Pruebas de penetración

¿En qué consisten las pruebas de penetración?

Las pruebas de penetración, también conocidas como "hacking ético", consisten en la simulación de ciberataques reales para poner a prueba las medidas de ciberseguridad de una empresa e identificar vulnerabilidades. Aunque para muchos las pruebas de penetración son simplemente una forma rápida de identificar vulnerabilidades para hacer como que "cumplen" con los requisitos establecidos, este ejercicio va mucho más allá.

La finalidad de las pruebas de penetración no es solo identificar las vulnerabilidades de tu entorno, sino también poner a prueba a tu personal y tus procesos frente a las posibles amenazas que podrían afectar a tu empresa. Saber qué adversarios presentan más probabilidades de elegirte como objetivo permite a los encargados de las pruebas replicar exactamente las tácticas, técnicas y procedimientos (TTP) de esos adversarios concretos, por lo que tu empresa obtiene una imagen mucho más realista de cómo podría producirse una brecha.

Procedimiento de las pruebas de penetración

En la mayoría de los casos, el procedimiento de las pruebas de penetración sigue los pasos descritos en el marco MITRE ATT&CK. Por si no te suena, el marco MITRE es una base de conocimiento que reúne las tácticas, técnicas y procedimientos más comunes de los adversarios que ocurren a lo largo de las distintas fases por las que pasa una brecha de seguridad.

Al seguir este marco, los encargados de realizar las pruebas de penetración podrán crear un modelo del comportamiento exacto de un adversario. De esta forma, podrán simular el ataque con mayor precisión durante la prueba. Actualmente hay 12 tácticas en la matriz para empresas de MITRE:

1. La táctica de acceso inicial hace referencia a los vectores que aprovechan los hackers para acceder a un entorno.
2. La ejecución se refiere a las técnicas usadas para ejecutar el código de los adversarios una vez estos han accedido al entorno.
3. Las tácticas de persistencia son acciones que permiten al ciberdelincuente mantener su presencia en una red.
4. La elevación de privilegios hace referencia a las acciones de los adversarios para conseguir acceso a niveles superiores de un sistema.
5. Las tácticas de elusión de defensas son técnicas utilizadas por los ciberdelincuentes para pasar desapercibidos ante los controles de un sistema.
6. El acceso de credenciales hace referencia a las técnicas utilizadas para conseguir credenciales de usuarios o administradores.
7. La detección hace referencia al proceso de aprendizaje mediante el cual los adversarios consiguen conocer mejor el sistema y el acceso del que disponen.
8. Los adversarios utilizan el movimiento lateral para conseguir acceder al sistema de manera remota y controlarlo.
9. Las tácticas de recopilación son aquellas que usan los ciberdelincuentes para recabar los datos que necesitan.
10. Las tácticas de mando y control son las empleadas para establecer la comunicación entre la red comprometida y el sistema controlado.
11. La exfiltración hace referencia a las acciones que llevan a cabo los adversarios para eliminar los datos confidenciales del sistema.
12. Las tácticas de impacto son aquellas dirigidas a interrumpir las operaciones de una empresa.

Cabe señalar que las tácticas empleadas finalmente en una prueba de penetración serán las que utilice el ciberdelincuente que pretendamos imitar.

En general, en una prueba de penetración se incluyen las siguientes fases: planificación, reconocimiento, ganar/mantener acceso, análisis y corrección.

Tipos de pruebas de penetración

Si estás pensando en realizar una prueba de penetración, ten en cuenta que no existe un único modelo de prueba que se adapte a las necesidades de todas las empresas. Los entornos, los riesgos y los adversarios varían según la empresa. Además, no existe solo una única prueba de penetración adecuada para todas las empresas.

Hay varios tipos de pruebas en función de los objetivos específicos y el perfil de amenazas de cada empresa. A continuación se muestran algunos de los tipos más habituales de pruebas de penetración.

1. Pruebas de penetración interna

Evalúan los sistemas internos de tu empresa para determinar cómo consiguen los ciberdelincuentes moverse lateralmente por tu red. Las pruebas incluyen la identificación de sistemas, la enumeración, la detección de vulnerabilidades, el ataque, la elevación de privilegios, el movimiento lateral y los objetivos.

