INICIO > BLOG

pentesting 1

Cómo llevar a cabo el pentesting en tu empresa

El pentesting o test de penetración es un ataque simulado a un sistema informático con el objetivo de detectar y prevenir debilidades y vulnerabilidades.  Los profesionales encargados de llevar a cabo esta labor se llaman pentester. 

Este perfil también conocido como auditor de ciberseguridad o analista de seguridad cibernética vela por la seguridad de la organización, ya que es imprescindible para cualquier pequeña, mediana o gran empresa evitar o al menos contener los ciberataques.

Gracias a este tipo de pruebas, las empresas pueden poner remedio a sus debilidades antes de que lo hagan los ciberdelincuentes.

Tipos de pentesting

Según el tipo de información de la que disponga el pentester antes de elaborar el test podemos encontrar tres tipos de pentesting:

  • Pentesting de caja blanca (white box)

Es el pentest más completo, ya que el pentester conoce todos los datos del sistema. Suele formar parte del equipo técnico de la empresa. Con los datos obtenidos de este análisis se obtienen datos suficientemente certeros a la hora de descubrir los fallos y las medidas que se deben tomar.

  • Pentesting de caja negra (black box)

En este caso el pentester no posee información sobre la entidad y actúa de forma muy similar a un ciberdelincuente para tratar de reconocer fallos en la estructura de red. Este tipo de test es el más real y verídico. 

  • Pentesting de caja gris (grey box)

En este caso el pentester no se posee información específica para realizar el test de penetración, por eso, requiere de tiempo y recursos para identificar la información necesaria acerca de las posibles vulnerabilidades existentes. Es el tipo de pentest más recomendado por los especialistas.

Fases del pentesting

  • 1ª Planificación y reconocimiento

En esta primera etapa se determina el alcance y los objetivos de la prueba, los sistemas que se atacarán y los métodos de prueba que se utilizarán. También se obtendrá toda la información posible, como los nombres del dominio y de red, el software, correos electrónicos, etc. para comprender mejor cómo funciona la empresa y sus potenciales debilidades.

  • 2ª Análisis de vulnerabilidades

El segundo paso es entender cómo responderá el sistema al que se está intentando penetrar. Se define el ámbito y el alcance del test de intrusión y se consulta con el cliente la profundidad de las pruebas que se van a realizar y la permisividad de los ataques.

  • 3ª Clasificación de amenazas

Una vez obtenida toda la información, se elabora una representación estructurada de toda la información que afecta a la seguridad de una aplicación. Es el proceso de capturar, organizar y analizar todos los datos desde una vista a través de expertos en seguridad. Esta fase permite tomar decisiones sobre los riesgos y producir un modelo de amenazas típico o una lista priorizada de mejoras de seguridad informática.

  • 4ª Explotación

Si la intrusión se ha llevado con éxito, en esta fase se recopilará la información privada y los archivos alojados en un servidor o sistema. La finalidad es demostrar al cliente que si un ciberdelincuente atacara el sistema podría acceder a él y robar la información.

  • 5ª Elaboración de informes

Se reportan todos los fallos y mejoras en seguridad detectadas. Se realizan dos tipos de informes, por un lado, uno técnico para los administradores del sistema, que se escribe con las terminologías apropiadas junto a las soluciones detalladas. Por otro lado, un reporte ejecutivo dirigido a la mesa directiva para que las personas que no se dedican al mundo de la informática lo entiendan.

Consideraciones legales

Antes de contratar un servicio de pentesting además de acordar la finalidad del servicio, el objeto del análisis y qué tipo de prueba queremos realizar, tenemos que tener en cuenta algunas cuestiones legales.  

Acceder a los equipos y a su información es una acción ilegal, salvo que se realice con la debida autorización. Por este motivo, el contrato de pentesting, incluirá una autorización por parte del titular de los equipos y sistemas, que autorizará la vulneración de las medidas de seguridad de la organización en ciertos equipos perfectamente identificados, seleccionados para la ocasión. 

Durante el tiempo estimado para realizar el ataque, la empresa verá alterada su actividad. Al igual que en el anterior caso, el auditor o la empresa que realice las pruebas de penetración, deberá contar con la pertinente autorización en los mismos términos. También será importante incluir cláusulas que marquen cuáles serán los canales de comunicación en caso de que el ataque tenga éxito.

Toda la información a la que el pentester pudiera tener acceso, deberá permanecer bajo secreto mediante un contrato de confidencialidad, y en el caso de información personal se ha de redactar con el auditor un acuerdo específico como encargado para este tratamiento.

Por lo tanto, para contratar un servicio de pentesting, se debe redactar un contrato específico para este servicio que contendrá:

  • Las autorizaciones necesarias.
  • La información que se aporta. 
  • La técnica que se utilizará para la intrusión. 
  • El tratamiento de la información que se pueda obtener, en particular si fueran datos personales o información confidencial. 

Beneficios de hacer un pentest en tu empresas

El pentesting presenta numerosos beneficios para las empresas que lo contratan:

  • Garantiza la seguridad de los sistemas informáticos.
  • Previene las amenazas externas y los ciberataques, mediante el conocimiento de las técnicas empleadas por los hackers.
  • Detecta vulnerabilidades en los sistemas y evalúa las posibles respuestas de los sistemas de seguridad de información ante las amenazas externas.
  • Garantiza el mantenimiento de la competitividad de la organización.
  • Mantiene los sistemas actualizados y cumpliendo todos los requerimientos de licencias, estándares y certificaciones.
  • Cuida la reputación de la empresa.

Si quieres saber cuáles son las debilidades o vulnerabilidades de tus sistemas, protege tu empresa con un pentesting llamando al 900 52 52 45 o a través de [email protected].

Si quieres aprender cómo hacer un test de penetración en tu empresa inscríbete en nuestro curso online de introducción al pentesting.