Etapas de un pentest

Las cinco fases del test de penetración se constituyen como el esquema fundamental para evaluar la seguridad de los sistemas informáticos, identificando vulnerabilidades y validando las medidas de protección existentes. A continuación, se profundiza en las cinco fases del test de penetración.

Reconocimiento

La primera fase del test de penetración es el reconocimiento. En esta etapa, el analista de seguridad recopila toda la información posible sobre el sistema objetivo, incluyendo detalles sobre la topología de red, sistemas operativos y aplicaciones utilizadas, cuentas de usuario y otra información pertinente. El objetivo es acumular un conjunto de datos lo más completo posible para que el analista pueda diseñar una estrategia de ataque efectiva.

El reconocimiento puede clasificarse en activo o pasivo, dependiendo de los métodos utilizados para recopilar información. El reconocimiento pasivo se basa en información públicamente disponible, sin interactuar directamente con el sistema objetivo, mientras que el reconocimiento activo implica una interacción directa para obtener datos. Generalmente, se requiere una combinación de ambos métodos para obtener una visión completa de las vulnerabilidades del objetivo.

Escaneo

Tras recopilar todos los datos relevantes en la fase de reconocimiento, se procede al escaneo. En esta fase, el analista utiliza diversas herramientas para identificar puertos abiertos y analizar el tráfico de red del sistema objetivo. Dado que los puertos abiertos pueden ser puntos de entrada potenciales para los atacantes, es crucial identificar la mayor cantidad posible de ellos.

Esta etapa también puede realizarse independientemente de un test de penetración, conocido como escaneo de vulnerabilidades, que suele ser un proceso automatizado. Sin embargo, el escaneo por sí solo tiene limitaciones, ya que puede identificar una amenaza potencial pero no determinar el nivel de acceso que los atacantes pueden obtener. Por tanto, el escaneo necesita de la intervención humana de analistas de seguridad para maximizar su eficacia.

Evaluación de Vulnerabilidades

La tercera fase es la evaluación de vulnerabilidades, donde el analista utiliza los datos recopilados en las fases de reconocimiento y escaneo para identificar vulnerabilidades potenciales y determinar si pueden ser explotadas. Aunque la evaluación de vulnerabilidades es útil por sí sola, su potencial se maximiza cuando se combina con las demás fases del test de penetración.

Para determinar el riesgo de las vulnerabilidades descubiertas, los analistas tienen a su disposición recursos como la Base de Datos Nacional de Vulnerabilidades (NVD, por sus siglas en inglés), que analiza las vulnerabilidades de software publicadas en la base de datos de Vulnerabilidades y Exposiciones Comunes (CVE). La NVD califica la gravedad de las vulnerabilidades conocidas utilizando el Sistema de Puntuación de Vulnerabilidades Comunes (CVSS).

Explotación

Una vez identificadas las vulnerabilidades, se procede a la explotación. En esta fase, el analista intenta acceder al sistema objetivo y explotar las vulnerabilidades identificadas, típicamente utilizando herramientas como Metasploit para simular ataques del mundo real.

Esta es posiblemente la fase más delicada del test de penetración, ya que acceder al sistema objetivo requiere sortear las restricciones de seguridad. Aunque es raro que los sistemas se colapsen durante un test de penetración, los analistas deben proceder con cautela para asegurarse de no comprometer o dañar el sistema.

Reporte

Una vez completada la fase de explotación, el analista prepara un informe documentando los hallazgos del test de penetración. El informe generado en esta última fase sirve para corregir cualquier vulnerabilidad encontrada en el sistema y mejorar la postura de seguridad de la organización.

Elaborar un informe de test de penetración requiere documentar claramente las vulnerabilidades y contextualizarlas, permitiendo a la organización remediar sus riesgos de seguridad. Los informes más útiles incluyen secciones para un detalle exhaustivo de las vulnerabilidades descubiertas (incluyendo puntuaciones CVSS), una evaluación del impacto empresarial, una explicación de la dificultad de la fase de explotación, un informe de riesgo técnico, consejos de remediación y recomendaciones estratégicas.