanto, responden al “cómo”.
Es inútil intentar compararlas.
En cambio,
pueden resultar útiles comparaciones como la del apartado anterior,
entre dos metodologías de evaluación de vulnerabilidades.
Una vez más,
recomendamos utilizar tanto pruebas de penetración
como pruebas automatizadas,
ya que esto ayudará a lograr evaluaciones de vulnerabilidades completas.
¿Por qué es importante el pentesting?
Toda organización que disponga de activos con acceso a Internet
está automática y constantemente expuesta
a los ataques de los ciberdelincuentes.
La actividad de los hackers maliciosos,
especialmente de las amenazas persistentes avanzadas
y los grupos de ransomware,
está creciendo tanto que cada año se bate
el récord anterior de gastos en ciberdelincuencia.
A lo largo de 2024,
este gasto será probablemente de 302.000 USD por segundo.
Conscientes de los riesgos,
las organizaciones de todo el mundo están
aplicando pruebas de seguridad.
Algunas de ellas se limitan a buscar herramientas para probar su tecnología.
Y usar herramientas está bien,
pero no es suficiente.
Incluso disponer de más de 50 herramientas
no garantiza a esas organizaciones que vayan a sentirse
mejor preparadas para detectar y responder a los ataques.
Lo que necesitan es ver la seguridad de su tecnología
a través de los ojos del atacante.
Las pruebas de penetración son importantes
porque someten la tecnología a simulaciones de ataques realistas.
Los hackers éticos que las realizan están al día de los cambios
en el panorama de las amenazas
y son tan capaces como los hackers malintencionados
de encontrar vulnerabilidades críticas para las empresas,
ya que utilizan las mismas técnicas
y conocen la forma de pensar de los ciberdelincuentes.
Que las organizaciones realicen pen tests en sus sistemas
puede hacerlas menos vulnerables a los ataques.
Lo vemos con frecuencia,
ya que nuestros reportes anuales muestran repetidamente
que las revisiones manuales descubren la mayor parte
de la exposición al riesgo de los sistemas de nuestros clientes.
Por ejemplo, en nuestro State of Attacks 2023,
exponemos que fueron los hackers éticos los que informaron
del 72% de las vulnerabilidades críticas en los sistemas evaluados
por ellos y las herramientas.
Por lo tanto, el pentesting contribuye significativamente
a que las organizaciones tengan una visión más realista
de su ciberseguridad tecnológica.
¿Cuánto acceso se da a los pen testers?
Como veremos en la siguiente sección,
los pen testers primero llegan a acuerdos
con sus clientes sobre los términos de las pruebas.
Uno de los factores es la información
inicialmente disponible para los hackers.
Las distintas decisiones al respecto se han clasificado
en tres categorías ampliamente conocidas en el sector.
A veces incluso se hace referencia a estas categorías
como tipos de pentesting, sin embargo,
no las utilizaremos en este sentido.
Pentesting de caja negra
Este término (en inglés, black box pentesting)
se utiliza para referirse a la situación en la que la organización
no comparte con el hacker el código fuente,
la estructura y el funcionamiento interno
del producto de software que se va a atacar.
El analista de seguridad comienza su abordaje, entonces,
como podrían hacerlo muchos actores de amenazas.
Tendría que utilizar sus habilidades
para obtener la información básica que necesita,
y realizaría sus ataques contra el software en ejecución.
De este modo, los pen tests llevarán más tiempo
y probablemente detectarán menos vulnerabilidades
que si se realizan en las situaciones descritas a continuación.
Pentesting de caja gris
En este caso (conocido en inglés como gray box pentesting),
la organización comparte cierta información con
el hacker sobre el funcionamiento interno del objetivo,
pero retiene el código fuente.
Pentesting de caja blanca
La organización comparte el código fuente con el hacker,
así como otros recursos que pueden ayudar
a realizar las pruebas aportando contexto.
El analista de seguridad puede entonces añadir
la revisión de código
a sus tareas,
que también incluyen atacar el producto de software
mientras está en ejecución.
