Test de Penetración: Significado, Ejemplos, Tipos y Etapas

Índice del contenido Esconder

¿Qué es una prueba de penetración?
¿Qué ventajas ofrece la prueba de penetración?
¿Cuáles son las etapas de las pruebas de penetración?
Tipos de prueba de penetración
Métodos de prueba de penetración
¿Cuál es el papel de un probador de penetración?
¿Cuánto puede ganar un probador de pluma?
¿Cuánto acceso tienen los Pen Testers?
¿Qué son las herramientas de prueba de penetración?
1. ¿Cuáles son los tipos de herramientas de prueba de pluma?
¿Qué distingue a las pruebas de penetración de las pruebas automatizadas?
1. Prueba de pluma manual
2. Pruebas automatizadas
¿Cuáles son las ventajas y desventajas de las pruebas de penetración?
1. Ventajas de las pruebas de penetración
2. Las desventajas de las pruebas de penetración
¿Cuáles son las dos pruebas de penetración de uso común?
¿Por qué usamos pruebas de penetración?
Para resumir,
1. Artículos Relacionados
2. Referencias

Las pruebas de penetración se usan ampliamente para complementar un firewall de aplicaciones web (WAF) en el contexto de la seguridad de las aplicaciones web. Una prueba de penetración, también conocida como prueba de penetración, simula un ataque cibernético en su sistema informático para identificar fallas explotables. Los resultados de la prueba de penetración se pueden usar para ajustar sus políticas de seguridad WAF y abordar las vulnerabilidades encontradas. Aquí encontrará todo lo que necesita saber sobre una prueba de penetración, incluidos los distintos tipos y métodos.

¿Qué es una prueba de penetración?

Una prueba de penetración (pen test) es un ataque simulado sancionado legalmente en un sistema informático para evaluar su seguridad. Los evaluadores de penetración emplean las mismas herramientas, estrategias y procesos que los atacantes para identificar y mostrar las implicaciones comerciales de las fallas del sistema. Las pruebas de penetración suelen replicar una serie de ataques que podrían poner en peligro a una empresa. Pueden determinar si un sistema es lo suficientemente fuerte para resistir ataques desde posiciones autenticadas y no autenticadas, así como desde una variedad de funciones del sistema. Una prueba de penetración puede entrar en cualquier aspecto de un sistema con el alcance correcto.

¿Qué ventajas ofrece la prueba de penetración?

Idealmente, el software y los sistemas se desarrollan desde el principio con el objetivo de eliminar problemas de seguridad potencialmente peligrosos. Una prueba de penetración ofrece información sobre qué tan bien se cumplió ese objetivo. Así es como las pruebas de penetración pueden ser beneficiosas para una corporación.

Identifica fallas en el sistema
Determine la robustez del control.
Ayudar con el cumplimiento de las normas de seguridad y privacidad de datos (por ejemplo, PCI DSS, HIPAA y GDPR).
Proporcionar a la gerencia evidencia cualitativa y cuantitativa de la postura de seguridad existente y las prioridades presupuestarias.

¿Cuáles son las etapas de las pruebas de penetración?

Los pentesters actúan como adversarios motivados para imitar los ataques. Por lo general, siguen un plan que incluye los siguientes pasos:

#1. Reconocimiento.

Para guiar el enfoque del ataque, recopile tanta información sobre el objetivo como sea posible de fuentes públicas y privadas. Las búsquedas en Internet, la recuperación de información de registro de dominio, la ingeniería social, el escaneo de red no intrusivo y, en ocasiones, el buceo en contenedores son todas fuentes. Estos datos ayudan a los evaluadores de penetración a mapear la superficie de ataque del objetivo y las posibles vulnerabilidades. El reconocimiento varía según el alcance y los objetivos de la prueba de penetración; puede ser tan básico como hacer una llamada telefónica para conocer las capacidades de un sistema.

# 2. Exploración

Los evaluadores de penetración utilizan herramientas para buscar fallas en el sitio web o sistema de destino, como servicios abiertos, problemas de seguridad de aplicaciones y vulnerabilidades de código abierto. Los evaluadores de penetración emplean una gama de herramientas basadas en lo que descubren durante el reconocimiento y las pruebas.

#3. Obtención de entrada.

Las motivaciones de los atacantes pueden variar desde robar, modificar o destruir datos hasta transferir fondos o simplemente dañar la reputación de una empresa. Los evaluadores de penetración deciden qué herramientas y tácticas usar para obtener acceso al sistema, ya sea a través de una falla como la inyección de SQL o por malware, ingeniería social u otra cosa.

#4. Mantener el acceso abierto

Una vez que los evaluadores de penetración han obtenido acceso al objetivo, su ataque simulado debe permanecer conectado el tiempo suficiente para lograr sus objetivos de filtración de datos, modificación o abuso de la funcionalidad. Es necesario demostrar el posible impacto.

