Si tu organización cumple con algún esquema de seguridad, una de las actividades que se deben realizar entre una y dos veces al año, son las Pruebas de penetración o pentest (pentesting, ethical hacking, penetration test).

Un pentest o prueba de penetración, es una técnica que se utiliza para evaluar las defensas internas de ciberseguridad en una organización.

En otras palabras, se trata de un ataque real controlado contra los sistemas, redes o aplicaciones web de una organización, para identificar dónde existen vulnerabilidades y debilidades que podrían ser explotadas por un atacante.

El proceso de pentest no solo identifica problemas de seguridad cibernética, sino que también ofrece recomendaciones para remediar esos problemas.

Existen tres estrategias principales de pentest:  caja negra, caja gris y caja blanca.

Cuando es la primera vez que una organización busca proveedores para que realicen un pentest en su infraestructura, es frecuente que desconozcan cómo solicitar el servicio o qué tipo de pentest elegir. Por lo mismo, creo conveniente que las empresas comiencen con los análisis de caja blanca, donde se le proporciona información al especialista para que pueda realizar las pruebas directamente a los activos; estos análisis nos darán un reporte claro y completo sobre las debilidades que se encontraron y las que pudieron ser explotadas para lograr un ataque exitoso.

¿Para qué me sirve el análisis de caja blanca?

Un pentest de caja blanca nos dará el panorama completo de debilidades que contiene nuestro sistema, principalmente en los activos críticos que son parte esencial del negocio, con lo que podremos tomar medidas para resarcir estas vulnerabilidades y comenzar a madurar nuestro sistema en materia de ciberseguridad.

¿Cuándo se recomienda un análisis de caja negra?

El análisis de caja negra lo recomiendo cuando ya tienes implementado un sistema robusto en materia de ciberseguridad dentro de tu empresa, sin embargo, aún sin ello puedes realizar este análisis también. Solo debes tomar en cuenta que la inversión para este tipo de pruebas es mayor, debido al tiempo que debe dedicar el especialista para su ejecución.

¿Cómo definir el alcance de un pentest?

Antes de llevar a cabo este tipo de pruebas en una organización, es importante tener muy claro qué es lo que se quiere y definir el alcance que deberá tener el pentest.

El alcance deberá ser definido conforme a la criticidad de nuestros activos, para eso es necesario contar con un inventario adecuado y un análisis de riesgos, los cuales, nos indicarán los activos que son parte fundamental del negocio y que deben ser protegidos en mayor medida. Por lo que nuestro alcance, si queremos acotarlo, será solo a lo más crítico.

Muchas veces, cuando se quiere realizar las pruebas por primera vez en la empresa, (incluso algunas organizaciones ya con varios años realizando las pruebas), buscan un alcance muy amplio, lo cual puede terminar superando su presupuesto, y esto es debido a que no conocen sus activos críticos o no tienen idea del alcance que debe de tener su análisis.

Si aún no cuentas con tu análisis de riesgos o te falta información para definir correctamente el alcance, te recomiendo lo siguiente:

➥ Determina los dispositivos. Identifica los activos que no deben de faltar en el análisis (los más críticos e indispensables para que funcione el negocio) y ordénalos por su criticidad.

➥ Determina las aplicaciones. Genera una lista de las aplicaciones y servicios web que se deben analizar, otra vez, ordénalas con base en su criticidad.

Con esta lista, podrás tener una mejor idea de qué es lo más crítico y lo que sí o sí, debería de formar parte de estas pruebas, ya que te estarás enfocando en lo más importante para el negocio y su operación.

Puedes realizar análisis a toda la red, todos tus dispositivos, aplicaciones, etc., pero recuerda que entre más activos se analicen, mayor será la inversión económica. Siempre será recomendable empezar por lo crítico y de ahí comenzar a avanzar e ir incrementando el grado de análisis técnico.