Pentest: o que é e quais são os principais tipos?

Pentest: ¿qué es y cuáles son los principales tipos?

Post disponível em / disponible en / available in: Português Español English

Tempo de leitura: 6 minutos

La creciente incidencia de ataques virtuales asombra a empresas y personas por todo el mundo. En un estudio realizado por la (ISC)², se concluyó que el 44% de los profesionales de TI apuntan a ransomware como el mayor miedo a la seguridad corporativa en 2018.

Como prevención, algunas medidas deben tomarse. La gran duda de analistas y gestores de tecnología, sin embargo, es: ¿dónde están las fragilidades y vulnerabilidades? Al tener esta información, ciertamente el proceso de perfeccionamiento de las defensas es más efectivo y certero.

El Pentest es una gran opción para alcanzar ese objetivo y es exactamente sobre él que vamos a hablar en este blog post. Si tienes interés, basta con seguir leyendo para comprender su concepto, tipos y beneficios.

¿Qué es el Pentest?

Pentest es la abreviatura de Penetration Test(Prueba de Penetración, en traducción literal). Es también conocido como Prueba de Intrusión, pues hace la detección minuciosa con técnicas utilizadas por hackers éticos – especialistas en seguridad de la información contratados por corporaciones para realizar tales pruebas, sin ejercer actividades que perjudiquen a la empresa o tengan efecto criminal.

La prueba de intrusión tiene como objetivo encontrar potenciales vulnerabilidades en un sistema, servidor o, en general, en una estructura de red. Pero, más que eso, el Pentest utiliza herramientas específicas para realizar la intrusión que muestra qué información o datos corporativos pueden ser robados por medio de la acción.

De esta forma, analistas de tecnología tendrán la posibilidad de conocer más a fondo sus debilidades y donde necesitan mejorar. Los esfuerzos e inversiones en Seguridad de la Informaciónse centrarán en las debilidades de la corporación, blindando la estructura contra cualquier potencial cuello de botella de seguridad.

Pentests de Caja Blanca, Negra y Gris

Hay algunas maneras de realizar pruebas de intrusión, cada una de ellas tendrá una eficiencia diferenciada. Entre ellas, podemos destacar la White Box, la Black Box y la Gray Box.

White Box

La prueba White Box, o de «Caja Blanca», es el Pentest más completo. Esto es porque parte de un análisis integral, que evalúa toda la infraestructura de red. En el caso de que se produzca un error en el sistema, es posible que, al iniciar el Pentest, el hacker ético (o pentester, nombre dado a los profesionales que actúan con esas pruebas) ya posee conocimiento de todas las informaciones esenciales de la empresa, como topografía, contraseñas, IPs, logins y todos los demás datos que se refieren a la red, servidores, estructura, posibles medidas de seguridad, firewalls, etc.

Con estas informaciones preliminares, la prueba puede dirigir certero su ataque y descubrir lo que necesita ser mejorado y reorientado. Por ser un volumen alto de información preliminar, generalmente este tipo de Pentest es realizado por miembros del propio equipo de TI de la empresa.

Black Box

La prueba Black Box, o «Caja Negra», es casi como una prueba a ciegas, pues sigue la premisa de no poseer gran cantidad de información disponible sobre la corporación. Aunque sea dirigido, pues alcanzará a la empresa contratante y descubrirá sus vulnerabilidades, el Pentest de Caja Negra es el más cercano a seguir las características de un ataque externo.

Dadas estas características, sin gran mapeo de informaciones, actuará de forma extremadamente similar a la de cibercriminales – lo que es una gran experiencia, si no parte de forma maliciosa y sirve apenas como un método de reconocer fragilidades en la estructura de red.

Gray Box

Definido como una mezcla de los dos tipos anteriores, el Gray Box – o «Caja Gris» – ya posee cierta información específica para realizar la prueba de intrusión. Sin embargo, esta cantidad de información es baja y no se compara a la cantidad de datos disponibles en un Pentest de Caja Blanca.

Dada esta forma, la prueba de Caja Gris invertirá tiempo y recursos para identificar tales vulnerabilidades y amenazas, basándose en la cantidad de información específica que tiene. Es el tipo de Pentest más recomendado, si existe la necesidad de contratar alguno de estos servicios.

Los tipos de Pentest

Ahora que ya sabes las maneras en que se pueden realizar las pruebas de intrusión, además de la cantidad de información que cada uno de ellos requiere para alcanzar cierta eficiencia, haremos un rápido abordaje en los tipos de Pentest disponibles.

  • Prueba en Servicios de Red: se realizan análisis en la infraestructura de red de la corporación, en busca de fragilidades que pueden ser solidificadas. En este aspecto, se evalúa la configuración del firewall, pruebas de filtrado stateful, etc.
  • Prueba en Aplicación Web: es un buceo profundo en la prueba de intrusión, pues todo el análisis es extremadamente detallado y vulnerabilidades son más fácilmente descubiertas por basarse en la búsqueda en aplicaciones web.
  • Prueba de Client Side: en este tipo de prueba, es posible explorar software, programas de creación de contenido y Web browsers (como Chrome, Firefox, Explorer, etc) en ordenadores de los usuarios.
  • Prueba en Red Inalámbrica: examina todas las redes inalámbricas utilizadas en una corporación, así como el propio nombre afirma. Se realizan pruebas en protocolos de red inalámbrica, puntos de acceso y credenciales administrativas.
  • Prueba de Ingeniería Social: informaciones y datos confidenciales son pasibles de robo por medio de manipulación psicológica, un intento de inducir al colaborador a repasar ítems que deben ser sigilosos.

Beneficios de la Prueba de Intrusión

Aunque es una prueba aún vista con malas miradas por muchas personas, en especial por utilizar el hack como forma de recoger los beneficios propuestos, la práctica del Pentest presenta innumerables beneficios, siendo los principales:

  • Ayudar a las empresas a probar la capacidad de su ciberseguridad;
  • Descubrir fragilidades en el sistema de seguridad antes de que un cibercriminoso lo haga;
  • Permitir que las empresas adopten nuevas posturas en relación a la Seguridad de la Información, así como presentar justificación para inversiones en el área;
  • Velar por la reputación de su empresa, ya que una prueba de intrusión muestra el compromiso de asegurar la continuidad del negocio y mantener una relación efectiva con la seguridad corporativa.

Es importante resaltar, antes de finalizar, que la Prueba de Intrusión es diferente de un Diagnóstico de Seguridad de la Información. Mientras que el primero utiliza técnicas de hackers – de forma ética y positiva, sin propósito malicioso – y formula un ataque para encontrar fragilidades digitales, el diagnóstico es un sistema automatizado que produce un informe evaluador de la madurez del negocio en términos de seguridad corporativa. Por lo tanto, son dos conceptos diferenciados y que no deben confundirse.

Continúe leyendo

 

Állison Souza
allison.souza@ostec.com.br
No Comments

Post A Comment

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.