Es hora de pasar a la ofensiva en materia de ciberseguridad.

A medida que se amplía la superficie de ataque y las empresas se ven acosadas por ciberataques, la demanda de pruebas de penetración (también conocidas como pentesting y hacking ético) aumenta sin duda. Las pruebas de penetración no son un procedimiento nuevo. Ya en 1967, unos 15.000 expertos en seguridad y otros especialistas se reunieron en una conferencia para debatir si era o no posible penetrar las líneas de comunicación.¹

De cierto modo, este fue el comienzo del proceso de pruebas de penetración, en el que los equipos de seguridad llevan a cabo ataques a su infraestructura para encontrar vulnerabilidades de seguridad en sistemas, redes, hardware, software, etc. Aunque los métodos han evolucionado, el objetivo sigue siendo corregir las deficiencias de seguridad y mejorar las precauciones de seguridad.

Las organizaciones saben que muchos de estos ciberataques o violaciones de la protección datos son llevados a cabo por atacantes que aprovechan una o varias vulnerabilidades existentes en el sistema. Sin embargo, solo se dan cuenta de ello a posteriori, cuando ya se ha producido un ataque. Así que las pruebas de penetración son un buen enfoque proactivo para identificar vulnerabilidades en el sistema antes de que se produzca un incidente de seguridad o una violación de datos.
 

Las filtraciones de datos son ya habituales. En 2023 se robaron más de 8.000 millones de registros de datos en unos 2.800 incidentes de seguridad.² Las filtraciones de datos pueden costar mucho dinero a las empresas. El coste promedio de una violación de la protección de datos en 2023 fue de 4,45 millones de dólares^.3 ¿Pueden evitarse las violaciones de la protección de datos mediante enfoques de seguridad ofensivos como las pruebas de penetración? La respuesta es claramente: sí. 

Algunas de las razones más comunes de las violaciones de la protección de datos son una autenticación débil y no operativa, software sin parches, servicios y aplicaciones mal configurados, API inseguras, etc. Las pruebas de penetración permiten detectar estos problemas con antelación. Problemas como una autenticación inadecuada y un control de acceso incorrecto pueden parecer insignificantes, pero pueden causar daños catastróficos.
 

En 2019, First American Financial Corporation, una empresa estadounidense de servicios financieros, se vio afectada por una violación de la protección de datos que expuso unos 885 millones de documentos confidenciales.⁴ Estos documentos incluían números de cuenta de clientes, extractos bancarios, documentos hipotecarios, etc. 

Todos estos documentos estaban almacenados en una página del sitio web de la empresa y estaban destinados al acceso de determinados usuarios. Sin embargo, cualquiera que lograra encontrar el enlace a esta página podía acceder a estos datos sensibles de los clientes. Este es un caso simple de un problema de autenticación que fue instrumentalizado. En 2023, la empresa llegó a un acuerdo de 1 millón de dólares con el Departamento de Servicios Financieros del Estado de Nueva York (DFS).

Equifax, otra agencia de referencia de crédito estadounidense, sufrió una violación de la protección de datos en 2017 debido a una brecha de seguridad en un portal web que le costó 1.400 millones de dólares por pagos de conciliaciones judiciales. Lee más al respecto aquí.

Las herramientas de pruebas de penetración podrían haber descubierto las vulnerabilidades de seguridad a tiempo y evitado los perjuicios de sus consecuencias. 

Las pruebas de penetración suelen ser realizadas por el equipo de seguridad, como se explica a continuación:

1. Planificación y exploración: Comprender el objetivo de las pruebas de penetración: qué sistemas atacar, qué herramientas de seguridad usar, etc.
2. Escaneando: Se escanean sistemas y redes para identificar vulnerabilidades.
3. Obtener acceso: Se instrumentaliza una o más vulnerabilidades para penetrar en el sistema.
4. Mantener el acceso: Se intenta pasar desapercibido en el sistema.
5. Análisis e informes: Se analizan las vulnerabilidades de los sistemas, cómo pueden instrumentalizarse y otros detalles.

Además de identificar vulnerabilidades, las empresas realizan pruebas de penetración por otros motivos, como evaluar la eficacia de los controles de seguridad existentes, cumplir los requisitos de conformidad y gestionar y mitigar los riesgos de ciberseguridad. Esto genera confianza entre las partes interesadas y los clientes. 

