Cómo realizar pruebas de penetración de red en 2025

por | Mar 11, 2025 | Seguridad Informática | 0 Comentarios

Bienvenidos, en este artículo veremos Cómo realizar pruebas de penetración de red en 2025. Comparte este articulo y síguenos para recibir más guías y cursos.

Para saber más comente a continuación, respondemos todos y cada uno de los comentarios.

¿Te gustaría enterarte de cuando lanzamos descuentos y nuevos cursos?

Una prueba de penetración de red es una de las evaluaciones de seguridad fundamentales de una organización. Esta guía esencial le enseñará cómo realizar pruebas de penetración de red, las ocho fases clave involucradas y los objetivos que las pruebas de penetración de red intentan alcanzar.

El artículo se centra en la realización de una prueba de vulneración interna o supuesta en la que ya se ha obtenido acceso inicial a la red interna de una organización. Se trata de una suposición habitual en las evaluaciones del mundo real, ya que permite al equipo de pruebas dedicar más tiempo a buscar vulnerabilidades. No se pierde tiempo intentando obtener acceso inicial a través de un correo electrónico de phishing o explotando un día cero.

Vamos a sumergirnos y descubrir cómo realizar pruebas de penetración de red.

¿Cuáles son los objetivos de una prueba de penetración de red?

Antes de profundizar en cómo realizar una prueba de penetración de red, echemos un vistazo al objetivo de este tipo de evaluación de seguridad.

A menudo, los controles de seguridad se centran en la defensa del perímetro mediante la construcción de fuertes fortificaciones que mantengan a los malhechores fuera. Sin embargo, muchas organizaciones descuidan la implementación de controles de seguridad que limiten lo que puede hacer un ataque si logra acceder a la red interna. Aquí es donde entra en juego una prueba de penetración de red.

Una prueba de penetración de red evalúa la seguridad de la red interna de una organización. Supone que un atacante pudo obtener acceso a la red interna y pregunta qué puede hacer ahora.

El phishing es el vector de acceso inicial más común que explotan los atacantes. Alrededor del 36 % de todas las violaciones de datos implican phishing , ¡y la cantidad de ataques de phishing crece cada año!

Es fundamental que las organizaciones se hagan esta pregunta porque defender el perímetro ya no es suficiente. Deben estar seguros por fuera y por dentro para defenderse de las bandas de ransomware sofisticadas, las amenazas persistentes avanzadas (APT) y los actores amenazantes de los estados nacionales. Una prueba de penetración de red garantiza esto al apuntar a lograr los siguientes objetivos.

Objetivos de una prueba de penetración de red:

  • Identificación de vulnerabilidades : encuentre posibles debilidades y fallas de seguridad dentro de la infraestructura de red, los sistemas y las aplicaciones internas de una organización.
  • Prueba de controles de seguridad : validar la eficacia de los controles de seguridad existentes que defienden la red interna, como firewalls, antivirus y soluciones EDR.
  • Determinar el impacto : evaluar el impacto de la explotación de vulnerabilidades u otras brechas de seguridad.
  • Validación de cumplimiento : verificar que los sistemas de TI de una organización cumplan con los estándares, regulaciones y mejores prácticas de seguridad cibernética pertinentes.
  • Mejorar la postura de seguridad : ofrecer consejos de reparación y recomendaciones de mejores prácticas para abordar cualquier vulnerabilidad o brecha de seguridad identificada.

En la mayoría de las pruebas de penetración de red, se le asignará una cuenta con pocos privilegios y acceso a la red interna de la organización. Luego, evaluará si puede obtener acceso a información y sistemas confidenciales o realizar una toma de control completa del dominio.

Una prueba de penetración de red consta de ocho pasos.

1. Planificación y preparación

En el paso de Planificación y preparación, usted y el cliente analizarán la actividad de prueba que se debe realizar. Determinarán el alcance de la evaluación, el tiempo necesario para realizar la prueba y los objetivos y metas que usted y el cliente desean alcanzar. Es importante que durante este paso obtenga el permiso legal del cliente para realizar la prueba y firme un contrato legal para llevar a cabo el trabajo.

