Presidente del CONSEJOSI
Las Pruebas de Penetración, Hacking Ético, o Penetration Testing en Inglés y abreviado “pentest”, es una herramienta de diagnóstico particularmente útil para responder la pregunta: ¿Qué pasaría si un hacker decidiera atacarnos hoy?
Al día de hoy, la única manera de responder esa pregunta es atacando. En este sentido, el pentest es una simulación de un ataque que permite conocer las vulnerabilidades explotables de una red, aplicación, sitio web o cualquier otro activo informático dentro de un alcance determinado, sin causarle daño al cliente.
En este artículo abordaremos los siguientes temas relacionados:
1. Beneficios de realizar un pentest
2. Los estándares internacionales y certificaciones
3. Lo mínimo que debes esperar al contratar este servicio
Hay otros temas relacionados con el pentest que estaremos compartiendo dentro de esta serie de contenido. Te sugerimos suscribirte a nuestro canal de YouTube y página de LinkedIn para que te enteres de los nuevos artículos y videos.
1. Beneficios de realizar un pentest
Identifica Vulnerabilidades Explotables
A diferencia del Análisis de Vulnerabilidades, el pentest sí explota las vulnerabilidades y de esa manera se puede conocer el impacto potencial de un ataque.
¿Qué significa explotar la vulnerabilidad en este contexto? En el contexto de una prueba de penetración, explotar una vulnerabilidad significa utilizar una debilidad en un sistema, aplicación o red para obtener acceso no autorizado, ejecutar comandos, obtener información confidencial, o causar algún tipo de afectación a la confidencialidad, integridad o disponibilidad de la información.
Una vez que se ha identificado una vulnerabilidad en un sistema durante un pentest, se busca explotarla mediante la utilización de herramientas y técnicas especializadas para aprovechar la debilidad y obtener acceso a datos o sistemas. Esto nos lleva al siguiente punto, que resalta la importancia de informar y remediar las vulnerabilidades encontradas.
Mejora la Postura de Ciberseguridad
Al reportar los hallazgos, el proveedor del servicio debe entregar un plan de remediación, en ocasiones llamado plan de acción, para remediar las vulnerabilidades explotadas.
De esta manera, si el proveedor realizó un trabajo exhaustivo, conducido por uno o varios consultores con fuertes habilidades técnicas, el cliente obtendrá la lista de las vulnerabilidades explotables de más alto impacto y al remediarlas, estará elevando la ciberseguridad de su organización.
Útil para Mitigar Riesgos
El pentest es un instrumento útil para demostrar que un riesgo se ha materializado. Es decir, aporta evidencia incontrovertible a los decisores de que es posible que la organización sufra daños si un hacker los ataca.
La explotación de las vulnerabilidades permite además conocer el impacto que tendría el ataque. Algunos ejemplos de estos impactos pueden ser:
1. Fuga de información confidencial de clientes y empleados.
2. Fraudes en donde se desvían fondos destinados a proveedores.
3. Robo de contraseñas que dan acceso a los sistemas de información.
4. Inhabilitación de sistemas o servicios por ataques a la disponibilidad o de secuestro de información (ransomware).
Las Pruebas de Penetración le dan visibilidad a estos impactos de negocio, más allá de solamente reportar una vulnerabilidad. De esta manera se conocen mejor los riesgos y dirigen los esfuerzos para mitigarlos.
Confianza
Una organización que realiza pentests demuestra a sus clientes, colaboradores, proveedores y accionistas que está comprometida con la ciberseguridad y que está tomando medidas para proteger su información. No solamente la información de la propia organización, sino también la de sus clientes, proveedores y colaboradores.
Además, mediante la ejecución de pentests la organización puede:
1. Valorar la efectividad de los controles de seguridad implementados y validar su correcto funcionamiento.
2. Identificar nuevos riesgos o amenazas emergentes que no se habían considerado anteriormente. Esto prepara a las organizaciones ante nuevos vectores de ataque que continuamente están surgiendo.
3. Mejorar la detección de ataques y evaluar su capacidad de responder a incidentes. Debido a que un pentest es la simulación de un ataque tal como lo haría un hacker, esto evalúa también la capacidad de respuesta de la organización ante los ataques lanzados.
Considerando todos los beneficios que un pentest le ofrece a una organización, es razonable afirmar que su costo, comparado con el costo los daños que causan los ciberataques, es significativamente menor y por lo tanto, aporta una sólida relación costo-beneficio.
2. Estándares internacionales y certificaciones
Existen diversos estándares internacionales que describen o especifican la ejecución de pruebas de penetración. Entre los más conocidos se encuentran:
ISO/IEC 27035: Este estándar, especifica los requisitos para la gestión de incidentes de seguridad de la información, incluyendo la planificación, ejecución y reporte de pentests.