Las pruebas de penetración son diferentes de los análisis de vulnerabilidad. El análisis de vulnerabilidades solo sirve para identificar las brechas de seguridad en los sistemas, mientras que las pruebas de penetración tienen como objetivo instrumentalizar estas vulnerabilidades y determinar el impacto del ataque y la eficacia de los controles de seguridad.

Las pruebas de penetración se realizan para evaluar diversos aspectos, como redes, aplicaciones web, API, redes inalámbricas, ingeniería social (para comprobar vulnerabilidades en el comportamiento humano), penetración física, red team (simulación de un ataque en toda regla en condiciones reales), etc. 

Estos aspectos se ponen a prueba lanzando ataques desde el exterior y el interior de la empresa. Según el acceso y la información que reciba el evaluador de penetración, existen tres categorías.

1. Pruebas de caja blanca
   Este tipo de prueba se lleva a cabo para identificar vulnerabilidades desde la perspectiva de un infiltrado. Ellas determinan cómo cualquier persona con acceso a los sistemas internos puede potencialmente causar daños. Descubren vulnerabilidades como errores de programación, configuraciones inseguras, la estructura de la red interna, etc. 
2. Pruebas de caja negra
   Estas pruebas se llevan a cabo de forma similar a un ciberataque real desde el exterior, desde la perspectiva de un atacante, sin que el evaluador obtenga acceso al sistema ni información relacionada con él. Mediante las pruebas de caja negra, los evaluadores pueden encontrar vulnerabilidades relacionadas con ataques de inyección, DDoS, problemas de aplicaciones web, configuraciones erróneas del servidor, autenticación y control de acceso incorrectos, etc. 
   Un control de acceso incorrecto, por ejemplo, es un problema frecuente. En 2021, la OWASP informó de que el 94 % de las aplicaciones probadas tenían problemas con el control de acceso.⁵ Un control de acceso incorrecto podría permitir a los usuarios ver información que no deberían ver. Pero hay otras consecuencias, como el acceso no autorizado, la extensión de derechos, la filtración de datos, el incumplimiento de las regulaciones y muchas más. 
   En el caso de la filtración de datos de Equifax se aprovechó una vulnerabilidad del portal web. Alrededor de 143 millones de personas se vieron afectadas por esta brecha de datos. Estas vulnerabilidades existentes pueden identificarse mediante pruebas de penetración. En este caso concreto, las pruebas de caja negra pueden ser muy útiles.
3. Pruebas de caja gris
   Este tipo de prueba proporciona al evaluador cierta información sobre los sistemas. Con este conocimiento parcial, él puede intentar encontrar vulnerabilidades no solo a nivel de programación, sino también a nivel funcional, lo que representa un término medio entre las pruebas de caja blanca y de caja negra. 

Sin embargo, las pruebas de penetración manuales plantean algunos problemas.

1. Toman mucho tiempo: Las evaluaciones de las medidas de seguridad y las validaciones manuales exhaustivas pueden llevar, en algunos casos, varios meses.
2. Consumen muchos recursos: Las empresas necesitan especialistas calificados, herramientas adecuadas y un presupuesto. 
3. Son propensas a errores: Las pruebas de penetración manuales son propensas a errores, ya que los equipos de seguridad pueden pasar por alto vulnerabilidades. El enfoque manual también genera muchos resultados falsos positivos y falsos negativos.
4. Tienen un alcance limitado: No abarcan todos los sistemas o superficies de ataque, porque quienes hacen el test no prueban lo que no conocen o no es visible y, por lo tanto, a veces no hacen pruebas de penetración suficientemente exhaustivas.
5. No son uniformes: Los expertos usan métodos diferentes, lo que conduce a resultados que no reflejan plenamente la situación de las vulnerabilidades y las medidas de seguridad.
6. No son escalables: Para las empresas que crecen con estrategias modernas de integración continua/despliegue continuo (CI/CD), las pruebas de penetración manuales son difíciles de escalar con recursos limitados.
7. Requieren de la disponibilidad de expertos: Debido a la complejidad de las pruebas, no hay muchos evaluadores altamente calificados en el mercado, lo que provoca una escasez de mano de obra calificada.
8. Generan altos costos: La mayoría de las empresas necesitan expertos externos y herramientas para llevar a cabo pruebas de penetración exhaustivas. Debido a la escasez de mano de obra calificada, los gastos de la mano de obra calificada necesaria son altos, lo que encarece mucho las pruebas.

Estas desventajas de las pruebas de penetración manuales son la razón por la que las empresas optan por las pruebas de penetración automatizadas. 
 

