Tipos de pruebas de penetración

En el mundo de la seguridad cibernética existen varios tipos de pruebas de penetración, pero antes de explorar los distintos tipos, nos toca responder la interrogante: ¿qué son las pruebas de penetración? Estas pruebas tienen como objetivo identificar vulnerabilidades de la red, los sistemas o aplicaciones de una organización; estos puntos de acceso o lagunas son informadas a los responsables del sistema, quienes eligen como proceder en base a esta información para su rectificación. 

Un probador de penetración envía un informe que incluye todos los detalles sobre el proceso y sugiere acciones correctivas; dichas recomendaciones generalmente se mencionan en orden descendente y de acuerdo a su importancia, de esta forma los responsables pueden decidir cómo abordar cada detalle de forma adecuada.

Con tantos métodos de pruebas de penetración, puede ser un confuso saber cuál es la opción adecuada a tu modelo de negocio.

En este blog, vamos a discutir los diversos tipos de pruebas de penetración según estilos, áreas, métodos y técnicas de aplicación.

Áreas de prueba de penetración

A continuación, te presentamos rápidamente las seis distintas áreas principales donde puedes llevar a cabo pruebas de penetración acorde a los objetivos que buscas solventar.

  • Red: en esta área, los expertos en pruebas de penetración se centran en pruebas de seguridad de red locales y basadas en la nube, lo cual se hace mediante la identificación de vulnerabilidades internas y externas en diferentes servidores, enrutadores, conmutadores y hosts de red.
  • Aplicación web: aquí el probador de penetración intenta ubicar puntos de entrada y brechas de seguridad en bases de datos, codificación fuente, redes de back-end, y demás, que pueden obstaculizar el funcionamiento seguro de una aplicación web.
  • Aplicación móvil: aquí se usan tanto pruebas manuales automatizadas como pruebas extendidas para identificar cualquier problema relacionado con la gestión de sesiones, encriptado, autenticación y autorización de un sistema.
  • Lado del cliente: las pruebas del “lado del cliente” sirven para resaltar cualquier cosa que sucede en el extremo de la aplicación que aborda el usuario promedio (sin importar si el “cliente” es un cliente que paga o un empleado que usa una aplicación web patentada); las pruebas de penetración en esta área se enfocan en buscar vulnerabilidades.
  • Inalámbrico: aquí se examinan diversos aspectos tales como configuración, APIs, encriptado, almacenamiento y controles de seguridad forman parte de este ejercicio de prueba de penetración.
  • Ingeniería social: en esta área los probadores de penetración aquí se hacen pasar por piratas informáticos con el fin de ingresar al sistema de una empresa a través de un ataque de ingeniería social, lo que sirve para comprobar el enfoque de detección y reacción de los miembros del personal; esta prueba generalmente se realiza para verificar que medidas de seguridad requieren cambios o mejoras.

Estilos de prueba de penetración

Saber cómo llevar a cabo una prueba de penetración paso a paso, depende en gran medida del estilo de prueba que se adecua para tu empresa u organización; algunas consideraciones incluyen los objetivos de la prueba, sus riesgos, la tolerancia de tu sistema, tu presupuesto, así como otros factores.

Existen tres estilos de prueba de penetración: caja negra, caja blanca y caja gris.

  • Caja negra: no se le da ninguna información útil al evaluador, este debe enfrentar el sistema en una situación de desventaja, tal como lo hacen los actores maliciosos que intentan ingresar a tus sistemas; la prueba es útil para saber cómo un atacante, sin ningún tipo de información previa puede violar tu infraestructura IT.
  • Caja blanca: en el estilo de prueba de penetración de caja blanca, la empresa proporciona toda la información necesaria relacionada con sus redes y sistemas, es una prueba que puede llevar mucho tiempo por lo que las empresas u organizaciones suelen destinar este recurso a un componente específico, en lugar de probar todo el sistema.
  • Caja gris: la prueba de caja gris también se conoce como prueba de caja translúcida; para llevarla a cabo solo se comparte con el evaluador una parte limitada de la información del sistema a probar, tales como credenciales de acceso, lo cual sirve para que este pueda imitar las acciones de un atacante en posesión de información privilegiada y así localizar amenazas internas, estas pruebas también se implementan para para detectar vulnerabilidades dentro de un radio específico de la red.

Técnicas de prueba de penetración

Para las empresas, el objetivo de las pruebas de penetración es reconocer fallos en su infraestructura y tomar medidas para mejorar la seguridad de sus sistemas, dependiendo de quién realice la prueba, la estructura, el presupuesto y la evaluación de riesgos, los tipos de pruebas de penetración son los siguientes: manuales, automatizados o combinados.

