¿Qué es una prueba de penetración o pentest?

Al día de hoy, la única manera de saber qué pasaría si un criminal decidiera atacar una organización es, atacándola. En este sentido, las pruebas de penetración son una herramienta de diagnóstico que permiten conocer las vulnerabilidades explotables de una red, aplicación, sitio web o cualquier otro activo informático dentro de un alcance determinado.

Existen diversos estándares internacionales que especifican la metodología a seguir en la ejecución de estas pruebas. Además, hay varias certificaciones que los especialistas pueden obtener para demostrar su conocimiento y habilidad: Pentest+, CEH, ECSA y LPT, entre otras.

Aún cuando algunas actividades del proceso se automatizan con herramientas de software especializadas, el talento humano es el factor determinante de un pentest exitoso. Por eso es ampliamente recomendable que quienes realicen estas pruebas hayan adquirido alguna o varias de estas certificaciones y las mantengan actualizadas.

Desde la perspectiva del cliente, la experiencia de contratar este servicio incluye lo siguiente:

1. Una vez contratado el servicio, se realiza una junta de inicio con el o los usuarios. Generalmente con el CISO (Chief Information Security Officer), el CIO (Chief Information Officer) o alguien designado por ellos.

El propósito de esta junta se centra en entregar al proveedor del servicio la información que requiere y que éste a su vez le informe al cliente bajo qué condiciones se llevarán a cabo las pruebas.

2. De todas las actividades que se desarrollan, solamente hay una categoría de pruebas que se realizan en conjunto entre el cliente y el proveedor: los ataques a la disponibilidad. Esto ocurre fuera de horarios hábiles para no afectar a los usuarios de los servicios que se estarán atacando y requieren una ventana de una hora o menos.

3. Una vez concluidas las pruebas, se presentan los resultados ante las partes interesadas del cliente. Es frecuente que el cliente solicite tener primero una reunión con el equipo técnico de TI que estará a cargo de la remediación, es decir, de aplicar los cambios necesarios para proteger lo que se evidenció que es vulnerable.

Posteriormente, a la alta dirección se le presenta un resumen ejecutivo de los hallazgos del pentest. El propósito es mostrar los riesgos que se materializaron durante las pruebas y el impacto respectivo al negocio. Se evita el lenguaje técnico y se enfoca la presentación en los aspectos de negocio.

4. Como parte de los entregables, el equipo técnico obtiene un Plan de Remediación que sintetiza los hallazgos clasificando las vulnerabilidades y orientando hacia los cambios que se requieren para eliminarlas.

5. Mientras se desarrolla la remediación, el proveedor de servicio deberá estar al pendiente para ofrecer soporte técnico. En ocasiones, la remediación recomendada no se puede realizar por razones prácticas. Por ejemplo, es posible que se haya sugerido hacer un cambio en la configuración de un servidor, pero los sistemas de la organización han sido desarrollados con una dependencia de esa configuración. El cambio resultaría en sistemas inoperantes.

Aquí el soporte técnico radica en diseñar un control compensatorio. Es decir, aunque la vulnerabilidad no podrá ser eliminada porque la configuración del servidor en cuestión permanecerá, el control compensatorio evitará que sea explotable.

6. Una vez que el cliente ha concluido la remediación, en el caso de código verde, nos pueden llamar para validar que se haya realizado correctamente. Esto lo hacemos lanzando los mismos ataques que fueron exitosos al principio. La expectativa es que ya no lo sean debido a una remediación exitosa.

7. Conforme va avanzando la adopción de modelos de gestión de la seguridad de la información en las organizaciones, va llegando el turno a la gestión del riesgo de los proveedores. Un caso común de lo anterior son los proveedores a los cuales se les ha confiado información que ahora radica en su infraestructura en la nube. En casos como este es común que se les solicite información acerca de las pruebas de penetración que realizan y otros aspectos de su programa de seguridad de la información.

Como un valor agregado sin costo adicional, en código verde extendemos una Carta Dictamen que expresa nuestra opinión sobre el riesgo de la información en el alcance proporcionado por el cliente para las pruebas. Si la remediación fue exitosa en su totalidad, el riesgo lo calificamos como bajo. Este documento ha sido aceptado inclusive por compañías trasnacionales que han solicitado información a nuestros clientes sobre su postura de seguridad de la información.

En resumen

Una prueba de penetración o pentest es una simulación de un ataque tal como lo haría un criminal, sin causar los daños. Es una herramienta de diagnóstico eficaz que permite visualizar los riesgos materializados. Al depender su éxito del talento de especialistas, la experiencia y certificaciones adquiridas son buenos parámetros para valorar la capacidad del equipo humano que las desarrollará.

Finalmente, una pregunta para la reflexión: De los cientos de pruebas de penetración que hemos ejecutado en código verde en once países del continente, ¿en qué porcentaje considera usted que hemos penetrado?

La respuesta hasta la fecha, en marzo de 2021, es 100%. Es posible que durante algunos años más se mantenga así este indicador. Debo aclarar que no todos los proveedores de este servicio logran este nivel de excelencia. La buena noticia para nuestros clientes es que siempre hemos logrado aportarles valor oriéntandolos en la remediación de las vulnerabilidades explotables que encontramos. En consecuencia, ningún cliente nuestro ha sido atacado después de haber completado exitosamente la remediación. Esperamos poder replicar esto mismo en su organización.

¿Te gustaría aprender cómo gestionar mejor las pruebas de penetración?
Únete al webinar “Pruebas de penetración: ¿Herramienta de diagnóstico o actividad de cumplimiento?”

Por David Taboada, Director General de código verde