Debido a de los fraudes y robos de información sufridos por numerosas empresas, surge la práctica del Pentesting, que es una de las técnicas más novedosas en cuanto a lo que a Seguridad Informática se refiere.
El Pentesting es una abreviatura formada por dos palabras “penetration” y “testing” y es una práctica/técnica que consiste en atacar diferentes entornos o sistemas con la finalidad de encontrar y prevenir posibles fallos en el mismo.
El Pentesting o también llamado test de penetración está diseñado para determinar el alcance de los fallos de seguridad de un sistema. Asimismo, es una de las practicas más demandadas actualmente ya que gracias a estos test, una empresa puede llegar a saber a qué peligros está expuesta y cuál es el nivel de eficiencia de sus defensas. Por eso, el “Pentester” o Auditor de ciberseguridad es una de las profesiones más demandas dentro del mundo de la Seguridad Informática, lo que los convierte en uno de los profesionales más solicitados del momento, al igual que las escuelas donde se imparte esta especialización.
Existen varios tipos de Pentesting que se clasifican según el tipo de información que se tenga a la hora de realizar los test:
Pentesting de caja blanca “White Box”
En este caso, el Pentester o Auditor conoce todos los datos sobre el sistema: Estructura, contraseñas, IPs, firewalls… Y suele formar parte del equipo técnico de la empresa. Es el más completo y forma parte de un análisis integral de la estructura. Gracias a toda esta información preliminar es relativamente fácil saber qué puede ser modificado o mejorado dentro de la arquitectura del sistema.
Pentesting de caja negra “Black Box”
Es el tipo de pentesting más “real” ya que, el Pentester no tiene apenas datos sobre la organización y actúa como un ciberdelincuente más. Por eso, como si fuera una prueba “a ciegas” se debe descubrir las vulnerabilidades y amenazas en la estructura de la red.
Pentesting de caja gris “Grey Box”
Puede definirse como la mezcla de los dos anteriores, el auditor posee cierta información a la hora de realizar el test, la suficiente para no partir de cero. Es el tipo de pentest más recomendado ya que se necesitará tiempo y medios para poder realizar este test de penetración en su totalidad.
El trabajo que realiza un Pentester consiste en seguir varios procesos o pasos determinados que garanticen un buen examen y que pueda realizar así todas las averiguaciones posibles sobre fallos o vulnerabilidades en el sistema, entre los que se encuentra:
Determinar Auditoría
En esta fase el Pentester debe evaluar con qué datos cuenta y qué tipo de Pentesting va a realizar. Normalmente el cliente determina el tipo de información que puede ofrecer al analista y tipo de test que quiere que se realice en el sistema.
Recogida de información
El Pentester debe realizar varias pruebas para analizar las vulnerabilidades, fugas de información …. Utilizará varias herramientas y valorará aspectos clave como la manera de proceder de los empleados o el entorno.
Acceso al sistema
Después de recabar la información y analizar de qué manera se va a actuar, se organizan los ataques y se mantiene el acceso al objetivo a atacar.
Elaboración del informe
En el informe deben aparecer el alcance e impacto de los fallos de seguridad atacados, así como una recomendación para poder minimizarlos o suprimirlos.