Tipos de prueba de penetración

Antes de decidirse por un proveedor, es crucial comprender los muchos tipos de pruebas de penetración disponibles, ya que los compromisos difieren en enfoque, profundidad y duración. Los siguientes son ejemplos de compromisos comunes de piratería ética:

#1. Pruebas de Penetración de Infraestructura Interna y Externa

Una evaluación de la infraestructura de red local y en la nube, incluidos los cortafuegos, los hosts del sistema y dispositivos como enrutadores y conmutadores. Se pueden utilizar pruebas de penetración internas, centradas en los activos dentro de la red empresarial, o pruebas de penetración externas, centradas en la infraestructura orientada a Internet. Para determinar el alcance de una prueba, debe conocer la cantidad de direcciones IP internas y externas que se examinarán, el tamaño de la subred de la red y la cantidad de sitios.

#2. Examen de penetración inalámbrica

Una prueba de WLAN (red de área local inalámbrica) que se dirige explícitamente a la WLAN de una organización, así como a protocolos inalámbricos como Bluetooth, ZigBee y Z-Wave. Ayuda en la detección de puntos de acceso no autorizados, fallas de cifrado y vulnerabilidades WPA. Los probadores necesitarán saber la cantidad de redes inalámbricas y de invitados, ubicaciones y SSID únicos que se evaluarán para determinar el alcance de un compromiso.

#3. Testeo de Aplicaciones Web

Un examen de sitios web y programas personalizados distribuidos a través de Internet para identificar defectos de codificación, diseño y desarrollo que podrían explotarse maliciosamente. Antes de acercarse a un proveedor de pruebas, determine la cantidad de aplicaciones que requieren pruebas, así como la cantidad de páginas estáticas, sitios dinámicos y campos de entrada que deben evaluarse.

#4. Testeo de Aplicaciones Móviles

Pruebas de aplicaciones móviles en plataformas como Android e iOS para descubrir vulnerabilidades de autenticación, autorización, fuga de datos y manejo de sesiones. Para evaluar el alcance de una prueba, los proveedores deben conocer los sistemas operativos y las versiones en las que quieren que se evalúe una aplicación, la cantidad de llamadas a la API y los requisitos previos para el jailbreak y la detección de raíz.

#5. Revisión de la construcción y configuración

Examine las compilaciones y configuraciones de la red en busca de errores en servidores web y de aplicaciones, enrutadores y firewalls. La cantidad de compilaciones, sistemas operativos y servidores de aplicaciones que se probarán es información crítica para determinar el alcance de este tipo de compromiso.

Una evaluación de sus sistemas y la capacidad de su personal para reconocer y responder a los intentos de phishing por correo electrónico. Los ataques personalizados de phishing, spear phishing y Business Email Compromise (BEC) brindan información detallada sobre los peligros potenciales.

#7. Pruebas de penetración en la nube

Las evaluaciones personalizadas de seguridad en la nube pueden ayudar a su organización a superar las dificultades de la responsabilidad compartida al identificar y abordar las vulnerabilidades en la nube y la configuración híbrida que pueden exponer activos importantes.

#8. Pruebas de penetración en un entorno ágil

Evaluaciones de seguridad continuas y centradas en el desarrollador destinadas a detectar y corregir fallas de seguridad durante el ciclo de desarrollo. Esta metodología ágil ayuda a garantizar que la seguridad de cada lanzamiento de producto, ya sea una simple corrección de errores o una gran característica, se haya probado minuciosamente.

Métodos de prueba de penetración

#1. Evaluación externa

Las pruebas de penetración externas se dirigen a los activos visibles en Internet de una empresa, como la propia aplicación web, el sitio web de la empresa, el correo electrónico y los servidores de nombres de dominio (DNS). El objetivo es obtener acceso y extraer información útil.

#2. Evaluación interna

En una prueba interna, un probador que tiene acceso a una aplicación detrás del firewall de la empresa imita un ataque interno malicioso. Esto no siempre es emular a un empleado renegado. Un punto de partida común es un empleado cuyas credenciales se obtuvieron como resultado de un intento de phishing.

En una prueba ciega, al evaluador simplemente se le proporciona el nombre de la organización objetivo. Esto proporciona al personal de seguridad una vista en tiempo real de cómo podría ocurrir un ataque real a una aplicación.

Los trabajadores de seguridad en una prueba doble ciego no tienen información previa del ataque simulado. No tendrán tiempo de apuntalar sus fortificaciones antes de un intento de ruptura, al igual que en el mundo real.