NIST SP 800-115: Este estándar del Instituto Nacional de Estándares y Tecnología (NIST) de Estados Unidos proporciona una guía para la realización de pentests.
OWASP Testing Guide: Esta guía de la Open Web Application Security Project (OWASP) proporciona una metodología para la realización de pruebas de pentests específicamente en aplicaciones web.
PCI DSS: El estándar de seguridad de la información de las tarjetas de pago (Payment Card Industry Data Security Standard - PCI DSS) requiere que las empresas que procesan pagos con tarjeta de crédito realicen pruebas de penetración anuales.
Además de estos estándares, también hay algunas regulaciones gubernamentales y normas industriales que pueden requerir pentests. También, el cumplimiento de normas de seguridad de la información en sectores como el bancario, financiero, de infraestructura crítica, o las empresas que cotizan en bolsas de valores.
Las personas que realizan pentests pueden acceder a diversos cursos y adquirir certificaciones que son internacionalmente reconocidas. Entre las más destacadas se encuentran:
2. Certified Ethical Hacker (CEH) de EC-Council
3. Offensive Security Certified Professional (OSCP) de Offensive Security
4. GIAC Penetration Tester (GPEN) de SANS Institute
3. Lo mínimo que debes esperar al contratar este servicio
1. Que al iniciar el proyecto, el proveedor de servicio, aclare todas sus preguntas y quede debidamente acordado el alcance del proyecto. Aunque esto último se especifica antes en la propuesta, en ocasiones hay cambios de última hora que deben quedar acordados antes de iniciar.
2. Si en el alcance se van a incluir pruebas lanzando ataques a la disponibilidad, es importante acordar la fecha y hora para evitar que afecte a los usuarios de los servicios.
3. Durante las pruebas de penetración, si se contrató a una empresa de reconocido prestigio, solvencia moral y técnica, no deberían causar ningún daño a la información. Este aspecto es muy importante porque en ocasiones se recurre a personal con poca experiencia y sin certificaciones para realizar este tipo de pruebas, los cuales representan un riesgo para sus clientes.
4. Lo más común es que las pruebas concluyen en una fecha acordada previamente y también se agenda la fecha de entrega de reportes.
Actualmente el CONSEJOSI se encuentra en la etapa final del diseño del Estándar para Reportar Pruebas de Penetración (ERPP), el cual especifica los formatos en los que se reporta a tres audiencias diferentes:
1. Técnicos: Al personal de Tecnologías de la Información, al de Ciberseguridad, Auditoría de TI y otras partes interesadas dentro de la organización que dominen el lenguaje técnico.
2. Negocio: Esta audiencia la integra la Alta Dirección y aquellas áreas de negocio que les resulte relevante conocer esta información y que tengan la debida autorización para manejar estos reportes confidenciales. El reporte dirigido a esta audiencia evita el lenguaje técnico y principalmente atiende los aspectos de negocio y riesgo de los resultados.
3. Terceras partes: Este grupo está constituido por todos aquellos que se encuentran fuera de la organización y que tienen un interés en conocer los resultados del pentest. Entre ellos podemos incluir a clientes, proveedores, autoridades y organismos reguladores, entre otros.
5. Una vez que se entrega el plan de remediación al cliente, el cual sintetiza los hallazgos clasificados de acuerdo a su impacto y ofrece los cambios que se requieren para eliminar o compensar las vulnerabilidades, el proveedor del servicio debe ofrecer un periodo de soporte técnico para la remediación.
6. Al finalizar la remediación, es conveniente que el proveedor del servicio compruebe que se haya realizado correctamente.
En resumen
Las pruebas de penetración, penetration testing, hacking ético o pentest es la simulación de un ataque, sin causar daños. Identifica vulnerabilidades explotables, mejora la postura de ciberseguridad de la organización mediante la remediación de las vulnerabilidades identificadas en los hallazgos, es útil para mitigar riesgos, conocidos o nuevos, que se identifican en la prueba y mejora la confianza en la organización.
Existen estándares internacionales que describen o especifican su ejecución, así como certificaciones para los especialistas. Por lo tanto, al ser un servicio cuya calidad depende del talento humano, las certificaciones y dominio de los estándares internacionales del proveedor del servicio son aspectos clave para evaluar entre las diversas opciones.
Finalmente, al contratar, exija que los resultados se los entreguen conforme al Estándar para Reportar Pruebas de Penetración (ERPP) del CONSEJOSI. Así podrá obtener el máximo valor de este servicio.