Prueba manual

Este método confiable permite al probador validar el rendimiento general de la estructura del sistema que está evaluando; este proceso comienza con la recopilación de datos, tales como nombres de tablas, versiones de bases de datos, configuración de dispositivos y complementos de terceros (de ser correspondiente).

Después de una búsqueda exhaustiva para encontrar puertas de acceso o lagunas, se da inicio a un ataque simulado que revela cuán críticamente pueden verse afectados tus sistemas en caso de un ataque cibernético real.

Prueba automatizada

Las pruebas manuales revelan problemas básicos, pero no pueden encontrar todas las vulnerabilidades, por lo que se hace necesario usar técnicas de pruebas automatizadas para cerrar todas las brechas que deja la prueba de penetración manual.

Las pruebas de penetración automatizadas también ayudan a erradicar amenazas, al escanear regularmente cualquier elemento sospechoso o susceptible, adicionalmente cabe resaltar que este tipo de prueba no requiere ningún software adicional, por lo que una sola herramienta de prueba de penetración automatizada se encarga de todo el proceso.

Las pruebas de penetración automatizadas son rápidas, exhaustivas y rentables.

Pruebas combinadas

La combinación de pruebas de penetración manuales y automatizadas es un enfoque integral y receptivo para la seguridad de los activos de tu empresa.

A pesar de trabajar con mecanismos diferentes, las pruebas de penetración manual y automática se ocupan de complementarse una a la otra, rellenando varias grietas que no toca un tipo de prueba específica; cabe acotar que este tipo de prueba puede ser más costoso que cualquiera de las que se toman por separado, pero la inversión vale la pena al largo plazo.

Métodos de prueba de penetración

Los probadores de penetración normalmente usan uno o más de los cinco métodos disponibles para atacar un sistema e identificar vulnerabilidades.

Prueba externa

En las pruebas de penetración externa, el probador localiza y evalúa las debilidades para comprobar que probabilidades tiene un delincuente remoto de acceder a tus sistemas y atacarlos; la prueba se lleva a cabo haciendo pesquisas con información disponible de forma pública, que es fácilmente accesible para un extraño.

Prueba interna

Una prueba de penetración interna se realiza después de la prueba de penetración externa; aquí, los expertos descubren qué elementos podrían ser atacados, alterados, eliminados o modificados por un miembro del personal de tu empresa o un proveedor externo que tenga acceso a tu sistema, por lo que entre las etapas de esta prueba de penetración se incluye la verificación de puertos abiertos y la detección de huéspedes activos.

Prueba ciega

Con el método de prueba de penetración ciega, no se proporciona información alguna a los piratas informáticos éticos que intentan ingresar en un sistema, solo el nombre de la organización, para así evaluar qué tan profundo puede acceder un atacante sin privilegios a tu sistema.

Prueba doble ciega

En las pruebas de penetración doble ciegas, los empleados no saben que acontece un simulacro de prueba de penetración, lo que permite verificar las respuestas de los empleados y evaluar su nivel de preparación; si la respuesta no es la esperada, los empleados pasan a recibir capacitación para el manejo y reacción adecuadas ante tales situaciones.

Prueba dirigida

En este último método de prueba de penetración, los piratas de sombrero blanco y los equipos de seguridad verifican de manera coherente la competencia, atención y alcance de la mejora de los demás miembros de la compañía; este tipo de pruebas de penetración brinda información en tiempo real sobre las posibles vulnerabilidades que puede encontrar un pirata informático.

Pensamientos finales

Como puedes ver, existen muchos tipos de técnicas de prueba de penetración; la elección de uno u otro depende de las necesidades y recursos de tu empresa, por lo que te recomendamos primero elegir el área que deseas probar y luego revisar la lista que te hemos ofrecido para determinar qué estilo, técnica y método son los más adecuados para su negocio; es necesario tener en cuenta los beneficios y riesgos de las pruebas de penetración para que tu empresa funcione debidamente y este a salvo de ataques informáticos.

8 tipos comunes de registros DNS

8 tipos comunes de registros DNS

¿Qué es un registro DNS? Básicamente es un registro de un sistema de nombres...

Read More
¿Qué es un gusano informático y cómo funciona?

¿Qué es un gusano informático y cómo funciona?

Imagina que pasaría si una persona no autorizada obtiene acceso a todos los archivos...

Read More
¿Qué tan peligroso es el malware híbrido?

¿Qué tan peligroso es el malware híbrido?

Los criminales cibernéticos siempre encuentran la forma de piratear sistemas para robar y causar...

Read More
×