También permiten la repetibilidad para que las empresas puedan realizar evaluaciones rutinarias. Con la capacidad de escanear y supervisar continuamente, las organizaciones pueden descubrir nuevas vulnerabilidades, aplicaciones obsoletas o sin parches, configuraciones incorrectas, autenticación deficiente, controles de acceso incorrectos, etc. Estas pueden rectificarse para garantizar una interrupción mínima y la continuidad del negocio. Además, las empresas pueden obtener información mediante análisis detallados y funciones de elaboración de informes. Los informes también crean un perfil de riesgo del sistema clasificando las vulnerabilidades en función de su gravedad. 

Las empresas pueden usar las pruebas de penetración automatizadas en grandes infraestructuras sin tener que preocuparse por la escalabilidad y la cobertura. Este enfoque de las pruebas es también una alternativa rentable, ya que las empresas no tienen que invertir mucho tiempo y dinero en la contratación de evaluadores de seguridad calificados. 

Las pruebas de penetración automatizadas no eliminan por completo la necesidad de intervención humana, pero reduce el esfuerzo necesario, lo que permite a los equipos de seguridad concentrarse en otras tareas importantes. 

Reconocimiento: Las herramientas automatizadas recopilan información sobre la red objetivo, los sistemas, aplicaciones, puntos de entrada y vulnerabilidades.

Escaneando: Los escáneres se usan sistemáticamente para examinar el entorno de destino en busca de puertos abiertos, servicios y vulnerabilidades.

Enumeración: Las herramientas automatizadas calculan los detalles del sistema, como cuentas de usuario, recursos compartidos de red y configuraciones, para limitar aún más el alcance de los posibles ataques.

Instrumentalización: Se usan scripts para instrumentalizar las vulnerabilidades y obtener acceso no autorizado, ejecutar comandos y manipular recursos del sistema, imitando escenarios de ataque de la vida real.

Post-instrumentalización: Más recopilación de información, expansión de privilegios y mantenimiento del acceso a los sistemas comprometidos.

Informes: Creación de informes detallados sobre los resultados de las pruebas de penetración automatizadas. Los informes también indican el grado de gravedad, recomendaciones de medidas correctivas y una lista de prioridades.

Todas estas fases se realizan con ayuda de herramientas automatizadas. Estas herramientas proporcionan un marco para desarrollar, probar y ejecutar exploits contra los sistemas objetivo. Algunas de estas herramientas también disponen de un amplio banco de datos de vulnerabilidades conocidas, lo que hace que las pruebas de penetración automatizadas sean muy eficaces. Estas pueden detectar vulnerabilidades relacionadas con inyecciones SQL, cross-site scripting (XSS), configuraciones incorrectas del servidor, etc.

Algunas de las herramientas de pruebas de penetración automatizadas más populares del mercado son RidgeBot, Metasploit, Nessus, OpenVas, Burp Suite, Armitage, Nmap, SQL Map y ZAP.

Las empresas apuestan cada vez más por las pruebas de penetración automatizadas para identificar proactivamente las vulnerabilidades de sus sistemas y minimizar los riesgos de ciberataques y violaciones a la protección de datos. Ellas desean mejorar su seguridad y su conformidad, y proteger sus datos con estrategias de seguridad agresivas. Daños como pérdidas financieras, daños a la reputación y obligaciones de indemnización pueden evitarse con estos conceptos de seguridad.
 

Gracias a nuestra experiencia y conocimientos, podemos llevar a cabo pruebas de penetración exhaustivas para redes y aplicaciones web. Tras las pruebas, elaboramos un informe técnico y un informe ejecutivo con nuestras recomendaciones para ayudarte a priorizar los pasos siguientes a dar. Nuestros expertos en seguridad son profesionales certificados en seguridad ofensiva (OSCP) y cumplen las mejores prácticas del sector y los requisitos legales. También seguimos el marco ATT&CK de MITRE para la estandarización, el mapeo, la simulación de amenazas, la evaluación de riesgos y la mejora continua.

Genera confianza en una estrategia de ciberseguridad ofensiva con nosotros. Habla con nosotros para saber más.

Descarga el folleto para obtener información detallada.

¹ The History Of Penetration Testing, 2019, Infosec Institute
² List Of Data Breaches, 2024, IT Governance
³ Cost Of Data Breach, 2023, IBM
⁴ Article First American Financial Data Leak, 2019, Forbes
⁵ Broken Access Control Report, 2021, OWASP