¿En qué consiste?

Pentest o análisis de caja negra

El término pentesting, o pentest (Penetration Test) es utilizado en el ámbito de la seguridad cuando se realiza un test de intrusión o test de penetración en una empresa a través de sus sistemas de manera controlada.

El objetivo final de un pentest es el de acceder al sistema o el de lograr un objetivo previamente establecido con el cliente. La forma de actuar del analista simula un ataque real de un hacker con malas intenciones.

Estos test de intrusión son realizados por un equipo o por una persona que evalúa el estado de la seguridad de los sistemas e infraestructura de una empresa.

Existen multitud de razones por las que una empresa debe realizar tests de penetración periódicamente, ya sea por normativa, ya sea porque han tenido intentos de intrusión reales o a nivel preventivo.

Cuando una empresa solicita un pentest es porque quiere conocer el estado de seguridad de su infraestructura y desea evaluar su nivel de riesgo y exposición ante un ataque real o una intrusión no autorizada.

En este tipo de auditoría al profesional no se le proporciona ningún tipo de documento técnico, mapas de red o usuarios del sistema. La auditoría suele realizarse en remoto.

Puesto que el ataque a ciegas a una multinacional puede llevar meses, para optimizar el tiempo las empresas suelen entregar una IP o un rango de IPs para que sean analizadas.

Al no disponer de información sobre la infraestructura que forma la empresa, el auditor deberá ir generándola a lo largo del pentest.

 

OSINT
Recopilación de Información
Análisis de Vulnerabilidades
Explotación
Escalada de privilegios
y pivoting
Informe y Presentación

 

Al comenzar el pentest los profesionales realizarán un análisis de los sistemas y servicios instalados que están expuestos a ser atacados. A continuación, el profesional intentará por diferentes medios acceder a los sistemas burlando de esta manera la seguridad de la empresa.

Una vez logrado el acceso, se procederá a la explotación de los sistemas o de los servicios que se están ejecutando y finalizado el pentest se entregará al cliente un detallado informe del estado de su seguridad, las vulnerabilidades encontradas y las recomendaciones para mitigarlas.

Los profesionales que realizan los test de penetración deben estar preparados para analizar, evaluar y explotar las vulnerabilidades que han sido detectadas durante el transcurso de este, así como presentar la información de manera clara y concisa al cliente.

Existen normativas que obligan a realizar estos tests periódicamente con sanciones en caso de incumplimiento. Por ejemplo, en entornos bancarios el PCI DSS (Payment Card Industry Data Security Standard) requiere un testeo anual y otro si se realizan cambios importantes en la infraestructura.