Los ciberdelincuentes se actualizan de manera permanente, buscando como conseguir dinero. Pero desde luego, no se caracterizan por su pasión por el trabajo duro y decente. Al contrario, son oportunistas: aprovecharán brechas, descuidos y vulnerabilidades en tu empresa o equipos para poder obtener recursos con los cuales extorsionarte o venderlos para obtener dinero fácil.

Para evitar esto, los hackers de sombrero blanco y otros expertos en seguridad informática, desarrollan habilidades igualmente ofensivas opero con características éticas. Una de las estrategias usadas, es la que veremos hoy: el Pentesting.

En qué consiste

Los hackers éticos, desarrollan estos Test de intrusión que tiene como eje central, intentar ingresar a los sistemas de tú empresa. Por supuesto, al ser un servicio brindado por profesionales, se negocian a nivel contractual los alcances del “ataque”, donde tu determinas hasta donde y en que partes se podrá realizar el análisis.

El hacker, intentará ingresar a tus datos con el firme propósito de evaluar la resistencia y el comportamiento del sistema sometido a presión, para luego en un informe asentar las recomendaciones de protección ideal en vista de los defectos que se encuentren.

Un detalle a destacar es que cada Pentesting es único, debe ser personalizado en función de las necesidades y características del entorno o empresa a evaluar.

Hay que entender que los hackers éticos intentarán simular de la manera más cercana y precisa posible, un ataque de hacking real en manos de ciberdelincuentes. Por esto, es que las condiciones contractuales deben ser claramente definidas de acuerdo a un análisis especifico de la empresa y sus colaboradores, para detectar de mejor manera posibles puntos de ingreso.

Etapas Principales

Análisis: esta etapa, recibe distintos nombres de acuerdo al equipo. Puede ser llamada planificación o evaluación, pero el objetivo es el mismo: evaluar la situación y establecer las metas. Esto, es por escrito, en el contrato entre ambas partes, donde se detallará:

  • Necesidad a cubrir/evaluar
  • Objetivos que se pretenden alcanzar
  • Limite y alcance del ataque
  • Duración del ataque
  • Consentimiento y conocimiento explícito del ataque

Detección: el equipo de intrusión, analizara la estructura completa de la red o el sistema a evaluar. Con esto, encontrará servidores, equipos, herramientas de seguridad, aplicaciones e incluso algunos test localizan las clases de usuario que tiene el sistema (usuario, súper usuario, administrador, etc.).

Las herramientas que pueden usar para esto, son variadas y dependen de múltiples factores. El propósito de esta etapa es encontrar vulnerabilidades, debilidades y fallas conocidas y comunes, o particulares.

Intrusión: esta etapa, llamada también ataque o test, es el momento en el cual el equipo, con lo adquirido en la etapa anterior, se centra en intentar entrar al sistema, aprovechando el conocimiento adquirido. El ataque tiene múltiples formas de llevarse a cabo y es crucial que este tipo de test se mantengan lo más discreto y confidencial posible. Alertar a los miembros de la empresa de que sufrirán un ataque, se aleja de la realidad y puede manipular los resultados finales.

Informe: llamada también reporte, es el momento en el cual el equipo de hackers éticos presenta sus conclusiones finales sobre la situación general. Este informe lleva un resumen detallado de las actividades realizadas, las vulnerabilidades halladas, el grado critico de las mismas y como afecta de manera global y específica a la empresa.

Errores frecuentes

Evaluar de manera general a una empresa, no es tarea fácil. A causa de ello, pueden ocurrir diversos errores debido a inexperiencia o falta de un correcto análisis.

Entre los errores más frecuentes podríamos encontrar los siguientes:

Informes defectuosos o deficientes: Es crucial que el equipo de intrusión realice informes lo más completo y detallados posibles, pero orientados a gente de IT, así que deberían ser redactados con lenguaje sencillo y claro. Normalmente las personas que toman las decisiones en las empresas, poseen poco conocimiento técnico, pero son los que deciden realizar cambios.

No realizar un informe óptimo, impactara de manera directa en las consecuencias de la empresa, de los usuarios y del contenido o los datos que manejen.

Errores de priorización: En ocasiones, debido al conocimiento que posee el pentester, suele ocurrir que los ataques se dan en base al fuerte del hacker y no en base a lo realmente preocupante. No profundizar debidamente con el cliente sobre los propósitos de esto, puede ocasionar graves fallos de interpretación.

Técnica y tecnología obsoleta: Los cibercriminales están a la vanguardia siempre. Usar técnicas obsoletas o tecnología que ya quedo fuera de vigencia, puede dar resultados erróneos, mostrando en el informe una empresa segura cuando podría ser todo lo contrario. Es necesario que los profesionales éticos estén al tanto de los nuevos avances para ser más efectivos en su rol.

No es necesario recordar que este tipo de pruebas deben permanecer confidenciales totalmente. Los profesionales de seguridad informática deben caracterizarse por su ética y moral férrea, para poder manejar información confidencial y no usarla para dañar.

Ventajas de realizar Pentesting con frecuencia

Algunas ventajas que puedes encontrar, son:

  • Permite a las empresas establecer mejores medidas de seguridad
  • Auditar el nivel de cercanía con estándares y certificaciones de seguridad
  • Asegurar que la empresa puede seguir siento competitiva con el estándar alto en el mercado
  • Analizar el verdadero nivel y alcance en áreas de seguridad informática de la empresa

Desde aquí, te recomendamos que realices prácticas de Pentesting con frecuencia en tu empresa para evaluar y corregir las cosas que sean necesarias.

Espero que hayas disfrutado la lectura de este artículo, recuerda dejarme un comentario en mis RRSS.

Si te gusto el Articulo, Sumate al Newsletter y enterate por correo de los Nuevos Articulos!