Hay dos objetivos principales que debes lograr durante este paso de la prueba de penetración:

  1. Obtener acuerdos legales : usted y el cliente deben firmar un contrato legal que describa el trabajo a realizar y le proporcione los permisos legales necesarios para realizar la prueba.
  2. Comunique claramente el alcance del trabajo al cliente : usted y el cliente deben tener absolutamente claras las expectativas de las pruebas de penetración. Esto incluye el tipo de prueba que se realizará (por ejemplo, interna/externa/violación presunta, caja blanca/caja negrapentesting/red teaming ) y qué sistemas están dentro del alcance.

No debe omitir la planificación y la preparación. Este paso garantiza que tenga los permisos legales para realizar el trabajo, sepa qué trabajo debe realizarse y esté protegido si algo sale mal. Una vez que haya terminado, puede comenzar su evaluación.

2. Reconocimiento

El primer paso técnico de una prueba de penetración de red es el paso de reconocimiento. Durante este paso, se recopilará información sobre la organización objetivo, los sistemas internos que se utilizan y la arquitectura de la red.

Hay dos formas de reconocimiento que puedes realizar:

  • Reconocimiento pasivo : recopilación de información disponible públicamente sobre la organización y sus sistemas sin interacción directa con el objetivo.
  • Reconocimiento activo : interactuar directamente con la red y los sistemas de una organización para recopilar información que pueda usarse para identificar vulnerabilidades, debilidades y posibles puntos de entrada.

Probablemente utilices ambas formas de reconocimiento. Por ejemplo, puedes ver nuestra guía sobre OSINT para realizar un reconocimiento pasivo y recopilar información sobre un objetivo. En donde proporcionamos más de 5000 recursos y herramientas para recopilar datos OSINT, como información de dominio, direcciones IP, detalles de aplicaciones web, información de empleados, direcciones de correo electrónico y herramientas o tecnologías que utiliza una empresa.

La inteligencia de fuentes abiertas (OSINT) es información disponible públicamente que puede recopilarse de motores de búsqueda, plataformas de redes sociales y cualquier otra cosa en Internet abierta relacionada con su objetivo.

Luego, puedes complementar esta información utilizando una técnica llamada Google Dorking . Esto implica enviar solicitudes de búsqueda de Google especialmente diseñadas para descubrir información oculta sobre un objetivo. Esta técnica te permite encontrar tipos de archivos específicos, directorios y archivos ocultos, credenciales de inicio de sesión e incluso servidores FTP abiertos.

Según las consultas que hagas en Google, es posible que algunos usuarios realicen un reconocimiento activo porque estás consultando directamente la infraestructura web de la organización. El objetivo puede registrar y rastrear esto, por lo que debes considerar usar una VPN o VPC.

¡Con toda esta información sobre el objetivo, necesitas una herramienta para realizar un seguimiento del mismo!

Una herramienta como Maltego  puede resultar muy útil. Es un software de análisis de vínculos que se puede utilizar para OSINT, análisis forense y otras investigaciones para visualizar vínculos entre los datos que ha recopilado. Puede cargar la información en Maltego para realizar un seguimiento de ella y luego ejecutar máquinas o transformaciones para encontrar aún más datos.

La información que recopile durante este paso se puede utilizar más adelante para determinar posibles cuentas de usuario, identificar las convenciones de nombres que utiliza una empresa y crear listas de contraseñas . Cuanta más información recopile, más sencillos serán los pasos posteriores. Conocerá las tecnologías que se utilizan, las direcciones IP o los nombres de dominio de los activos críticos y tendrá una gran lista de contraseñas a las que acceder por fuerza bruta y utilizar para moverse lateralmente.

3. Escaneo y enumeración

Una vez que hayas recopilado la mayor cantidad de información posible sobre la organización objetivo, puedes pasar a la etapa de escaneo y enumeración. Aquí, escanearás los objetivos que hayas descubierto para intentar identificar vulnerabilidades que puedas explotar.

El escaneo implica enviar paquetes de red a direcciones IP o nombres de dominio para obtener una respuesta que indique si un sistema está activo, qué puertos de red están abiertos y los controles de seguridad. Esto se denomina escaneo de puertos y el objetivo del escaneo es enumerar los servicios de red que se ejecutan en los sistemas de destino. Estos servicios son puntos de acceso potenciales a otras máquinas que puede explotar.

