Las pruebas de penetración son una forma en que los expertos en seguridad cibernética prueban un sistema simulando un ataque. Implica tratar intencionalmente de superar la seguridad existente y puede ayudar a las empresas a descubrir si sus sistemas pueden resistir un ataque.
Si está leyendo sobre ciberseguridad, el término prueba de penetración surgirá como una forma de ver si los sistemas son seguros. Sin embargo, ¿qué son las pruebas de penetración y cómo funcionan? ¿Qué tipo de personas realizan estas pruebas?
¿Qué es la prueba de pluma?
Las pruebas de penetración, a menudo denominadas pruebas de penetración, son una forma de piratería ética en la que los profesionales de la ciberseguridad atacan un sistema para ver si pueden atravesar sus defensas, de ahí la «penetración». Si el ataque tiene éxito, los evaluadores de penetración informan al propietario del sitio que encontraron problemas que un atacante malicioso podría explotar.
Debido a que la piratería es ética, las personas que realizan la piratería no buscan robar ni dañar nada. Sin embargo, es importante comprender que, además de la intención, las pruebas de penetración son ataques en todos los sentidos. Los evaluadores de penetración utilizarán todos los trucos sucios del libro para comunicarse con un sistema. Después de todo, no sería una gran prueba si no usaran todas las armas que usaría un atacante real.
Prueba de penetración frente a evaluación de vulnerabilidad
Como tal, las pruebas de penetración son una bestia diferente a otra herramienta popular de ciberseguridad, las evaluaciones de vulnerabilidad. Según la firma de seguridad cibernética Secmentis en un correo electrónico, las evaluaciones de vulnerabilidad son escaneos automatizados de las defensas de un sistema que resaltan las debilidades potenciales en la configuración de un sistema.
Una prueba de penetración realmente intentará ver si un problema potencial se puede convertir en uno real que se puede explotar. Como tal, las evaluaciones de vulnerabilidad son una parte importante de cualquier estrategia de prueba de penetración, pero no ofrecen la certeza que proporciona una prueba de penetración real.
¿Quién realiza las pruebas de penetración?
Por supuesto, obtener esa certeza significa que debe ser bastante hábil para atacar sistemas. Como resultado, muchas personas que trabajan en pruebas de penetración son hackers de sombrero negro reformados. Ovidiu Valea, ingeniero senior de ciberseguridad de la firma de ciberseguridad con sede en Rumania CT Defense, estima que los ex black hats podrían representar hasta el 70 por ciento de las personas que trabajan en su campo.
Según Valea, quien también es un ex sombrero negro, la ventaja de contratar a personas como él para combatir a los piratas informáticos maliciosos es que “saben cómo pensar como ellos”. Al poder meterse en la mente de un atacante, puede “seguir sus pasos y encontrar vulnerabilidades más fácilmente, pero lo informamos a la empresa antes de que un hacker malicioso lo explote”.
En el caso de Valea y CT Defense, las empresas suelen contratarlos para ayudar a solucionar cualquier problema. Trabajan con el conocimiento y consentimiento de la empresa para descifrar sus sistemas. Sin embargo, también hay una forma de prueba de penetración que realizan los trabajadores independientes que saldrán y atacarán los sistemas con los mejores motivos, pero no siempre con el conocimiento de las personas que ejecutan esos sistemas.
Estos trabajadores independientes a menudo ganan dinero reuniendo las llamadas recompensas a través de plataformas como Hacker One. Algunas empresas, muchas de las mejores VPN, por ejemplo, publican recompensas permanentes por cualquier vulnerabilidad encontrada. Encuentre un problema, repórtelo y reciba pagos. Algunos trabajadores autónomos incluso llegan a atacar a las empresas que no se han registrado y esperan que les paguen por su informe.
Sin embargo, Valea advierte que este no es el camino para todos. “Puedes trabajar durante varios meses y no encontrar nada. No tendrás dinero para el alquiler. Según él, no solo es necesario ser muy bueno para encontrar vulnerabilidades, sino que con la llegada de los scripts automatizados no queda mucha fruta al alcance de la mano.
¿Cómo funcionan las pruebas de penetración?
Aunque los autónomos que ganan dinero encontrando errores raros o excepcionales recuerdan un poco a una aventura digital de capa y espada, la realidad diaria es un poco más realista. Sin embargo, eso no quiere decir que no sea emocionante. Para cada tipo de dispositivo hay un conjunto de pruebas que se utilizan para ver si puede resistir un ataque.
En cada caso, los pentesters intentarán descifrar un sistema con todo lo que se les ocurra. Valea enfatiza que un buen pen tester pasa gran parte de su tiempo simplemente leyendo informes de otros testers no solo para mantenerse actualizado sobre lo que la competencia puede estar haciendo, sino también para obtener algo de inspiración para sus propias travesuras.
Sin embargo, obtener acceso a un sistema es solo una parte de la ecuación. Una vez dentro, los evaluadores de penetración, en palabras de Valea, «tratarán de ver qué puede hacer un actor malicioso con él». Por ejemplo, un pirata informático verá si hay archivos sin cifrar para robar. Si esa no es una opción, un buen evaluador de penetración intentará y verá si puede interceptar solicitudes o incluso vulnerabilidades de ingeniería inversa y tal vez obtener un mayor acceso.
Aunque no es una conclusión inevitable, el hecho es que una vez dentro no hay mucho que puedas hacer para detener a un atacante. Tienen acceso y pueden robar archivos y arruinar operaciones. Según Valea, “las empresas no son conscientes del impacto que puede tener una brecha, puede destruir una empresa”.
¿Cómo puedo proteger mis dispositivos?
Si bien las organizaciones cuentan con herramientas y recursos avanzados, como pruebas de penetración, para proteger sus operaciones, ¿qué puede hacer usted para mantenerse seguro como consumidor cotidiano? Un ataque dirigido puede dañarlo tanto, aunque de maneras diferentes a las que sufre una empresa. Una empresa a la que se le filtran sus datos es una mala noticia, sin duda, pero si le sucede a las personas, puede arruinar vidas.
Aunque la prueba de penetración de su propia computadora probablemente esté fuera del alcance de la mayoría de las personas, y probablemente sea innecesaria, hay algunos consejos de seguridad cibernética excelentes y fáciles que debe seguir para asegurarse de no ser víctima de los piratas informáticos. En primer lugar, probablemente debería probar los enlaces sospechosos antes de hacer clic en ellos, ya que parece ser una forma muy común en que los piratas informáticos atacan su sistema. Y, por supuesto, un buen software antivirus buscará malware.