Ahora que ya hemos visto los diferentes equipos y colores asociados en el mundo de la ciberseguridad, comenzamos a desgranar las especialidades dentro de cada uno de ellos, y comenzamos con el red 🔴, hablando de pentesting.
El pentesting 🎯 (penetration testing) se trata de auditorías de seguridad ofensiva que buscan identificar vulnerabilidades en el objetivo correspondiente, y que según el tipo de auditoría, el cliente, su infraestructura y el nivel de intrusión permitido, la explotación de las vulnerabilidades identificadas se pueden llegar a limitar. Además, las pruebas que puedan afectar al servicio a nivel de disponibilidad (como una denegación de servicio) quedan excluidas de realizarse.
Al ser pruebas de seguridad acordadas previamente, el equipo de defensa del cliente sobre el que se realiza la auditoría es consciente de que se van a llevar a cabo estas pruebas, y no entra a bloquear el tráfico o técnicas usadas, llegando incluso a meter en lista blanca las IPs del equipo de pentesting para facilitar que el trabajo pueda realizarse de la mejor manera posible sin tener que evadir medidas de seguridad (que no es el objetivo de estas pruebas). Vamos que se puede hacer 🥁“ruido”🥁 y usar herramientas que no son precisamente sigilosas como un escáner de puertos o un escáner de vulnerabilidades.
La persona que ejecuta estas auditorías se le conoce con el término pentester.
Las auditorías de pentesting son muy variadas, según el tipo de entorno que haya que auditar, se suelen dividir en:
Aplicaciones Web 🕸️
Aplicaciones Móvil (iOS, Android) ☎️
Redes WiFi 📶
Infraestructura, una dirección IP concreta o rangos de direcciones 🏭
Internas, normalmente Active Directory 💻
Externas, en la exposición externa que tiene un objetivo, buscando vectores de entrada a la infraestructura interna 🧐
Dispositivos o redes IoT 🛰️
Infraestructuras críticas, como centrales nucleares, eléctricas, hidráulicas, etc. ☢️
Ingeniería social, como campañas de phishing 📬
Esto es una muestra de las auditorías más comunes pero al final cualquier dispositivo con conectividad puede ser objeto de estas pruebas de seguridad.
Recuerda que una auditoría de seguridad o pentesting trata de encontrar el mayor número de vulnerabilidades posibles sobre un objetivo determinado en un tiempo limitado.
Ten en cuenta que este tipo de auditorías se realizan a modo de servicio en una empresa de consultoría o como parte de la evaluación interna de un proyecto, pero ¿por qué digo esto? Porque estos tipos de auditorías pueden variar según el tipo de empresa que venda estos servicios, o los entornos que tenga implantados (o en proceso de implantar) en una organización.
En cada tipo de auditoría se hace uso de diferentes tipos de estándares o metodologías (OWASP, OSSTMM, PTES, OWISAM, MITRE, etc.) para realizar las pruebas, además de las herramientas correspondientes que facilitan la obtención e interpretación de la información.
En el sector, en ocasiones se habla de pentest y de auditoría de seguridad como dos pruebas de seguridad diferentes.
Para no dar lugar a malos entendidos, en este caso cuando hablamos de pentesting o auditorías nos referimos a lo mismo.
¿Sabías que los pentesters hacían todos estos tipos de auditorías? Te leo en comentarios 🙂
Bonus track: No te lo puedes perder
¿Has visto uno de nuestros últimos vídeos? Hablamos de las certificaciones de seguridad ofensiva, un tema que si te dedicas a esta parte de cyber, seguro que te interesa:
Próximas conferencias de seguridad en España que te pueden interesar:
Mundo Hacker, si lo lees hoy, es mañana😜, es su 10º aniversario.
Hack-én, del 5 al 7 de mayo en Jaén.
Osintomático, 12 y 13 de mayo en La Nave (Madrid) es su segunda edición, donde además somos patrocinadoras :)