El pentesting es el nombre original en inglés del testeador de penetración, que somete a ataques a distintos sistemas informáticos para identificar y preanunciar potenciales errores en ellos antes de que los alcancen los delincuentes.
Una prueba ante el peligro
El pentester es un auditor de ciberseguridad que se compone del “red team” (equipo rojo, que sirve para atacar) y del “blue team” (equipo azul, que sirve para defender). Esta técnica mide la vulnerabilidad de una organización al fingir un ataque verdadero que pretende penetrar en el sistema, dejando así a la luz sus aspectos falibles. Luego de esto, se realiza un informe que compila los datos obtenidos para trabajar sobre ellos: cuán exitosa sería una violación de seguridad informática, qué falencias existen para protegerse de ella, cuáles son complicadas de detectar, y cuán bien responderían los encargados ante una amenaza real.
Estas pruebas se categorizan de acuerdo a qué información tiene quien las realiza antes de ponerlas en acción:
White box (caja blanca)
Sabe toda la información del sistema (estructura, datos, direcciones IP, horas de inicio de sesión, contraseñas, etc.) y por lo general es miembro del equipo técnico de la organización. Es el análisis más completo, y arroja los resultados más precisos y útiles sobre las debilidades existentes y cómo afrontarlas.
Black box (caja negra)
No sabe nada de la empresa e inicia desde cero, simulando a los piratas informáticos verdaderos que ponen a prueba el sistema sin tantos conocimientos previos (lo que hace veraz al escenario).
Grey box (caja gris)
Es una combinación de las dos anteriores. El pentesteador tiene solamente algo de información para hacer la prueba, por lo que el auditor tiene que poner algo de sus recursos para vislumbrar en qué puede estar fallando la seguridad de la organización. Es la alternativa más recomendable.
Las etapas de una auditoría de pentesting son cinco
Reconocimiento
Fijar alcance, métodos y metas de la prueba. Se juntan todos los datos posibles (como los nombres de dominio y de red, el software, o direcciones de correo) para entender el funcionamiento de la organización y qué vulnerabilidades tiene.
Análisis de vulnerabilidades
Se interactúa con el sistema a atacar para que salten a la vista sus debilidades y se traza el alcance de la prueba según el deseo del cliente.
Modelado de amenazas
Se representan los datos que pueden dañar la seguridad de una aplicación. Requiere de tomar y revisar toda la información desde una óptica de ciberseguridad para así decidir sobre los riesgos más primordiales para enfrentar.
Explotación
Recopilación de datos sensibles alojados en el sistema una vez que se haya penetrado en él, para demostrar al cliente lo que podría verse afectado.
Elaboración de informes
Se hace un reporte con vocabulario técnico y soluciones (para los administradores) y un reporte ejecutivo más sencillo (para la cúpula directiva).
@RESERVADOS TODOS LOS DERECHOS