2. Pruebas de penetración externa

Evalúa tus sistemas orientados a Internet para determinar si existen vulnerabilidades aprovechables por los atacantes que dejen al descubierto los datos o el acceso no autorizado para el mundo exterior. La prueba incluye la identificación de sistemas, la enumeración, la detección de vulnerabilidades y el ataque.

3. Pruebas de penetración de aplicaciones web

Evalúan aplicaciones web utilizando un proceso de tres fases. La primera es la fase de reconocimiento, en la que el equipo recopila información, como el sistema operativo, los servicios y los recursos en uso. Después viene la fase de identificación, en la que el equipo trata de identificar vulnerabilidades. La última fase es la de aprovechamiento, en la que el equipo utiliza las vulnerabilidades detectadas para obtener acceso no autorizado a datos confidenciales.

4. Pruebas de penetración de amenazas internas

Identifican los riesgos y las vulnerabilidades que podrían dejar al descubierto tus recursos internos confidenciales para que puedan aprovecharse de ellos usuarios no autorizados. El equipo evalúa debilidades relacionadas con ataques de desautenticación, errores de configuración, reutilización de sesiones y dispositivos inalámbricos no autorizados.

5. Pruebas de penetración inalámbrica

Identifican los riesgos y las vulnerabilidades relacionadas con tu red inalámbrica. El equipo evalúa debilidades relacionadas con ataques de desautenticación, errores de configuración, reutilización de sesiones y dispositivos inalámbricos no autorizados.

6. Pruebas de penetración física

Identifican los riesgos y las vulnerabilidades de tus controles de seguridad físicos para conseguir acceso al sistema informático de tu empresa. El equipo evalúa debilidades relacionadas con ingeniería social, tailgating, clonación de credenciales y otros objetivos que comprometen los sistemas de seguridad física.

¿Cuándo deberías realizar una prueba de penetración?

El mejor momento para realizar una prueba de penetración es antes de que se produzca una brecha. Muchas empresas ni siquiera hacen el esfuerzo hasta que reciben un ataque propiamente dicho, es decir, una vez que ya han perdido información, datos de propiedad intelectual y reputación. De todos modos, si ya has sufrido una brecha, deberías realizar una prueba de penetración de corrección tras el ataque para asegurarte de que las medidas de mitigación sean efectivas.

Algo recomendable es realizar una prueba de penetración alternativa cuando el sistema esté en desarrollo o una vez que este esté instalado, así como también antes de ponerlo en funcionamiento. Realizar pruebas de penetración demasiado tarde conlleva riesgos como que las actualizaciones del código son más costosas y las ventanas para cambiar el código suelen ser más pequeñas.

Las pruebas de penetración no son algo que se tenga que hacer una sola vez, sino cada vez que se introduzcan cambios o, al menos, una vez al año. La frecuencia con la que se deben llevar a cabo estas pruebas dependerá de factores como el tamaño de la empresa, la infraestructura, el presupuesto, los requisitos legales y las amenazas emergentes.

¿Con qué frecuencia debes realizar pruebas de penetración?

Lo recomendable es que las empresas realicen una prueba de penetración completa al menos una vez al año. De esta forma, no solo podrán implementar actualizaciones y parches de seguridad, sino que además se asegurarán de cumplir con los estándares de seguridad de los datos, como por ejemplo el Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago (PCI DSS).

No obstante, si estas pruebas de manera se llevan a cabo con una periodicidad semestral o trimestral, podrás identificar riesgos de seguridad con mayor frecuencia y antes de que tus sistemas queden expuestos, lo que ofrece una visión general más amplia del estado de la seguridad de tu empresa.

Las pruebas de penetración se han diseñado para identificar vulnerabilidades específicas en un sistema o red. Por eso, lo ideal es realizar pruebas de penetración cada vez que se incorporen novedades a la infraestructura de la red o cuando se haya llevado a cabo una revisión importante de las aplicaciones principales. En estos momentos, los entornos se encuentran en su punto más vulnerable y es más probable que las debilidades queden expuestas.

¿Quién realiza las pruebas de penetración?

Muchos expertos en ciberseguridad independientes y empresas ofrecen servicios para realizar pruebas de penetración. Y, aunque las pruebas de penetración pueden realizarse en tus propias instalaciones, los hackers éticos externos ofrecen una visión más amplia, ya que no conocen el sistema.