#5. Pruebas dirigidas

En este escenario, el probador y el personal de seguridad colaboran y se mantienen informados de sus movimientos. Este es un excelente ejercicio de capacitación que ofrece a un equipo de seguridad retroalimentación en tiempo real desde la perspectiva de un hacker.

¿Cuál es el papel de un probador de penetración?

Un probador de penetración, a diferencia de otros expertos en informática, se enfoca en un aspecto específico de la ciberseguridad. Ayudan en la protección de la información digital de sus negocios al detectar fallas en el sistema antes de que ocurra un ataque, un proceso conocido como prueba de vulnerabilidad.

Los evaluadores de penetración pueden salvar a sus organizaciones del daño financiero y de confianza pública que conllevan las filtraciones de datos significativas. Para descubrir fallas potenciales y evitar futuros ataques, estos profesionales piensan como hackers peligrosos.

Los equipos de ciberseguridad o de tecnología de la información (TI) emplean con frecuencia a los probadores de penetración. La experiencia con herramientas de piratería, codificación y secuencias de comandos, y una comprensión integral de las vulnerabilidades y los sistemas operativos son capacidades importantes de prueba de penetración.

Los evaluadores de penetración se benefician de las sólidas habilidades de comunicación, interpersonales y de redacción de informes.

¿Cuánto puede ganar un probador de pluma?

Los pen testers pueden ganar mucho dinero. Según Payscale, el salario promedio de un probador de penetración en septiembre de 2021 es de $87,440. Esta cantidad es mucho más alta que el salario medio nacional de BLS de mayo de 2020 para todos los trabajos de $41,950.

Los probadores de penetración en el nivel de entrada ganan menos que los profesionales experimentados. El pago varía según la educación, y los probadores de penetración de nivel superior a menudo ganan más. La ubicación, la industria y el área de especialización son factores que pueden afectar la compensación.

Salario de un probador de penetración basado en la experiencia

Los rangos de salario para los probadores de penetración varían según el nivel de experiencia. Los probadores de penetración con 20 años de experiencia ganan un promedio de $ 124,610 por año, que es aproximadamente $ 57,000 más que la compensación promedio de los trabajadores de nivel inicial.

El solo hecho de tener de 1 a 4 años de experiencia puede aumentar drásticamente los ingresos de un probador de penetración, de $ 67,950 para un probador de penetración de nivel de entrada a $ 81,230 para un experto en carrera temprana.

Salario de un probador de penetración basado en la educación

Los salarios de los probadores de penetración a menudo aumentan con el nivel de grado. Pasar de una licenciatura en seguridad de la información a una maestría, por ejemplo, puede aumentar los salarios promedio en $19,000 por año.

Considere los beneficios y las desventajas de la educación adicional al evaluar posibles mejores salarios frente al tiempo y el dinero necesarios para obtener otro título. Las certificaciones y los campos de entrenamiento son posibilidades menos costosas.

Los programas académicos de pruebas de penetración a menudo brindan títulos en informática, ciberseguridad o seguridad de la información.

Salario de un probador de penetración por ubicación

Además de la educación y la experiencia, el lugar donde vive puede tener un impacto en su compensación. Los ingresos de un probador de penetración pueden verse afectados por factores como la demanda de empleo, el costo de vida y la densidad de población. Considere ocupaciones en áreas mejor pagadas con estadísticas de costo de vida por debajo del promedio para optimizar el potencial de ingresos.

¿Cuánto acceso tienen los Pen Testers?

Los evaluadores reciben diversos grados de información o acceso al sistema de destino, según los objetivos de la prueba de penetración. En ciertas circunstancias, el equipo de pruebas de penetración comienza con una estrategia y se queda con ella. A veces, la estrategia del equipo de pruebas se desarrolla a medida que crece su comprensión del sistema durante la prueba de penetración. El acceso a la prueba de penetración se divide en tres niveles.

La caja opaca. El equipo no tiene conocimiento de la estructura interna del sistema de destino. Se comporta de manera similar a un pirata informático, explorando en busca de fallas explotables externamente.
Caja semitransparente. El personal está familiarizado con uno o más conjuntos de credenciales. También comprende las estructuras de datos centrales, el código y los algoritmos del objetivo. Los evaluadores de penetración pueden crear casos de prueba a partir de una extensa documentación de diseño, como diagramas arquitectónicos del sistema de destino.
Caja transparente. Los evaluadores de penetración tienen acceso a los sistemas y artefactos del sistema, como el código fuente, los archivos binarios, los contenedores y, en algunos casos, los servidores que ejecutan el sistema. Este método ofrece el más alto nivel de seguridad en el menor tiempo posible.

¿Qué son las herramientas de prueba de penetración?

Las herramientas de prueba de penetración se utilizan como parte de una prueba de penetración (Pen Test) para automatizar procesos específicos, mejorar la velocidad de las pruebas y descubrir fallas que serían difíciles de detectar utilizando solo técnicas analíticas manuales. Las herramientas de análisis estático y las herramientas de análisis dinámico son dos tipos de herramientas de prueba de penetración.

¿Cuáles son los tipos de herramientas de prueba de pluma?

No existe una herramienta de prueba de pluma única para todos. En cambio, diferentes objetivos requieren diferentes conjuntos de herramientas para el escaneo de puertos, el escaneo de aplicaciones, las intrusiones de Wi-Fi y la penetración directa en la red. Las herramientas de prueba de penetración se clasifican en términos generales en cinco grupos.

Software de reconocimiento para localizar hosts de red y puertos abiertos
Escáneres de vulnerabilidades en servicios de red, aplicaciones web y API
Hay disponibles herramientas de proxy, como proxies web especializados o proxies de intermediario genéricos.
Las herramientas de explotación se utilizan para ganar puntos de apoyo en el sistema o acceder a los activos.
Herramientas posteriores a la explotación para interactuar con los sistemas, retener y aumentar el acceso y lograr objetivos de asalto

¿Qué distingue a las pruebas de penetración de las pruebas automatizadas?

Los evaluadores de penetración utilizan herramientas de escaneo y prueba automatizadas, a pesar de que las pruebas de penetración son en gran medida una tarea manual. También van más allá de las herramientas para proporcionar pruebas más exhaustivas que una evaluación de vulnerabilidades (es decir, pruebas automatizadas) al utilizar su comprensión de las estrategias de ataque actuales.

Prueba de pluma manual

Las pruebas de penetración manuales identifican vulnerabilidades y debilidades que no están incluidas en las listas populares (p. ej., OWASP Top 10) y evalúa la lógica comercial que las pruebas automatizadas pueden ignorar (p. ej., validación de datos, controles de integridad). Una prueba de penetración manual también puede ayudar en la identificación de falsos positivos proporcionados por pruebas automatizadas. Los pentesters pueden examinar los datos para apuntar a sus ataques y probar sistemas y sitios web de formas que las soluciones de prueba automatizadas que siguen una rutina predefinida no pueden, ya que son profesionales que piensan como adversarios.

Pruebas automatizadas

En comparación con un enfoque de prueba de penetración completamente manual, la prueba automatizada produce resultados más rápidos y requiere menos personas calificadas. Los programas de prueba automatizados rastrean automáticamente los resultados y, a veces, pueden exportarlos a una plataforma de informes centralizada. Además, los resultados de las pruebas de penetración manuales pueden variar de una prueba a otra, pero realizar pruebas automatizadas en el mismo sistema produce repetidamente los mismos resultados.

¿Cuáles son las ventajas y desventajas de las pruebas de penetración?

Con el número y la gravedad de las violaciones de la seguridad aumentando año tras año, nunca ha habido una mayor necesidad de que las empresas tengan visibilidad sobre cómo pueden resistir los ataques. Regulaciones como PCI DSS e HIPAA necesitan pruebas de penetración periódicas para garantizar el cumplimiento. Con estas restricciones en mente, a continuación se presentan algunas ventajas y desventajas de este tipo de técnica de detección de defectos.

Ventajas de las pruebas de penetración

Se ha demostrado que los enfoques de garantía de seguridad ascendentes, como las herramientas automatizadas, los estándares de configuración y codificación, el análisis de arquitectura y otras tareas de evaluación de vulnerabilidades más livianas, tienen fallas.
Encuentra fallas de software conocidas y desconocidas y vulnerabilidades de seguridad, incluidos problemas menores que pueden no causar mucha preocupación por sí mismos, pero pueden causar daños graves como parte de un patrón de ataque más grande.
Puede atacar cualquier sistema emulando cómo se comportarían la mayoría de los piratas informáticos hostiles, simulando un enemigo del mundo real lo más cerca posible.

Las desventajas de las pruebas de penetración

Es laborioso y costoso
No previene por completo la entrada de errores y defectos en el entorno de producción.

¿Cuáles son las dos pruebas de penetración de uso común?

Los dos tipos más frecuentes de pruebas de penetración son las automatizadas y las manuales.

¿Por qué usamos pruebas de penetración?

El objetivo de las pruebas de penetración es ayudar a las empresas a determinar dónde son más vulnerables a los ataques y abordar de manera proactiva esas vulnerabilidades antes de que los piratas informáticos las exploten.

Para resumir,

Una prueba de penetración (pen test) es un ataque simulado sancionado legalmente en un sistema informático para evaluar su seguridad. Las pruebas de penetración brindan información detallada sobre las amenazas de seguridad del mundo real que se pueden explotar. Al realizar una prueba de penetración, puede identificar qué vulnerabilidades son críticas, cuáles son menores y cuáles son falsos positivos.