El paso de escaneo y enumeración comenzará con un escaneo de red para identificar los sistemas y servicios que se ejecutan en la red local y que se pueden atacar. Puede utilizar un escáner de red como Nmap  para identificar los sistemas que se pueden atacar y enumerar los servicios que se ejecutan en el sistema .

Si está atacando un entorno de Active Directory (AD), puede utilizar herramientas como PowerShell  o SharpHound  para recopilar información detallada sobre los grupos, usuarios y sistemas de AD. Luego, puede utilizar esta información para trazar rutas de ataque mediante Bloodhound  y descubrir cómo comprometer objetivos de alto valor (usuarios o sistemas).

El escaneo es un proceso cíclico. Realizará un escaneo desde una máquina que haya comprometido inicialmente para encontrar información sobre otros sistemas dentro de la red local. Con esta información, realizará un movimiento lateral y ganará terreno en la red corporativa. Luego, escaneará nuevamente para encontrar nuevos sistemas para atacar.

4. Evaluación de vulnerabilidad

Después de escanear y enumerar el entorno de destino, se utiliza la información recopilada para identificar vulnerabilidades o brechas de seguridad que se puedan explotar. Esto se conoce como evaluación de vulnerabilidades.

Durante una evaluación de vulnerabilidades, utilizará un escáner de vulnerabilidades automatizado para enviar paquetes de red especialmente diseñados a los sistemas que identificó previamente: un escaneo de vulnerabilidades . Estos paquetes generarán una respuesta de los sistemas que indicará si son vulnerables a vulnerabilidades conocidas. El escáner enumerará todas las vulnerabilidades potenciales que pueda tener un sistema, que luego verificará manualmente si existen y son explotables.

Existen varios escáneres de vulnerabilidades que puede utilizar . Uno de ellos es Nmap. Para realizar un escaneo de vulnerabilidades con Nmap, debe utilizar el motor de scripts de Nmap  (NSE). El NSE le permite ejecutar scripts que detectan configuraciones erróneas comunes y vulnerabilidades que puede explotar.

Nuevamente, es importante verificar que estos sean explotables.

5. Movimiento lateral y escalada de privilegios

Las vulnerabilidades explotables le permiten comprometer sistemas y robar datos de usuarios. Utilizará las vulnerabilidades que encuentre durante su evaluación de vulnerabilidades para identificar posibles rutas de ataque que pueda seguir para acceder a sistemas sensibles o tomar el control de cuentas de alto valor.

El movimiento entre sistemas dentro de la red corporativa se conoce como movimiento lateral. Es un paso invaluable durante una prueba de penetración de red porque le permite acercarse a lograr su objetivo de comprometer objetivos específicos u obtener información confidencial.

Existen varias técnicas de ataque que puedes utilizar para realizar movimientos laterales. Algunas de ellas son:

  • Robar el hash de la contraseña NTLM de un usuario y realizar un ataque de paso del hash
  • Atacar el Directorio Activo directamente con keberoasting o un ataque de pasar el ticket.
  • Robar la contraseña de un usuario y usarla para hacerse pasar por él.

Exploremos estas técnicas de ataque con más detalle.

Pasar el ataque de hash

Existen diversas formas de realizar un movimiento lateral. Una de ellas es capturar hashes y utilizarlos en un ataque de pass the hash . En este ataque, robas el hash de la contraseña de otro usuario y lo utilizas para autenticarte en un servicio o sistema al que puede acceder. Esto te permite saltar a este nuevo sistema haciéndote pasar por dicho usuario.

Puedes obtener el hash de la contraseña de otro usuario de varias formas diferentes. Puedes usar la suplantación de ARP  para capturar el hash mientras viaja por la red, o puedes usar Mimikatz para extraer el hash directamente de una máquina comprometida .

Si decide extraer un hash directamente de la máquina, debe tener privilegios de nivel de sistema en Windows y privilegios de nivel raíz en Linux.

Ataques a Active Directory

También puedes realizar movimientos laterales atacando directamente Active Directory (AD). Los ataques a AD incluyen: Kerberoasting, AS-REP Roasting, ataques de pase de tickets, ataques de directiva de grupo de Windows, creación de tickets de oro/plata/diamante, falsificación de certificados y más.