Sin embargo, la propia naturaleza de la empresa da pie a complicaciones. Las consideraciones legales relacionadas con cualquier actividad de hackeo implican que todo el proceso de las pruebas de penetración debe tratarse con especial cuidado. A día de hoy, y de acuerdo con la legislación de EE. UU., no se supervisan las pruebas de penetración. A pesar de ello, existen decretos estatales y federales en vigor para garantizar el cumplimiento y que estas pruebas sean éticas.

En virtud de la legislación de EE. UU., las empresas deben firmar un formulario de consentimiento donde describan el alcance y los detalles de lo que estén evaluando. Si no lo hacen, se consideraría una actividad de hackeo no autorizada, y podrían enfrentarse a diversas sanciones en función del estado, ya que algunos de ellos lo consideran una forma de hackeo.

Asegúrate de que todas las actividades relacionadas con las pruebas de penetración cumplen con los requisitos legales, así como que todos los documentos legales se hayan cumplimentado correctamente. También es importante realizar comprobaciones alternativas para evaluar las credenciales de los hackers éticos. Por ejemplo, las acreditaciones CREST y NCSC son certificaciones reconocidas en el sector que se otorgan a empresas de pruebas de penetración de confianza.

¿Qué debes hacer tras una prueba de penetración?

Las pruebas de penetración consisten en desarrollar y perfeccionar tu estrategia de seguridad a largo plazo. Para ello, se basan en aplicar parches en vulnerabilidades reales identificadas.

Actuar rápidamente en función de los resultados de las pruebas de penetración es fundamental para evitar el tiempo de inactividad y las interrupciones asociadas a las brechas de ciberseguridad, así como las sanciones impuestas a aquellas empresas que incumplan los requisitos legales de protección de datos.

Una vez realizada la prueba de penetración, debes:

• Consultar el informe final y compartir los resultados tanto con el equipo externo encargado de realizar las pruebas como con tu equipo de ciberseguridad interno.
• Desarrollar una estrategia de ciberseguridad completa y un plan de corrección para poner en práctica los resultados.
• Repetir pruebas y utilizar análisis de vulnerabilidades para realizar un seguimiento del funcionamiento y el progreso de los parches y las actualizaciones a largo plazo.

Las pruebas de penetración son exhaustivas por naturaleza, pues ofrecen información detallada sobre el alcance y la gravedad de cualquier vulnerabilidad potencial de tu entorno y de las que siempre puedes extraer información aplicable al fortalecimiento de tus medidas de seguridad.

¿Qué es el "teaming" o las pruebas en equipo?

Es una metodología de pruebas de penetración que utilizan las empresas para organizar y mejorar sus credenciales de ciberseguridad. Los participantes se dividen en dos equipos, el equipo rojo, que se encarga de identificar y evaluar las vulnerabilidades, y el equipo azul, que intentará de mitigar estos riesgos y evitar que los sistemas queden expuestos.

No se trata tanto de identificar la mayor cantidad de vulnerabilidades posible, sino más bien de evaluar la eficacia de las respuestas ante amenazas y debilidades. Estos ejercicios se han diseñado para mejorar la capacidad de las empresas para protegerse de manera oportuna y adecuada en los modernos entornos virtuales plagados de riesgos.

En los ejercicios de "teaming" se pueden incluir tres tipos de equipos:

• Equipo rojo: estos equipos, normalmente externos, evalúan la efectividad de la infraestructura de seguridad actual de una empresa. Llevan a cabo pruebas similares a las de penetración, pero se centran en problemas aislados en lugar de en la totalidad del entorno.
• Equipo azul: es el equipo de seguridad interno de la empresa. Se evalúa a los empleados encargados de reforzar la seguridad de la empresa. El equipo rojo los pone a prueba para garantizar que respondan rápido y de manera adecuada ante amenazas inesperadas.
• Equipo morado: se forma cuando el equipo rojo y el azul trabajan al unísono. El objetivo del equipo morado es mejorar las respuestas de ciberseguridad al ofrecer información más detallada y comentarios sobre posibles amenazas. Este equipo también se encarga de revisar y evaluar los resultados del ejercicio.