Todo lo que necesitas saber sobre el pentest
Autora: Karen Collante

Todo lo que necesitas saber sobre el pentest

Brotek Brotek

Brotek

Fortaleciendo la infraestructura tecnológica, ciberseguridad y seguridad de la información de tu empresa 🔐

Fecha de publicación: 12 jun 2024
Seguir

En este blog vamos a hacer un repaso sobre el ABC del pentest, en donde veremos los aspectos básicos que ayudarán a comprender un poco más sobre el mundo de la seguridad ofensiva. 

Si te interesa la temática de este  blog te recomendamos e invitamos a que asistas a nuestro evento de Pentest como inversión rentable e inteligente en donde tendremos como invitados a dos grandes referentes de la ciberseguridad y del mundo hacking de Latinoamérica.

Pentest vs Vulnerability Assesment

Una análisis de vulnerabilidades o vulnerability assesment (VA por sus siglas en inglés) es una evaluación de la seguridad de un sistema informático o red que se realiza de manera sistemática, con el objetivo de identificar vulnerabilidades potenciales. 

  • ¿Cuál es el objetivo? → El objetivo es identificar las debilidades que un atacante podría explotar. 
  • ¿Qué implica la evaluación? → Revisión de la arquitectura, las configuraciones y el software instalado del sistema, así como un análisis de cualquier tráfico de red disponible. 

En cambio, una prueba de penetración o pentest (PT por sus siglas en inglés), es un proceso de evaluación de la seguridad de un sistema o red mediante la simulación de ataques realizados por un atacante malintencionado. Su objetivo principal es identificar vulnerabilidades que podrían ser explotadas.

  • ¿Cuál es el objetivo? →  El objetivo es identificar y demostrar la existencia de la vulnerabilidad, en la gran mayoría de los casos, explotándola. De esta manera, se evalúa el riesgo real para el sistema e identifica áreas que requieren mejoras. 

Asimismo, se evalúa la efectividad de los controles de seguridad actuales y se proporciona recomendaciones para remediar las vulnerabilidades descubiertas.

  • ¿Qué implica la evaluación? → Puede ser la revisión de las redes, aplicaciones web y móviles, la seguridad física.

En resumen, un análisis de vulnerabilidades identifica vulnerabilidades potenciales en un sistema, mientras que una prueba de penetración simula un ataque para determinar si esas vulnerabilidades realmente pueden ser explotadas.

¿Qué tipos de pruebas hay?

Existen tres tipos de pruebas de penetración, las cuales, a pesar de ser diferentes entre sí, tienen un objetivo en común: encontrar vulnerabilidades en la infraestructura y/o aplicaciones.

Caja negra o black box

El evaluador no tiene conocimientos previos y simula un atacante externo. 

Esta prueba muestra errores o fallos de seguridad en las aplicaciones que puedan llegar a ser explotadas por algún ciberatacante que realice ataques externos, sin acceso al sistema.

Caja gris o grey box

En esta prueba se proporciona cierta información sobre la aplicación, como contraseñas de acceso y vista general de la arquitectura. Esto ayuda a ampliar los casos de prueba que se van a ejecutar, por lo que se suelen hallar brechas de seguridad de mayor criticidad e importancia. 

Este tipo de prueba suele ser el favorito, ya que suele ser un ejercicio de prueba mucho más dirigido y enfocado, conservando la perspectiva de ataque desde “afuera” de la empresa.

Caja blanca o white box

En este caso el evaluador cuenta con la información completa de la aplicación y del sistema, incluyendo el diseño de la arquitectura del mismo, credenciales de acceso y lo más importante: se comparte el código fuente para revisarlo en su totalidad y poder hallar aún más vulnerabilidades. Estas pruebas se realizan simulando una amenaza interna.

¿Existen estándares a seguir en las pruebas de pentest?

Si bien ninguno de ellos exige una obligatoriedad en sí misma, exceptuando industrias como los medios de pagos, bancos y fintech que son más exigentes en las ejecuciones debido a que son empresas reguladas, el resto de las organizaciones siempre buscan que sus ejecuciones sigan los siguientes marcos de trabajo y/o estándares:

OWASP Testing Guide

La Open Web Application Security Project (OWASP) ofrece una guía integral para la seguridad de aplicaciones web. Es la más elegida por excelencia para tomarla como referencia en sus técnicas de testing, herramientas y prácticas.

Es ampliamente utilizado por los pentesters para asegurar que las aplicaciones web cumplan con los requisitos de seguridad.

NIST SP 800-115

La guía de técnicas de prueba y evaluación técnica de seguridad del Instituto Nacional de Estándares y Tecnología (NIST) de EE.UU incluye metodologías para la planificación y ejecución de pruebas de penetración, así como la documentación de los hallazgos.

Proporciona un marco riguroso y estructurado para realizar pruebas de penetración en entornos gubernamentales y empresariales.

