Glosario de términos relacionados con la privacidad en Internet

Pruebas de penetración

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

¿Qué son las pruebas de penetración?

Las pruebas de penetración son un proceso que audita la seguridad de un sistema o red simulando un ciberataque. El objetivo de las pruebas de penetración es identificar de forma segura y legal posibles puntos de vulnerabilidad en un sistema para que las debilidades puedan ser abordadas antes de que sean explotadas por atacantes reales. Los probadores de penetración a menudo usan las mismas herramientas y enfoques que los atacantes, y prueban todos los aspectos del sistema, incluyendo hardware, software, seguridad física, y capacitación y actividad del personal.

También conocido como pen testing, este tipo de auditoría puede aplicarse a cualquier aspecto de un sistema o red diseñado para ser seguro. El pen testing puede buscar vulnerabilidades explotables en hardware (como servidores, routers, laptops y dispositivos móviles), redes, uso de computación en la nube y almacenamiento, configuraciones de software y aplicaciones web (incluyendo interfaces de Internet de las Cosas), interacción de datos a través de APIs, y credenciales de individuos. La conciencia de seguridad de los empleados también puede ser evaluada probando tanto las actividades físicas como virtuales—cosas como cómo se maneja un intento de phishing o si es posible pasar la seguridad y entrar al edificio físico o a una sala segura.

¿Por qué son importantes las pruebas de penetración?

El objetivo de las pruebas de penetración es encontrar las debilidades de un sistema ante ataques externos, intentos internos de superar los niveles de acceso permitidos o simples errores de empleados. Los ataques “reales” pueden llevar a violaciones de datos, ransomware o interrupciones generales en el negocio de una organización, por lo que las pruebas de penetración están destinadas a dar a una organización una mejor imagen de las vulnerabilidades no mitigadas, junto con una idea de cómo priorizar las correcciones. Sin pruebas de penetración, una organización corre el riesgo de descubrir una vulnerabilidad solo después de haber sido explotada por un atacante.

Aunque algunas pruebas de penetración son voluntarias, una organización puede estar sujeta a regulaciones que requieran prueba de que los datos sensibles están protegidos. RGPD y HIPAA ambos contienen requisitos de que cualquier sistema que contenga datos sensibles sea regularmente probado y evaluado por una adecuada seguridad. El pen testing se acepta como una excelente manera de cumplir estos requisitos. PCI DSS, un estándar global que aplica a cualquier organización que maneje datos de tarjetas de crédito, específicamente requiere pruebas de penetración regulares.

Herramientas utilizadas en pruebas de penetración

Las pruebas de penetración son más efectivas cuando son exhaustivas y completas, lo que puede ser especialmente desafiante cuando se trata de sistemas complejos o grandes. Para ayudar con el gran alcance de algunas situaciones de pen testing, hay paquetes de software disponibles para ayudar a completar pruebas bien documentadas o repetitivas. A menudo, los paquetes de software se combinan con una biblioteca de exploits conocidos utilizados en el pasado por atacantes y métodos para probarlos. Estos paquetes son utilizados notablemente tanto por los probadores para probar un sistema como por los hackers para atacarlo.

Algunas pruebas de penetración pueden ser realizadas por no especialistas, usando una parte de estos mismos paquetes de software. Las pruebas de penetración más complejas generalmente son realizadas por expertos independientes de terceros, quienes pueden usar estas herramientas como ayudas, pero en general no dependen exclusivamente de ellas. Los probadores de penetración independientes a menudo son una mejor opción que el personal interno, ya que no están influenciados por el conocimiento interno o una falsa sensación de confianza en el sistema.

Tipos de pruebas de penetración

Una prueba de pen puede ser uno de varios escenarios, cada uno diferenciado por cuánta información tiene inicialmente el probador de pen sobre el sistema que se está probando:

  • Pruebas de caja blanca (también llamado pruebas transparentes o abiertas): Los probadores de pen reciben información sobre el sistema que se está probando antes de comenzar la prueba. En una prueba de caja blanca, el probador de pen puede crear un plan de prueba que cumpla con los objetivos de la prueba, ya sea una cobertura completa o pruebas enfocadas en un aspecto particular del sistema. Tener conocimiento avanzado del sistema puede acelerar la tarea, reduciendo parte del tiempo del proyecto que de otro modo se gastaría en investigar un sistema desconocido.
  • Pruebas de caja negra (también llamado pruebas opacas o cerradas): Los probadores de pen no reciben información sobre el sistema de antemano. Las pruebas de caja negra simulan más de cerca un ataque real y pueden proporcionar una mejor visión sobre cómo un hacker podría abordar el sistema.
  • Pruebas de caja gris (también llamado pruebas semi-transparentes): El probador de pen recibe una cantidad limitada de información sobre el sistema. Por ejemplo, al probador se le pueden proporcionar credenciales básicas de inicio de sesión para obtener acceso a través de la primera capa de protección del sistema. Esto les permite concentrar sus esfuerzos en probar las capas más profundas, quizás más sensibles, del sistema.

