La palabra “pentesting” es una contracción de penetration testing, prueba de penetración en inglés. Se refiere a una práctica de ciberseguridad ofensiva en la que se simula el ataque contra un sistema informático; se hace con el objetivo de identificar vulnerabilidades en el activo informático, medir el nivel de exposición del activo y proponer medidas para mitigar los vectores de ataque.
Las pruebas de penetración suelen ser más exhaustivas que las evaluaciones de vulnerabilidad (o análisis blue team). Esto porque los pentesters, además de evaluar las vulnerabilidades, también las explotan con los mismos métodos y herramientas con los que lo haría un cibercriminal. Esta metodología permite tener un panorama completo de los riesgos asociados a una vulnerabilidad y, por tanto, ayuda a valorar la urgencia de la brecha.
En pocas palabras, una prueba de penetración es una auditoría controlada y metodológica, cuyo fin es generar un informe técnico que documente paso a paso cómo se llevó a cabo la intrusión. De igual forma, este documento incluye las recomendaciones del pentester para fortalecer las defensas del activo.
Cabe mencionar que las pruebas de penetración, a diferencia de los ataques reales, están limitadas por las necesidades de la administración del activo que se probará. Por ejemplo, si la administración del activo solicita evaluar un dominio específico, el pentester no podría atacar dominios aledaños para ganar acceso, pues, eso estaría fuera del alcance de la prueba solicitada. Todos estos detalles se deben discutir antes de la prueba y se deben poner de manifiesto en un documento legal que atestigüe la conformidad tanto de la administración, como la del pentester.
La PTES (Penetration Testing Execution Standard) define las siguientes etapas en una prueba de penetración:
1. Pre-engagement Interactions (acuerdo de alcance, reglas).
2. Intelligence Gathering (reconocimiento pasivo/activo).
3. Threat Modeling (identificar activos y vectores).
4. Vulnerability Analysis (detección y verificación).
5. Exploitation (pruebas prácticas de explotación).
6. Post-Exploitation (persistencia, pivoteo, evidencia).
7. Reporting (informe técnico y ejecutivo).
Otras organizaciones o guías proponen diferentes modelos para definir las mejores prácticas en pruebas de penetración; pero, de forma general, todas contemplan: reconocimiento pasivo y activo; evaluación de vulnerabilidades; explotación; escalada de privilegios; elaboración de informe. De cualquier forma, es recomendable tener presente las guías de la NIST (SP 800-115), de OWASP o la de MITRE ATT&CK.
Las pruebas se pueden dividir de acuerdo al conocimiento que tiene el pentester del sistema que intentará vulnerar:
- Black-Box: sin conocimiento previo del sistema. Simula un ataque externo sin información.
- Grey-Box: con información parcial sobre el sistema. Simula el ataque de alguien con acceso limitado.
- White-Box: con conocimiento total. Simula el ataque de alguien con acceso completo al sistema, código o configuraciones y arquitectura. Este tipo de pruebas se hacen para evaluar la seguridad de un sistema contra un ataque interno.
Referencias:
IBM Think – ¿Qué es el Penetration Testing?
Cisco Networking Academy – Ethical Hacker (curso en línea).
Hack4u – Introducción al Hacking (curso en línea).
TryHackMe – Plataformas y laboratorios prácticos de pentesting.
Deja un comentario