Este acuerdo (conocido en inglés como white box pentesting)
da los mejores resultados,
ya que el hacker puede progresar con mayor rapidez
y tiene más posibilidades de encontrar todas las vulnerabilidades.
Etapas de las pruebas de penetración
Aunque no existe un estándar aceptado universalmente
sobre cómo realizar pruebas de penetración,
podemos nombrar algunas etapas o fases que suelen seguir los hackers.
Ten en cuenta que el pentesting implica mucha creatividad
y se adapta a las características
del objetivo de evaluación (en inglés, ToE) específico.
Por eso, las descripciones que ofrecemos aquí pretenden
darte una idea general de en qué consiste esta técnica.
Planificación y reconocimiento
La actividad de pen testing comienza con una fase de planificación.
La organización dueña del software determina
el alcance de la evaluación con el pen tester,
teniendo en cuenta las políticas y estándares de seguridad pertinentes,
así como lo que está dispuesta a compartir sobre el software.
Estos acuerdos forman parte de lo que se conoce como “reglas de compromiso”
(ROE, por sus siglas en inglés).
En consecuencia,
el pen tester comienza a definir qué estrategias seguir
y qué métodos utilizar en función de sus conocimientos y experiencia.
Lo más habitual es que el hacker comience a recopilar datos sobre el ToE,
ya que el pentesting es un tipo de prueba de seguridad muy contextual.
Por supuesto,
si tiene acceso al código fuente y/o a la documentación,
le resultará muy útil.
En cualquier caso, recurre a diversos medios para conocer el producto.
Una posible vía para ellos es el reconocimiento pasivo.
El hacker recurre a Google,
las redes sociales y otros sitios para recopilar información
sin tener contacto directo con el objetivo.
El reconocimiento activo puede venir después.
Implica una interacción directa
para conocer cuál es la tecnología utilizada por el ToE
y qué posibles vectores de entrada y ataque existen.
Escaneo y análisis de vulnerabilidades
Los pen testers pueden utilizar herramientas
para seguir recopilando información.
Pueden escanear parte del ToE con herramientas gratuitas para averiguar,
por ejemplo, sus versiones de software y bases de datos,
componentes de terceros y tipos de hardware.
Estos profesionales disponen de un amplio espectro de opciones.
Basta con echar un vistazo
al marco OSINT para hacerse una idea.
Digamos que el hacker utiliza la herramienta Zenmap.
Este programa les ayudará a realizar un escaneo de puertos
para reconocer cuáles están abiertos y los servicios
y sistemas operativos con los que están relacionados.
Además, el hacker puede utilizar herramientas de enumeración
(p. ej., Angry IP Scanner,
Cain and Abel,
SuperScan),
que le ayudan a averiguar los servidores, dispositivos,
carpetas, archivos, usuarios, etc., dentro del ToE.
Otras herramientas ayudarán al pentester
a buscar vulnerabilidades de seguridad.
Si ya se le dio acceso al código fuente
(o lo obtuvo por su cuenta),
puede utilizar una herramienta
de pruebas de seguridad de aplicaciones estáticas
(SAST) para buscar código inseguro.
Por ejemplo,
utilizando Gitleaks,
puede saber si hay secretos expuestos y datos sensibles en repositorios Git.
También existe el escaneo de vulnerabilidades
que no necesita el código fuente.
Una herramienta
de pruebas de seguridad de aplicaciones dinámicas
(DAST) podría ser útil,
ya que evaluaría el software en ejecución desde el exterior,
simulando el uso real. Por ejemplo, los hackers
pueden elegir Burp Suite Professional,
si el ToE es una aplicación web,
para encontrar fallas y ayudarles con la explotación de dichas fallas.
Aunque la automatización es estupenda para progresar con rapidez,
depende del experto en hacking hacer su propia revisión del código
y atacar teniendo en mente la lógica de negocio,
así como combinar las vulnerabilidades para lograr
un impacto mayor que el que sería posible de otro modo,
superando así a cualquier herramienta.
Ya que tendrá que reportarlo,
el hacker necesita calcular el impacto de cada vulnerabilidad
considerando factores como el escenario de ataque,
la dificultad de explotación, los privilegios requeridos,
el efecto en la disponibilidad,
confidencialidad e integridad de los recursos de información gestionados
por el producto de software,
y la influencia en cualquier sistema cercano.
