Skip to main content
pentesting

Pentesting: Qué es, Tipos y Proceso

Escrito por Ginzo Technologies en . Publicado en Blog.

Es un hecho que con el boom del internet hace unos años se ha hecho necesario para las empresas invertir en ciberseguridad, para así poder evitar o contener cualquier tipo de ataque cibernético. A medida que avanza la tecnología los riesgos que pueden poner en peligro el sistema o información confidencial de las organizaciones también incrementa.

Por esto, si se quiere evitar los ciberataques, la ciberseguridad debe avanzar en el mismo nivel que los cambios tecnológicos, una de las herramientas comúnmente usada dentro de esta área es el Pentesting.

El pentesting fue puesto en marcha motivado por la cantidad de fraudes y ciberataques que habían sufrido las empresas, también es llamado testeador de penetración, y se basa en atacar distintos entornos o sistemas mediante un ataque real simulado. El objetivo de esta herramienta es que mediante este ataque se detecten y prevengan la existencia de posibles fallos en la seguridad de la organización. Posteriormente, al finalizar la simulación se genera un informe para que la empresa cuente con toda la información necesaria y corrija las vulnerabilidades.

Esta técnica es especialista en encontrar los errores que pueda tener el sistema, y es bastante usada actualmente por las empresas, ya que así pueden corregir sus debilidades antes de que sean aprovechadas por los ciberdelincuentes. Estas pruebas son realizadas por pentesters, que son auditores de seguridad informática, hay dos tipos, el red team, que son más ofensivos y el blue team que corresponde a la parte defensiva.

Tipos de Pentesting

Existen tres tipos principales de pentesting:

  1. Tests de caja blanca: en esta prueba se tiene toda la información de la aplicación, sistema o arquitectura.
  2. Tests de caja gris: cuenta con información parcial de la aplicación, sistema o arquitectura.
  3. Tests de caja negra: al realizar el test no cuentan con ninguna información sobre la aplicación, sistema o arquitectura.

El tipo de pentesting que se vaya a usar depende de las condiciones que establezca el cliente, por lo general se relacionan con la visibilidad. Además, es lógico que cuanto menor sea la información sobre el objetivo a testear, mayor será la complejidad inicial para realizar la simulación, ya que deberá pasar por la fase de recopilación de información conformada por la fingerprinting y footprinting. En esta fase se establece cual es la visibilidad que se tiene de la aplicación, sistema o arquitectura donde se realizaran los test.

Es por ello por lo que, si no se cuenta con información previa, el esfuerzo será mayor y más meticuloso para recopilar los datos necesarios para evitar realizar varias pruebas en vano y sin resultados.

Proceso de Pentesting

El proceso para realizar el pentesting se conforma por 5 fases:

  1. Recopilación de información: se buscan datos en fuentes abiertas, redes sociales, foros y blogs acerca de la empresa y los empleados.
  2. Búsqueda de una base técnica:  se buscan los recursos que estén, tales como las aplicaciones y medios técnicos con los que cuente la empresa.
  3. Análisis de vulnerabilidades y amenazas: posteriormente se encargarán de detectar las vulnerabilidades que tengan los sistemas y aplicaciones de seguridad, haciendo uso de distintas herramientas y desechos, pueden ser comerciales o desarrolladas por la empresa encargada del pentesting.
  4. Operación y procesamiento de datos: ahora simulan un ciberataque real, para poder conseguir información sobre las vulnerabilidades existentes, mediante un análisis posterior.
  5. Generación de informes: para finalizar se ejecutan y presentan los resultados de la simulación ya completada, incluyendo propuestas para que la organización mejore su sistema de seguridad.
pentesting que es

Métodos utilizados

Son varios los distintos métodos existentes para la realización del pentesting, los más usados te los mencionamos a continuación:

  1. ISAAF: debe sus siglas a Information Systems Security Assessment Framework, con este método el ataque simulado se realiza basándose en información que es organizada de acuerdo con los criterios de los expertos en seguridad cibernética.
  2. PCI DSS: las siglas corresponden al Sistema Payment Card Industry Data Security Standard, y es usado por empresas dedicadas al procesamiento, almacenamiento y transmisión de datos de tarjetas de crédito o débito en las transacciones comerciales.
  3. PTES: sus siglas son debido a Penetration Testing Execution Standard, es de los métodos más usados al comenzar en el pentesting, usa los estándares generados por profesionales de esta área altamente cualificados, de hecho, es considerado un modelo a seguir en libros y cursos de aprendizaje.
  4. OSSTMM: sus siglas son por Open Source Security Testing Methodology Manual, o en español Manual de la Metodología Abierta de Testeo de Seguridad. Es un manual diseñado por más de 150 expertos, que insisten en el desarrollo de un marco de trabajo que facilite hacer auditorías de seguridad más eficientes.

Herramientas para hacer Pentesting

Para finalizar el post te hablaremos de las herramientas más comunes para hacer Pentesting:

  1. Kali Linux: de las mejores del mercado, es una distribución completa de Linux que se especializa en la auditoria de seguridad de sistemas, tiene 300 herramientas que permiten hacer análisis de pentesting, pero se especializan en la ofensiva. No obstante, puedes detectar cualquier fallo del sistema rápidamente y sin mucho esfuerzo. Recuerda que este es el sistema operativo que usan gran parte de los profesionales, por ello, no debes subestimarlo.
  2. Metasploit: se usa cuando ya se conocen las vulnerabilidades del sistema, pero se desconoce su alcance o el daño que pueden llegar a ocasionar. Te ayuda a saber cuáles son las medidas que debes tomar para detener la posible amenaza. Cuenta con una base de exploits de distintas vulnerabilidades, por lo tanto, podrás saber cuál es la gravedad del error. Por todo esto, es de las herramientas más útiles que puedes conseguir.
  3. Burp suite: es de las herramientas más completa, se basa en analizar las vulnerabilidades de páginas web, esto le da valor añadido. Lo que hace es lanzar un conjunto de ataques contra la web en cuestión y en poco tiempo determina los fallos. Solo la usan profesionales, y sus resultados son totalmente certeros. La versión empresarial tiene un coste de aproximadamente 3.000 €, lo que hace que solo esté al alcance de las empresas especializadas en seguridad o profesionales dedicados únicamente a hacer este tipo de análisis de seguridad.
  4. Foca: la herramienta cuenta con varias opciones útiles para realizar una auditoría de seguridad a un sitio web o a la red de una empresa. Se basa en recolectar información de fuentes abiertas OSINT, pone a disposición pública todos los plugins y funciones tanto en la versión pública como la PRO. Incluso puede crear plugins personalizados. Es una herramienta ampliamente usada en el mundo de la seguridad por miles de profesionales, citada en cientos de conferencias de seguridad y usada para hacer estudios de seguridad por hackers en todo el mundo.

En conclusión,  el pentesting es una herramienta sumamente útil que puede ayudarte a conocer como de vulnerable es el sistema de seguridad de tu empresa. Por esto, es necesario que cuentes con los especialistas adecuados, ya que podrás mantener a salvo tu negocio. Esperamos que esta información que te hemos dado en el post te sea de mucha utilidad y que la aproveches mucho.