Pentesting

Mientras utilicemos aparatos interconectados, como móviles, ordenadores y demás terminales conectadas a una red es susceptible de tener una fuga de información, pero ¿qué tan grave sería?¿cómo lo haría un ciberdelincuente para lograr el ataque con éxito? hacer estas preguntas se traduce en prevención.

Para poder prevenir de estas vulnerabilidades debemos conocerlas y para ello se han desarrollado técnicas que nos orientan a conocer las nuestras con gran lujo de detalle. Nos referimos al test de penetración o «Pentesting».

 

Pentesting ¿qué es? y ¿para qué sirve?

Se trata de una prueba que consta de varios ataques simulados y dirigidos al sistema que se quiere valorar, así se pueden detectar vulnerabilidades y debilidades  para corregirlas y evitar que puedan ser explotadas por ciberdelincuentes.

En otras palabras se trata de una auditoría en el sentido práctico donde se recoge información de la empresa, los empleados, los usuarios, sistemas y equipamientos, se valoran las vulnerabilidades individuales y las de conjunto incluyendo simulaciones de «timos» apoyados por ingeniería social.

Tras realizar la prueba se puede informar sobre si el sistema en prueba es vulnerable o no y antes qué tipo de ataques, cómo puede perfeccionar sus defensas y sobretodo reconocer el potencial daño que puede causar un ataque para poder tener un plan de respaldo y quedar bien parada hasta dentro de las peores circunstancias.

Desde Unified Networks recomendamos realizar tres tipos de pruebas de penetración para tres escenarios distintos que suelen ser los escenarios más clásicos de la ciberdelincuencia.

Test de penetración de caja blanca, donde se dispone de toda la información de infraestructura y aplicaciones, esto nos permite simular un ataque de alguien que conoce nuestra empresa, reconocer el escenario y sospechar de la procedencia ante un ataque interno.

Test de penetración de caja gris; un ataque con información parcial que puede valorar la importancia de cada tipo de información y poder en dado caso separarla del resto sin afectar la funcionalidad del resto. Este ejercicio ayuda mucho en el diseño de la red, permite catalogar el tipo de información sensible y coordinar sus comunicaciones con menor riesgo y mayor protección.

Test de caja negra; se trata de un ataque donde el atacante comienza el ataque partiendo desde un nulo conocimiento sobre la víctima, esto nos permitirá identificar las vulnerabiliadades antes cualquier ataque externo que suele ser el escenario más repetido.

Consideraciones legales del Pentest

Es muy importante poner en claro que ante una auditoría de seguridad como un test de penetración, Pentest, es importante que que la autorización para realizarla debe de quedar por escrito dejando en claro que se han explicado los procedimientos y se detalle un contrato de confidencialidad que salvaguarde la información de la empresa. 

En un detalle más técnico, el contrato de pentesting, incluirá una autorización —por parte del titular de los equipos y sistemas—, clara e inequívoca, que autorizará la vulneración de las medias de seguridad de la organización en ciertos equipos perfectamente identificados, seleccionados para la ocasión. Por tanto, no podremos autorizar que se realice ninguna auditoría sobre equipos o sistemas de los que no seamos titulares.

Además, durante el tiempo estimado para realizar el ataque, estos equipos podrían ver alterada su actividad.

Al igual que en el anterior caso y de cara a que los posibles daños que pudieran ser causados no sean constitutivos de delito, el auditor o la empresa que realice las pruebas de penetración, deberá contar con la pertinente autorización en los mismos términos.

También será importante incluir cláusulas que marquen cuáles serán los canales de comunicación en caso de que el ataque tenga éxito.

Debemos dejar claro que no se podrá en ningún caso:

  • obtener provecho ni causar prejuicio con la información descubierta;
  • destruir la información que no sea necesaria para llevar a cabo el test y guardar de manera segura la que sí lo sea;
  • no divulgar ningún tipo de información obtenida o a la que se ha tenido acceso.

Por lo tanto, para contratar un servicio de pentesting, deberás redactar un contrato específico para este servicio y definir la manera correcta que no dé lugar a ninguna duda: 

  • las autorizaciones, 
  • la información que está disponible, 
  • la técnica que se utilizará para la intrusión, 
  • el tratamiento de la información que se pueda obtener, en particular si fueran datos personales o información confidencial. 

Ante cualquier duda no dudes en preguntarlo, te responderemos lo antes posible [email protected]

× ¡Escríbenos por Whats App aquí!