La base de conocimiento del punto de partida no es la única variable en un escenario de prueba de penetración. Otra variable es si el equipo de seguridad interno recibe aviso de que está ocurriendo un evento de prueba de penetración. El equipo de seguridad interno puede no ser informado con antelación, resultando en pruebas de la vida real de las respuestas del equipo de seguridad a una amenaza de seguridad. En algunas situaciones, el probador de penetración y el equipo de seguridad interna pueden trabajar juntos en una simulación, llamada Equipo Rojo vs. Equipo Azul. Esto permite reacciones en tiempo real y crea oportunidades de aprendizaje para el equipo de seguridad interna.

Etapas de las pruebas de penetración

Las pruebas de penetración completas pueden ser bastante complicadas y requieren un cierto nivel de organización para ser efectivas. Los pasos típicos de una prueba de penetración podrían verse así:

  • Planificación: El punto de partida donde un probador de penetración se hace una idea de cómo es el sistema y decide qué probar. Una prueba de caja blanca proporcionará mucho de este material, mientras que una prueba de caja negra requerirá reconocimiento independiente por parte del probador.
  • Escaneo: En esta etapa, el probador de penetración observará el sistema, aprenderá cómo funciona e identificará posibles vulnerabilidades que pueden proporcionar formas de infiltrarse.
  • Ganar acceso: Luego, el probador de penetración usará lo que ha aprendido en la etapa de escaneo para realizar ataques en las vulnerabilidades potenciales identificadas y tratar de ganar acceso al sistema.
  • Mantener acceso: Si el probador logra ganar acceso, el siguiente objetivo es ver cuánto tiempo pueden mantenerlo. En un ataque real, un hacker querrá ganar un punto de apoyo en el sistema para poder hacer más daño, avanzar hacia áreas más seguras, o robar datos por un período prolongado. El probador de penetración intentará estas mismas tareas para comprender mejor lo que un hacker podría lograr.
  • Análisis e informe: El probador de penetración preparará un informe para la organización detallando las vulnerabilidades expuestas y posibles remediaciones. El probador también necesitará limpiar cualquier código que haya insertado o inicios de sesión creados como parte de sus actividades de infiltración.

¿Cuándo se realizan pruebas de penetración?

Los sistemas siempre están evolucionando—nuevas vulnerabilidades pueden introducirse con nuevo hardware, actualizaciones de software, agregar nuevos usuarios o alterar los permisos de los usuarios existentes, y más. También surgen nuevas amenazas cuando se descubren nuevas vulnerabilidades en el código existente, o los hackers desarrollan nuevas herramientas para atacar los sistemas. El valor de las pruebas de penetración es que pueden identificar vulnerabilidades y crear un camino hacia la remediación antes de que un hacker las encuentre y cause problemas mucho mayores.

En respuesta a este entorno de amenazas en constante cambio, las pruebas de penetración deben realizarse regularmente, con la frecuencia basada en las necesidades y el presupuesto de la organización. Algunas regulaciones requieren pruebas de penetración tan a menudo como trimestralmente. Las pruebas de penetración también son útiles de forma ad hoc cuando hay un cambio significativo en el entorno cibernético—interno o externo. Se puede ejecutar una prueba de penetración a pequeña escala para enfocarse en una nueva amenaza particular.

¿Las pruebas de penetración me protegen?

Mientras las pruebas de penetración se realizan a nivel organizacional, también protegen al individuo. Los sitios web, aplicaciones y bases de datos de las empresas que realizan pruebas de penetración frecuentes generalmente están mejor protegidos contra las amenazas de los hackers. Esto significa que sus datos y su actividad en línea también están mejor protegidos. Al elegir usar y apoyar a las empresas que realizan pruebas de penetración frecuentes (o están obligadas a cumplir con ciertos estándares de prueba), y combinar eso con otros pasos personales de privacidad como una VPN y un navegador de privacidad como Brave, puede contribuir a mejorar su seguridad en línea.

¿Te atreves a descubrir el nuevo Internet de Brave?

Brave está desarrollado por un equipo de precursores de la web centrados en el rendimiento y la privacidad. Ayúdanos a solventar las deficiencias de la navegación.