OSSTMM (Open Source Security Testing Methodology Manual)

El OSSTMM es un estándar para realizar auditorías y pruebas de seguridad. Este cubre aspectos como la seguridad en redes, comunicaciones, aplicaciones y procesos humanos, ofreciendo métricas cuantificables.

Recomendado por LinkedIn

4 puntos básicos para implementar Ciberseguridad
José Luis Cruz Bringas Hace 7 meses
Reforzando la Ciberseguridad Empresarial: El Valor del…
Grupo Oruss Hace 1 año
Falso Positivo o Falso Pentest. ¿Cómo identificarlo?
Omar Gudiño Hace 2 años

Proporciona una metodología detallada y estandarizada para realizar pruebas de seguridad en diferentes áreas.

PCI DSS (Payment Card Industry Data Security Standard)

PCI DSS es el estándar de seguridad de datos para organizaciones que manejan información de tarjetas de pago. Su cumplimiento es obligatorio para las organizaciones que procesan, almacenan o transmiten información de tarjetas de crédito, asegurando que cumplan con requisitos de seguridad rigurosos.

De manera obligatoria, la norma requiere pruebas de penetración regulares y de fuentes externas e internas.

Si bien PCI no es exclusivamente un estándar técnico de pentest, es preponderante tenerlo en cuenta en estas empresas ya que el estándar provee ciertos lineamientos que deben cumplirse en estas pruebas. 

ISSAF (Information Systems Security Assessment Framework)

El ISSAF es un marco desarrollado por la Information Systems Security Association. Este proporciona directrices para realizar evaluaciones de seguridad y pruebas de penetración.

Es utilizado por profesionales de seguridad para evaluar la integridad y la seguridad de los sistemas de información.

¿Qué contiene un informe de pentest? 

El informe de la ejecución de estas pruebas es el resultado final de todo el ejercicio. Es quizás el documento más importante en donde se debe detallar cada prueba realizada y se orienta a la organización en la remediación. 

El informe para considerarse completo debe contener:

  • Una introducción que describa el contexto de la auditoría y nociones generales.
  • Un resumen ejecutivo que conglomere los hallazgos detectados.
  • Una sección de metodologías utilizadas y cómo se calcula el scoring de las pruebas.
  • El detalle de las pruebas realizadas, descubrimientos y pruebas de concepto.
  • Conclusiones y recomendaciones.
  • Anexos (scripts, referencias en internet. etc).

La confección y redacción son de vital importancia es por eso que los informes emitidos por Brotek siguen rigurosos controles de detalle y están alineados con la iniciativa de estándares propuesta por el Consejo de Seguridad de la Información y Ciberseguridad de México.

¿Cuánto tiempo conlleva un pentest?

A grandes rasgos, depende mucho del tamaño de la infraestructura y el scope elegido para las pruebas, pero te compartimos tiempos estimados, o, al menos, los más habituales. 

  • Black box (Caja negra): generalmente son de 5 a 10 días hábiles.
  • Gray box (Caja gris): normalmente tardan entre 2 a 3 semanas.
  • White box (Caja Blanca): habitualmente tardan entre 3 a 4 semanas.

A cada organización siempre le recomendamos contemplar los tiempos de las pruebas, la preparación de ambientes si es necesario, y el tiempo total de remediación.

¿Cuáles son las herramientas más utilizadas para el pentest? 

Algunas de las herramientas que utilizamos para la realización de estas pruebas son:

  • Burp Suite Pro
  • Nmap
  • SQLMap
  • Nuclei
  • Metasploit
  • Qualys

Estas son generalmente las más utilizadas, no obstante, también puede usarse otras dependiendo del tipo de prueba a realizar. 

¿Cuánto cuesta el servicio de pentest?

Cada empresa tiene tecnologías únicas y una lógica de negocio específica, por lo que no es posible estandarizar el costo de una prueba de penetración (pentest). 

En Brotek las propuestas se personalizan para satisfacer todos tus requisitos y objetivos de seguridad. A través de una videollamada con nuestro equipo técnico y un relevamiento inicial de la empresa, podemos dimensionar tu arquitectura y crear una propuesta de plan de trabajo a medida. 

Para determinar el costo del ejercicio del pentest, utilizamos una tarifa diaria, multiplicada por los días necesarios para completar el proyecto.

En Brotek queremos ayudarte y guiarte en la detección de las debilidades y/o vulnerabilidades de tu organización, por lo cual te ofrecemos agendar una llamada con nosotros para solicitar una cotización del vulnerability assessment o pentest que necesites. 

Escrito por Karen Collante para Brotek.

Para más información, podes contactarte a través de ciberseguridad@brotek.com.ar o comunicarte directamente con Brian Suarez .

Brotek Blog Brotek Blog

Brotek Blog

492 seguidores

+ Suscribirse

Inicia sesión para ver o añadir un comentario.

Más artículos de este autor

Otros usuarios han visto

Ver temas