Keberoasting es uno de los ataques AD más populares . El diagrama a continuación detalla los pasos básicos.

Robo de contraseñas

Si no puede robar hashes de contraseñas ni atacar AD, siempre puede atacar el navegador de un usuario mediante el marco de explotación del navegador  (BeEF). Esta herramienta le permite tomar el control del navegador web de un objetivo mediante un correo electrónico de phishing o XSS (Cross-Site Scripting)  y robar sus contraseñas. Con estas contraseñas robadas, puede hacerse pasar por estos usuarios y acceder a máquinas más profundas dentro de la red corporativa que albergan información confidencial.

6. Mantenimiento del acceso y la exfiltración de datos

Una vez que obtiene acceso a un nuevo sistema, desea hacer dos cosas: mantener el acceso y extraer datos confidenciales. Para lograr ambos objetivos, puede utilizar un marco de comando y control (C2).

Mantener el acceso

Los marcos C2 son herramientas que los piratas informáticos utilizan para controlar las máquinas que han comprometido; por ejemplo, Metasploit , PowerShell Empire y Cobalt Strike . Tienen una serie de mecanismos integrados que le permiten mantener el acceso a una máquina comprometida.

Por ejemplo, puede modificar las claves de registro para ejecutar un shell inverso  al iniciar, agregar tareas programadas que ejecutarán un agente C2 y lo llamarán después de un período de tiempo determinado, o crear un servicio malicioso que ejecute su malware cada vez que se inicie el sistema. La siguiente captura de pantalla muestra cómo usar un módulo de PowerShell Empire para crear una tarea programada para persistencia.

Exfiltración de datos

Los marcos C2 también permiten extraer información confidencial de las máquinas que se comprometen. Tienen herramientas integradas que pueden extraer hashes de contraseñas, extraer credenciales guardadas en navegadores web y localizar otras formas de información confidencial. El proceso de recopilar todos los datos de una máquina se conoce como recolección de datos.

Una vez que hayas recopilado todos los datos confidenciales que puedas de una máquina, debes clasificarlos para averiguar qué puedes hacer con ellos. Si encuentras hashes de contraseñas, puedes usarlos para realizar un ataque de pass the hash  o usar una herramienta como Hashcat para descifrarlos y revelar la contraseña .

Otra forma de robar información confidencial para su posterior filtración es interceptarla mientras viaja por la red interna. Para ello, puede utilizar una herramienta como Wireshark.

Wireshark es un analizador de protocolos de red de código abierto  que puede utilizar para capturar e inspeccionar el tráfico de red. Durante una prueba de penetración de red, puede usarlo para interceptar datos confidenciales que circulan por la red corporativa. Estos pueden ser contraseñas, hashes o archivos.

7. Análisis y elaboración de informes

Una vez finalizada la prueba de penetración de la red, pasará a la etapa de análisis y elaboración de informes. Durante esta etapa, repasará todas las actividades que realizó como parte de la prueba de penetración de la red, analizará las vulnerabilidades y las brechas de seguridad que descubrió y detallará sus hallazgos en un informe para el cliente.

Esta es quizás la etapa más importante de la prueba de penetración. Es donde demuestra su valor al brindar consejos prácticos que el cliente puede usar para mejorar su postura de seguridad. Estos son los elementos clave que debe incluir en su informe de prueba de penetración de red.

Elementos clave que debe incluir un informe completo:

