Instituto Nacional de ciberseguridad. Sección Incibe
Protege tu empresa. Sección empresas

¿Qué es el pentesting? Auditando la seguridad de tus sistemas

Fecha de publicación 04/07/2019
Autor
INCIBE (INCIBE)
¿Qué es el pentesting? Auditando la seguridad de tus sistemas

Toda organización maneja información para su funcionamiento diario. Es habitual que se utilicen herramientas para su tratamiento en ordenadores, teléfonos móviles, tabletas, líneas de comunicaciones, etc. En cualquier caso, trabajar con información, conlleva una serie de riesgos. 

¿Qué pasaría si nuestra empresa fuera víctima de una fuga de información o sufriera un ataque de denegación de servicio? Ante estas amenazas, tenemos que analizar los sistemas que soportan la gestión de la información en la empresa, para evaluar los riesgos asociados a su utilización. 

Para facilitar esta labor, existen una serie de métodos y herramientas que permiten realizar un análisis conocido como test de penetración, test de intrusión, pen test o pentesting

¿Qué es el pentesting?

Un pentesting es un conjunto de ataques simulados dirigidos a un sistema informático con una única finalidad: detectar posibles debilidades o vulnerabilidades para que sean corregidas y no puedan ser explotadas. Estas auditorías comienzan con la recogida, en fuentes de acceso abierto, de información sobre la empresa, los empleados, usuarios, sistemas y equipamientos. Continúa con un análisis de vulnerabilidades que se intentarán explotar, incluso con técnicas de ingeniería social, atacando a los sistemas hasta conseguir sus objetivos. Finalmente, se realiza un informe que indica si los ataques tendrían éxito, y en caso afirmativo porqué y qué información o acceso obtendrían, es decir, se simulan ataques tal y como los llevaría a cabo un ciberdelincuente que quisiera hacerse con el control del sistema o con la información en él contenida. De esta forma, se puede determinar:

  • si el sistema informático es vulnerable o no,  
  • evaluar si las defensas con las que cuenta, son suficientes y eficaces, y  
  • valorar la repercusión de los fallos de seguridad que se detecten.

En la preparación del pentesting se realiza un plan con un conjunto de ataques dirigidos, según la tecnología que se utilice en la empresa y sus necesidades de seguridad. Para ello, los auditores cuentan con metodologías, —algunas específicas según la tecnología o estándares de seguridad que queramos implantar, y otras más generales—, que les ayudan a realizarlas de forma sistemática. Tendremos que elegir qué pruebas queremos que realicen y sobre qué aplicaciones o servicios.

También existen diferentes tipos de pruebas de penetración según la información inicial con la que cuenta el auditor, así, pueden ser:

  • de caja blanca: si disponen de toda la información sobre los sistemas, aplicaciones e infraestructura, pudiendo simular que el ataque se realiza por alguien que conoce la empresa y sus sistemas;
  • de caja gris: si dispone de algo de información pero no de toda;
  • de caja negra: si no dispone de información sobre nuestros sistemas; en este caso, se simula lo que haría un ciberdelincuente ajeno.

No obstante, cuando contratamos un servicio de pentesting además de acordar la finalidad del servicio, el objeto del análisis y qué tipo de prueba queremos que realicen, como se trata de un ataque «permitido» tenemos que tener en cuenta algunas cuestiones legales.  

Consideraciones legales

Con esta prueba, el auditor o empresa que contratemos va a intentar traspasar las medidas de seguridad de nuestros equipos informáticos o de nuestras aplicaciones, poniendo en riesgo el funcionamiento de los sistemas, así como la información que contengan, que podría ser confidencial, reservada o privada.

Realizar accesos a estos equipos y a su información, incurriría en conducta delictiva, salvo que se realice con la debida autorización. Por este motivo, el contrato de pentesting, incluirá una autorización —por parte del titular de los equipos y sistemas—, clara e inequívoca, que autorizará la vulneración de las medias de seguridad de la organización en ciertos equipos perfectamente identificados, seleccionados para la ocasión. Por tanto, no podremos autorizar que se realice ninguna auditoría sobre equipos o sistemas de los que no seamos titulares.

Además, durante el tiempo estimado para realizar el ataque, estos equipos podrían ver alterada su actividad. Al igual que en el anterior caso y de cara a que los posibles daños que pudieran ser causados no sean constitutivos de delito, el auditor o la empresa que realice las pruebas de penetración, deberá contar con la pertinente autorización en los mismos términos. También será importante incluir cláusulas que marquen cuáles serán los canales de comunicación en caso de que el ataque tenga éxito.

No menos importante es que toda la información a la que se pudiera tener acceso, deberá permanecer bajo riguroso secreto mediante un contrato de confidencialidad, y en el caso de información personal se ha de redactar con el auditor un acuerdo específico como encargado para este tratamiento

Resumiendo, a la hora de solicitar que realicen un pentesting a nuestros sistemas que pueda permitir el acceso a información considerada como «secreto profesional» o datos personales, debemos dejar claro que no se podrá en ningún caso:

  • obtener provecho ni causar prejuicio con la información descubierta;
  • destruir la información que no sea necesaria para llevar a cabo el test y guardar de manera segura la que sí lo sea;
  • no divulgar ningún tipo de información obtenida o a la que se ha tenido acceso.

Por lo tanto, para contratar un servicio de pentesting, deberás redactar un contrato específico para este servicio y definir la manera correcta que no dé lugar a ninguna duda: 

  • las autorizaciones, 
  • la información que está disponible, 
  • la técnica que se utilizará para la intrusión, 
  • el tratamiento de la información que se pueda obtener, en particular si fueran datos personales o información confidencial. 

No está de más, como en cualquier tipo de contratación, asegurarse de que la empresa contratada ofrece las garantías suficientes y  de que realizamos el seguimiento necesario durante y al finalizar el servicio. 

Por último, no olvides que en nuestra sección del blog ofrecemos información sobre diferentes aspectos que tienen que ver con el testeo de nuestro nivel de seguridad, como las auditorías de sistemas y otro tipo de revisiones de seguridad.  Si quieres saber cuáles son las debilidades o vulnerabilidades de tus sistemas, valora solicitar un pentesting y protege tu empresa.