La tecnología y digitalización es fundamental para la evolución de la economía y en general la sociedad. Esto, supone además una formación previa para mantener la seguridad en las infraestructuras corporativas. Igual que protegemos nuestros hogares con avanzados sistemas de seguridad, debemos proteger el elemento más valioso de las empresas, sus datos e infraestructura. Con el control e implementación de sistemas de ciberseguridad podemos ahorrarnos en la mayoría de las ocasiones una mala experiencia que ponga en juego meses e incluso años de trabajo. La solución, audita tu seguridad con pentesting.
¿Qué es el pentesting?
Auditoría pentesting o test de intrusión: análisis y pruebas de seguridad en una página web, servidores o red que simula un ataque real. Mediante este test se consiguen analizar los posibles fallos o vulnerabilidades del sistema para evitar posibles amenazas. Están teniendo especial repercusión en la actualidad, quizás sea uno de los test de ciberseguridad que da mayor visibilidad en cuanto a riesgos y vulnerabilidades.
Tipos de pentesting:
- Caja blanca (auditoría interna): acceso a toda la información crítica de la web, aplicaciones, base de datos e infraestructura. El ataque lo realiza alguien que conoce la organización al completo.
- Caja gris: acceso parcial a los recursos.
- Caja negra (auditoría externa): Este tipo de auditorías o test de intrusión, dan una visión de elevada objetividad sobre cómo se muestran los sistemas hacia Internet, lo que permite obtener claras conclusiones sobre los mismos.
- Alcance de un potencial atacante.
- Grado de fortificación o bastionado que muestran los portales Web.
- Estabilidad de los servicios ejecutados en las plataformas.
El atacante no cuenta con ningún tipo de información sobre la infraestructura analizada, ni con usuarios válidos de las diversas aplicaciones o servicios expuestos.
Clasificación de las vulnerabilidades:
Existen varios tipos de vulnerabilidades mediante las que se analizan diferentes puntos, en función del tipo de auditoría de pentesting que se desarrolle se llevará a cabo una u otra.
Algunos ejemplos son:
- Versiones de producto obsoletas. Servicios o sistemas operativos que se ejecutan con versiones obsoletas del producto o vulnerabilidades conocidas.
- Elementos sin configuraciones seguras. Productos o servicios con configuraciones las cuales no son seguras o le faltan elementos para proteger parte de su infraestructura.
- Información expuesta. Máquinas o servicios de la red que exponen información a usuarios para acceder a las mismas sin ningún tipo de control o autenticación, lo que puede resultar un elemento no seguro.
- Acceso a autenticación de portales de gestión. Exponiendo ataques de fuerza bruta o interrupción del servicio expuesto.
Estas vulnerabilidades a su vez se categorizan en niveles en función del riesgo que suponen para la organización y sus sistemas.
- Crítico: fuerte necesidad medidas correctivas, posibilidad de cometer un ataque y dar como resultado poder comprometer los sistemas.
- Alto: posibilidad de cometer un ataque y dar como resultado poder comprometer los sistemas.
- Pérdida de los principales recursos o activos tangibles.
- Posibilidad de poder dañar o impedir trabajar a la organización.
- Medio: La explotación de estas vulnerabilidades requiere de un perfil de atacante experto y no da lugar a privilegios elevados.
- Bajo: La explotación de estas vulnerabilidades es extremadamente difícil.
Un ejemplo de cómo se representaría mediante un informe dichas vulnerabilidades sería:
Riesgo | Tipo de vulnerabilidad | Estado |
Medio | Información expuesta | Activo/Inactivo |
Se recomienda hacer este tipo de auditorías de manera periódica ya que los métodos de hackeo avanzan cada vez más. En muchas ocasiones estos ataques se producen desde dentro de la organización debido a brechas de seguridad o el acceso masivo de empleados e incluso personas ajenas a esta. Previenen la intrusión o alteración de la red y controla el acceso y modificación indebida de los datos.