¿En qué consiste el test de penetración en las auditorías de ciberseguridad?

El test de penetración o pentesting es una práctica para poner a prueba un sistema informático, red o aplicación web para encontrar vulnerabilidades. El auditor emplea métodos de ataque comunes para ver si la seguridad de un sistema es la adecuada. Si el auditor no consigue comprometer el sistema, entonces éste pasa la prueba. Si, por el contrario, el sistema se ve comprometido, no pasará la prueba.

Con el pentesting se simulan verdaderos ataques que la compañía puede sufrir de un hacker real. Es una forma controlada de hackear los sistemas para encontrar los fallos antes que los verdaderos ciberdelincuentes. Los test de penetración se suelen realizar fuera del horario laboral, para no interferir en las operaciones diarias.

Otro motivo por el cual se puede realizar un test de penetración, es para garantizar el cumplimiento de una política de seguridad, conocer la concienciación que tienen los empleados con la misma e identificar la capacidad de respuesta ante estos ataques.

Tipos de test de penetración existentes

Existen varios tipos de test de penetración o pentesting. Se diferencian por el aspecto concreto que trata cada uno de ellos. Nos encontramos con:

• Test de penetración en la red: consiste en identificar los problemas de seguridad en la infraestructura de la red. Con este test se escanea la red y los servicios inalámbricos para estar seguros de que el diseño de la misma y sus componentes están bien definidos y programados.
• Test de penetración de la aplicación web: consiste en detectar los problemas de seguridad de un sitio o aplicación web. Con este test se vigilan los puntos de acceso a los sistemas y así se evita el robo de información o un daño a las aplicaciones.
• Test de penetración inalámbrica: consiste en descubrir puntos de acceso y dispositivos no fiables para analizar sus configuraciones y comprobar vulnerabilidades. Además, se comprueba el estado de sus parches y versiones.
• Test de suplantación de identidad simulada: consiste en realizar una suplantación de identidad o phishing para descubrir la sensibilización y concienciación que tienen los empleados al respecto.

Características de un test de penetración o pentesting 

Los test de penetración pueden ser automatizados con aplicaciones de software o se pueden realizar manualmente. Estos test, a veces, se conocen como test de intrusión o ataques de sombrero blanco, ya que estos ataques se realizan para identificar vulnerabilidades y subsanarlas.

El proceso de pentesting incluye la recopilación de información sobre el objetivo, la identificación de posibles puntos de entrada o vulnerabilidades y el reporte de resultados.

Existen pruebas de comprobación externa, las cuales están dirigidas a los servidores o dispositivos de la empresa que son visibles como servidores de correo electrónico, servidores web o firewalls.

Por otro lado, nos podemos encontrar con pruebas internas, que simulan un ataque interno detrás del firewall por un usuario con privilegios de acceso estándar. Con estas pruebas internas se puede estimar la cantidad de daño que un empleado descontento podría causar.

También existen las pruebas a ciegas, que simulan acciones de un atacante real, limitando la información dada de antemano a la persona que realiza la prueba.

Por último, tenemos las pruebas de doble ciego, las cuales solo una o dos personas de la empresa pueden saber que se están llevando a cabo.