Obtener acceso mediante la explotación
El pen tester es capaz de idear exploits personalizados
o encontrar algunos ya en uso para obtener acceso
y alcanzar objetivos de alto valor en su ToE.
Pueden utilizar una herramienta como Metasploit
para ayudarles a desarrollar dichos exploits y realizar sus ataques.
Durante esta etapa,
el hacker se centra en los ataques de XSS e inyección SQL,
entre otros, con los que puede evadir los controles de seguridad.
Habiendo, por ejemplo,
capturado una cuenta de usuario,
pueden trabajar para ver si es posible escalar privilegios
(es decir,
obtener permisos más allá de los asignados a la cuenta que están utilizando),
ver y transmitir datos sensibles, etc.
A partir de esta fase, se trata de demostrar
el impacto de las vulnerabilidades de seguridad.
Aunque el objetivo de los pen tests es encontrar vulnerabilidades
en los sistemas mediante ataques muy realistas,
el hacker ético puede asegurarse de que estos ataques
no detengan o interrumpan realmente las operaciones de la empresa objetivo.
En Fluid Attacks, por ejemplo,
nuestro equipo de hackers opera en “modo seguro”,
a menos que la empresa objetivo solicite lo contrario,
para que esta no deje de generar funcionalidades mientras
se realizan las pruebas de seguridad.
Conservar el acceso
Es habitual en las pruebas de penetración
que los hackers identifiquen las formas en las que pueden permanecer
más tiempo dentro del ToE una vez que tienen acceso.
Esto se hace para simular cómo los atacantes tienen
una presencia persistente en los sistemas de sus víctimas.
El analista de seguridad puede instalar un software clasificado
como “puerta trasera” (en inglés, backdoor).
Dicho programa les permite entrar remotamente en un servidor
o computador sin ser detectados.
Además,
pueden utilizar métodos cautelosos y algo lentos para extraer datos
sin ser advertidos y pueden manipular los registros
y archivos que tienen registros de su actividad.
Fase de análisis y elaboración de reportes
Los pen testers conocen las características
que hacen útiles a los reportes.
Son los que informan a los propietarios del ToE
qué secciones del ToE se evaluaron,
qué vulnerabilidades se encontraron y mediante qué métodos,
cómo explotaron los problemas de seguridad
(y cualquier POC (prueba de concepto)
en video puede constituir una gran prueba),
cuál es la exposición al riesgo que representa
cada una de ellas en función de su impacto,
cuánto tiempo pasaron dentro del ToE
y qué recomendaciones de remediación pueden dar.
Con toda esta información,
los dueños de los ToE deberían ser capaces de tomar medidas
para mejorar la seguridad de los sistemas en cuestión.
Conocimiento durante los pen tests
Nos gustaría abordar algunas situaciones que pueden pactarse en las ROE,
relativas al conocimiento que ambas partes aceptan tener durante las pruebas.
La siguiente clasificación de estas situaciones ha sido denominada
por otras fuentes como “métodos de pruebas de penetración”.
No utilizamos en ese sentido las categorías presentadas.
Pruebas focalizadas
Las partes acuerdan compartir todos sus movimientos.
Esto ayuda a la organización a implementar controles
de seguridad poco después de ser informada de las fallas asociadas.
Después, el equipo de hackers puede verificar si los esfuerzos
de la organización han sido eficaces y dar recomendaciones.
Pruebas ciegas
Las partes acuerdan que la empresa solo comparta su nombre.
Los hackers deben entonces proceder como lo harían hackers maliciosos
ajenos a la organización objetivo.
La organización aprendería si esta prueba de caja negra
puede encontrar problemas de seguridad en su tecnología.
Pruebas doble ciego
Las partes acuerdan que parte del equipo de seguridad
de la organización no sepa que se han solicitado pruebas de penetración.
Esto contribuirá en gran medida a que la operación sea lo más realista posible.
Los defensores de la organización no conocerán las horas
y los lugares de las intrusiones de los hackers,
ni estos últimos pedirán permisos.
Aconsejamos esta configuración para las operaciones
de red teaming.
¿Cuáles son los tipos de pruebas de penetración?
Las pruebas de penetración se clasifican en diferentes tipos.
No existe un consenso universal sobre qué clasificación utilizar.
Como lo hicimos en nuestro post “Los fundamentos de las pruebas de seguridad,”
hemos elegido aquí la que indica el objetivo de la evaluación.
Presentamos más información sobre
los tipos de pruebas de penetración
en otro artículo del blog.
Pen tests de aplicaciones
Los hackers éticos pueden realizar pentesting
en aplicaciones web
y móviles.
Esta metodología ingeniosa
puede detectar vulnerabilidades de seguridad complejas,
como fallas de inyección,
de lógica de negocio y de configuración de despliegue.
Las pruebas de penetración en aplicaciones web
pueden centrarse en los diez riesgos principales identificados
por Open Worldwide Application Security Project (OWASP),
pero también pueden ir más allá,
dependiendo de lo que haya requerido la organización en la fase de planeamiento.
De todos modos,
los siguientes son algunos requisitos de seguridad que se verificarían.
-
La aplicación define los usuarios con privilegios,
lo que garantiza que no se produzcan fallos en el control de acceso. -
La aplicación utiliza mecanismos preexistentes
y actualizados para implementar funciones criptográficas,
protegiéndose contra errores criptográficos. -
La aplicación descarta inputs inseguros
e incluye encabezados de seguridad HTTP,
protegiendo contra ataques de inyección
y de comandos en sitios cruzados (XSS). -
La aplicación utiliza componentes de terceros en sus versiones estables,
evaluadas y actualizadas,
lo que ayuda a proteger contra el uso de software
con vulnerabilidades conocidas. -
La aplicación requiere contraseñas y frases de contraseña largas,
lo que protege contra errores de identificación y autenticación. -
La aplicación controla los redireccionamientos
para que conduzcan a sitios de confianza,
lo que protege contra los ataques de falsificación de peticiones
del lado del servidor (SSRF).
Para buscar rápidamente vulnerabilidades web conocidas,
los expertos en pruebas de penetración
pueden utilizar escáneres de seguridad de sitios web
como Burp Scanner,
ffuf,
Nuclei
y Vega.
Una vez solucionados estos problemas,
los expertos pueden dedicar la mayor parte de su tiempo
a buscar las vulnerabilidades más complejas,
las cuales no pueden encontrar las herramientas.
El pentesting de aplicaciones móviles puede realizarse
en sistemas operativos como iOS, Android y Windows UI.
Al igual que con las aplicaciones web,
la autoridad es OWASP con su lista Mobile Top 10.
Los siguientes son algunos requisitos de seguridad importantes
para este tipo de ToE.
-
Solicitar autenticación multifactor.
-
No exponer los IDs de sesión en las URL y los mensajes presentados al usuario.
-
Desactivar o controlar las funcionalidades inseguras.
-
Mantener los protocolos de comunicación (como Bluetooth) ocultos,
protegidos con credenciales o desactivados. -
Cifrar la información sensible.
-
Tener roles con diferentes niveles de privilegio para acceder a los recursos.
-
No tener funciones, métodos o clases repetidos.
-
No permitir la inclusión de parámetros en nombres de directorios
o rutas de archivos. -
Ofuscar los datos si la aplicación no está activa.
-
No tener archivos sin verificar
(es decir, no incluidos en auditorías) en el código fuente.
Los hackers también pueden aprovechar la automatización
a la hora de evaluar este ToE.
Algunas herramientas para realizar tanto SAST como DAST automatizadas
en múltiples sistemas operativos
son MobSF
y Objection.
Pen tests para redes
En este tipo de evaluación, los pen testers simulan ataques
para ver si pueden penetrar en la red
(pruebas de penetración externas o pruebas externas)
y/o averiguar qué daños son capaces de causar mientras están dentro
(pruebas de penetración internas o pruebas internas).
En el primer caso,
el hacker puede realizar ataques ofensivos como
el password spraying (es decir, probar una contraseña predeterminada
con varios nombres de usuario en busca de una coincidencia)
y el credential stuffing
(en español, relleno de credenciales, es decir,
probar el acceso con credenciales violadas).
El pentesting interno implica diferentes acciones,
como los ataques man-in-the-middle
(es decir, interceptar y/o modificar los datos intercambiados
entre dos partes sin que estas lo sepan).
Los siguientes son algunos de los requisitos que verificaría el pentesting:
-
Los firewalls bloquean con éxito el acceso no autorizado.
-
La red es resistente a los ataques distribuidos de denegación de servicio (DDoS).
-
Los sistemas de detección y prevención de intrusiones identifican,
detienen, registran y notifican eficazmente los incidentes potenciales. -
Se utilizan controles seguros de acceso de usuarios.
-
La configuración de los segmentos de red es segura y estos están aislados.
-
Se utilizan mecanismos seguros de cifrado de datos.
-
La configuración de balanceadores de carga y proxies es segura.
-
Los dispositivos y sistemas de red están actualizados.
Pruebas de penetración en IoT y hardware
Los dispositivos inteligentes también pueden entrar
en el campo de las pruebas de penetración.
A continuación se enumeran algunos requisitos de seguridad
que los hackers pueden evaluar en este ToE.
-
El dispositivo restringe el acceso lógico a las interfaces locales
y de red únicamente a los usuarios, servicios o componentes autorizados. -
El dispositivo protege los datos que almacena y transmite del acceso,
la divulgación y la modificación no autorizados. -
El dispositivo tiene una configuración segura por defecto.
-
El dispositivo permite la creación de pares seguros
de nombre de usuario y contraseña. -
El dispositivo utiliza componentes actualizados
y dispone de un mecanismo seguro de actualización.
Pen tests para el personal
En algunos casos, por ejemplo,
cuando realizan tareas de reconocimiento,
los hackers pueden recurrir a
la ingeniería social.
Básicamente,
utilizarían técnicas de influencia, como la escasez de tiempo,
para persuadir a empleados desprevenidos
de que asuman riesgos de ciberseguridad.
Los ataques más comunes en estas operaciones incluyen
el phishing,
en el que el hacker se hace pasar por organizaciones
o personas fiables a través de correo electrónico para conseguir
que la persona objetivo comparta información,
instale malware, etc.
Tipos de herramientas de pruebas de penetración
Hemos hecho referencia a lo largo de este artículo
a algunas herramientas que utilizan los hackers.
Tenemos algunas listas a las que puedes acceder como referencia
en nuestro artículo principal sobre red teaming
y en el de hacking ético.
Para esta sección,
nos limitaremos a mencionar la clasificación
que se utiliza a menudo para estas herramientas.
-
Sniffers de red: Son herramientas que los hackers utilizan
a la hora de analizar la seguridad de la red,
ya que permiten monitorear los datos del tráfico
de red para conocer su origen y destino,
así como qué dispositivos se están comunicando en la red
y qué protocolos y puertos se utilizan.
Un ejemplo de estas herramientas es Wireshark. -
Descifradores de contraseñas: Los hackers pueden utilizar
estas herramientas para recuperar contraseñas,
por ejemplo, descifrando contraseñas cifradas,
utilizando la fuerza bruta (p. ej., password spraying)
y descubriendo contraseñas almacenadas en caché.
Un ejemplo de descifrador de contraseñas
es Cain and Abel. -
Escáneres de puertos: Los hackers pueden identificar puertos abiertos
en el sistema con la ayuda de estas herramientas.
Como ya hemos mencionado,
ayudan a reconocer los sistemas operativos en el ToE.
Un ejemplo notable de este tipo de herramientas es Nmap. -
Escáneres de vulnerabilidades: Los hackers realizan SAST,
DAST
y análisis de composición de software (SCA)
con estas herramientas.
De este modo, identifican vulnerabilidades en el código fuente,
la aplicación en ejecución y sus componentes de terceros, respectivamente.
Una herramienta que puede realizar las tres técnicas,
junto con la gestión de la postura de seguridad en la nube,
es Machine de Fluid Attacks.
(Para más información sobre estas técnicas,
lee nuestro
post “¿Cómo difieren SAST, SCA y DAST?“) -
Proxies web: Son herramientas
que los hackers utilizan para interceptar,
inspeccionar y modificar el tráfico entre su navegador
y una aplicación o servidor web.
Con la ayuda de estas herramientas,
el hacker puede identificar cualquier característica HTML
a la que pueda dirigir ataques de falsificación
de petición en sitios cruzados (CSRF) o de XSS.
Un ejemplo de estas herramientas es OWASP® ZAP.
¿Con qué frecuencia deben realizarse las pruebas de penetración?
Existen pruebas de penetración puntuales y continuas.
Las segundas tienen ventajas sobre las primeras.
Una de ellas es que, si se evalúan continuamente,
la organización puede obtener una percepción
de la postura de seguridad en tiempo real.
Esto es clave, ya que las amenazas son persistentes y evolucionan,
y por lo tanto una captura estática de la seguridad del ToE
puede volverse obsoleta rápidamente.
Otra ventaja es que cuesta menos,
ya que las organizaciones no tienen que dedicar tiempo
a cada pen test buscando a los profesionales adecuados disponibles
y estableciendo las reglas de compromiso (ROE).
Los pen tests continuos, a diferencia de los puntuales,
también permiten un alcance ajustable, de modo que,
si los hackers descubren activos que eran desconocidos
antes de establecer las ROE, pueden incluirlos en las pruebas.
Por último,
las operaciones continuas permiten un soporte constante por parte de expertos,
de forma que los responsables de la remediación
pueden contar con asesoramiento en muchas de las vulnerabilidades encontradas
y no solo en las pocas que tienen que priorizar durante
un periodo de soporte más corto que ofrecen los pen tests puntuales.
(Para más información sobre los beneficios y cómo superamos
los desafíos de esta modalidad,
lee nuestro
artículo “Pruebas de penetración continuas.”)
Las pruebas de penetración son obligatorias en algunos sectores.
Los estándares que las exigen también dicen
con qué frecuencia deben hacerse.
Por ejemplo, la Ley Gramm Leach Bliley (GLBA) exige
que las instituciones financieras realicen pentesting anualmente.
Lo mismo hace
el Estándar de Seguridad de Datos de Payment Card Industry (PCI DSS),
mientras que exige específicamente a los proveedores de servicios
que las hagan una vez cada seis meses
y después de cambios en los controles/métodos de segmentación.
Ampliamos el tema en nuestro
post “Cumplimiento que pide pentesting.”
En Fluid Attacks,
aconsejamos a las organizaciones que vayan más allá del mero cumplimiento
y evalúen sus aplicaciones y otros sistemas de forma continua.
Cuáles son los beneficios del pentesting con Fluid Attacks
Las organizaciones que eligen las pruebas de penetración de Fluid Attacks
se benefician de:
-
Pruebas de penetración continuas que van a lo largo de la evolución del ToE.
-
Evaluaciones realizadas por un equipo de hacking altamente certificado
(OSEE, eCPTXv2, eWPTXv2, etc.) -
Tasas muy bajas de falsos positivos y falsos negativos.
-
Pruebas visuales de la explotación de vulnerabilidades
en el ToE por parte de nuestro equipo de hacking. -
Orientación ilimitada para la remediación a través de la ayuda de expertos.
Aquellos son algunos de los beneficios de nuestro Plan Squad de Hacking Continuo,
que también incluye otras técnicas manuales
(revisión de código fuente
e ingeniería inversa de software),
además de nuestro escaneo de vulnerabilidades.
Si deseas examinar primero los beneficios
de las pruebas de seguridad continuas realizando únicamente escaneos
de tu aplicación te invitamos a iniciar
una prueba gratuita de 21 días
de nuestro escáner.
Para beneficiarte de mucho más que el escaneo de vulnerabilidades,
puedes en cualquier momento cambiarte con cobro al Plan Squad.
*** This is a Security Bloggers Network syndicated blog from Fluid Attacks RSS Feed authored by Jason Chavarría. Read the original post at: https://fluidattacks.com/es/blog/pentesting/