  • Resalte las vulnerabilidades según su criticidad e impacto : detalle las vulnerabilidades que encontró según su criticidad utilizando el Sistema de puntuación de vulnerabilidades común  (CVSS) para que el cliente pueda priorizar las brechas que necesita abordar.
  • Ofrecer asesoramiento sobre soluciones a corto y largo plazo : no todos los problemas se pueden solucionar con un parche. Debe ofrecer al cliente soluciones a corto plazo para los problemas y asesoramiento sobre soluciones a largo plazo para abordar problemas institucionales, como el uso de un protocolo de autenticación obsoleto como NTLM.
  • Asigne sus ataques al marco MITRE ATT&CK : el marco MITRE ATT&CK proporciona un lenguaje común que los defensores pueden usar para analizar los ataques. Asignar sus ataques a este marco permite que el cliente comprenda mejor lo que hizo y cómo puede combatirlo.
  • Utilice el sistema de vulnerabilidades y exposiciones comunes (CVE) al hacer referencia a vulnerabilidades : cualquier vulnerabilidad que encuentre debe incluir su número CVE (por ejemplo, CVE-2023-1234). Esto permite que el cliente busque rápidamente la CVE y encuentre consejos de solución pertinentes.
  • Incluya lo que el cliente está haciendo bien : no debe centrarse únicamente en los puntos débiles del cliente. Incluya lo que el cliente está haciendo bien para que sepa qué prácticas de seguridad debe continuar, sus puntos fuertes y dónde debe dedicar más recursos para mejorar.
  • Haga que su informe sea claro, conciso y fácil de seguir : estructure su informe de modo que una variedad de lectores puedan obtener información valiosa de él. Debe incluir una descripción general de su actividad de prueba para que los ejecutivos la comprendan y un análisis técnico profundo para que los profesionales de seguridad puedan implementar las correcciones adecuadas.

Recuerde que el cliente paga por el informe. Dedique el tiempo necesario a hacer su mejor trabajo y demuestre cómo el cliente puede mejorar su seguridad.

8. Actividades posteriores al compromiso

La entrega del informe de la prueba de penetración al cliente no es la etapa final. Es muy recomendable que realice actividades posteriores a la interacción con el cliente para ayudarlo a comprender lo que hizo, cómo lo hizo y cómo puede protegerse contra esto en el futuro.

Las actividades posteriores a la contratación suelen incluir una sesión informativa con el cliente en la que se analizan los resultados de las pruebas de penetración de la red, incluidos los detalles técnicos sobre las vulnerabilidades o las brechas de seguridad que se pudieron explotar. Esto permite que el equipo de seguridad técnica comprenda mejor los consejos de reparación que se brindaron y tomen medidas. Es posible que le pidan que vuelva a probar las vulnerabilidades que encontró para verificar que se hayan solucionado de manera eficaz.

Durante la sesión informativa con el cliente, también puede hablar con gerentes o ejecutivos de nivel superior sobre estrategias de mitigación a largo plazo, como cambios de políticas, inversiones en herramientas de seguridad más avanzadas o decisiones tácticas para mejorar la postura de seguridad de la organización.

Recuerde mencionar la necesidad de realizar pruebas de penetración periódicas durante la reunión informativa con el cliente y su papel en la mejora continua de la seguridad de una organización.

Consideraciones éticas y legales

Durante las actividades de prueba de penetración de la red, es importante tener en cuenta las ramificaciones éticas y legales de sus acciones. Debe comprender las implicaciones legales de realizar pruebas de penetración y las leyes específicas que pueden aplicarse en su caso según el estado, el país o la jurisdicción en la que opere. Siempre debe mantenerse dentro de los límites legales y solo debe dirigirse a los sistemas que se encuentran dentro del alcance y para los que tiene permiso para realizar las pruebas.

La legalidad de sus actividades de prueba de penetración no debe ser su única consideración. Es importante pensar en la ética de sus actividades y en cómo sus acciones pueden afectar a los demás. Por ejemplo, utilizar un correo electrónico de phishing que utilice como pretexto  la muerte de un familiar puede ser legal, pero ciertamente no es ético. Siempre debe ser éticamente responsable durante sus pruebas de penetración y priorizar el bienestar de las personas involucradas.

Conclusión

Una prueba de penetración de red evalúa la seguridad de la red interna de una organización y supone que un atacante pudo obtener acceso inicial a esta red. Su objetivo es descubrir vulnerabilidades y brechas de seguridad que los atacantes pueden explotar para acceder a sistemas críticos o extraer datos confidenciales.

Descubrió que una prueba de penetración de red exitosa sigue ocho pasos principales que requieren herramientas y habilidades de piratería especiales para realizarlas. Al realizar la prueba, es importante considerar las ramificaciones éticas de sus acciones y asegurarse de no salirse del alcance y atacar sistemas que no tiene permiso legal para probar por parte del cliente.

Enviar comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *