| 17 min de lectura
Contenido
Pentesting o pruebas de penetración o pen testing manual
Las pruebas de penetración son una técnica de evaluación en la que hackers éticos simulan ciberataques reales en un sistema con el permiso de su propietario para determinar su seguridad.
Este artículo del blog te ofrecerá los conceptos básicos sobre las pruebas de penetración, junto con enlaces útiles a otros artículos en los que profundizamos en cada tema.
¿Quién realiza las pruebas de penetración?
Las pruebas de penetración son realizadas por personas altamente cualificadas que tienen experiencia en buscar, identificar, explotar y reportar vulnerabilidades en los sistemas de información. Aunque la actividad de pen testing puede realizarse con buenas o malas intenciones, el término se utiliza universalmente para referirse a la práctica legal y bienintencionada. El experto que realiza las tareas de pentesting, cuyo fin último es proteger los sistemas informáticos, puede denominarse de varias maneras, entre ellas, "pen tester", “hacker ético” o "analista de seguridad". En este artículo los utilizaremos indistintamente.
Los pen testers pueden o no tener educación y capacitación formales. Pueden haber obtenido un diploma en informática o ingeniería, o completado un programa de estudios sobre ciberseguridad. Pueden haber obtenido certifications como OffSec Certified Professional (OSCP) o incluso Offensive Security Exploitation Expert (OSEE). O puede que no. La única condición para ser un pen tester es demostrar efectivamente que se posee conocimientos de ciberseguridad utilizándolos de forma creativa para eludir las defensas de seguridad.
¿En qué se diferencian las pruebas automatizadas del pen testing?
Mientras que las pruebas de penetración las realizan seres humanos, las pruebas automatizadas consisten en el uso de herramientas para conocer detalles sobre el estado de seguridad de un sistema informático y ayudar a mejorarlo. Ambos tipos de pruebas son útiles, y aconsejamos utilizarlas al mismo tiempo para obtener los mejores resultados, aprovechando la velocidad de la automatización y la precisión de las revisiones manuales. A continuación presentamos una breve comparación entre pen testing y las pruebas automatizadas:
-
Tipos de vulnerabilidades: Las pruebas de penetración son más adecuadas para encontrar fallas en la lógica del negocio, problemas con el manejo de datos (p. ej., los que permiten ataques de secuencias de comandos en sitios cruzados (XSS) e SQL injection) y vulnerabilidades de control de acceso. Las pruebas automatizadas encuentran vulnerabilidades conocidas que suelen tener un impacto más leve si se explotan.
-
Precisión: Los resultados de las herramientas tienen altos índices de falsos positivos (es decir, a menudo alertan erróneamente de vulnerabilidades), y estas muestran altos índices de falsos negativos (es decir, a menudo no detectan vulnerabilidades). Por el contrario, los hackers verifican que estén reportando problemas reales y, gracias a su habilidad, pueden encontrar vulnerabilidades que las herramientas no pueden.
-
Explotación: Los hackers, a diferencia de las herramientas, crean exploits personalizados (p. ej., cadenas de código que permiten aprovecharse de una vulnerabilidad) para averiguar con mayor precisión qué impacto pueden tener los problemas detectados en la disponibilidad, confidencialidad e integridad de la información. Es más, los hackers combinan vulnerabilidades para saber cómo podría un adversario lograr el mayor impacto en el sistema informático.
-
Tiempo para empezar a obtener resultados: Los escaneos de vulnerabilidades son más rápidos que las revisiones manuales, por lo que generalmente una herramienta comenzará a reportar vulnerabilidades antes que un hacker.
-
Recomendaciones de remediación: Los consejos de los hackers pueden ser normalmente más detallados y efectivos que los que dan las herramientas.
Por cierto, las pruebas de penetración también se conocen como "pentesting manual" (MPT). De hecho, hemos publicado nuestra posición sobre las "pruebas de penetración automatizadas" (APT, por sus siglas en inglés), y es que en realidad todavía no existen: MPT es el único tipo de pruebas de penetración, ya que solo los humanos pueden realizar y lograr lo que se espera con esta técnica de pruebas de seguridad.
Diferencia entre la evaluación de vulnerabilidades y el pentesting
Mientras que la evaluación de vulnerabilidades es el nombre que se da a la evaluación sistemática de la seguridad de los sistemas informáticos y, por lo tanto, responde al "qué", las pruebas de penetración se refieren a una metodología de evaluación específica y, por tanto, responden al "cómo". Es inútil intentar compararlas. En cambio, pueden resultar útiles comparaciones como la del apartado anterior, entre dos metodologías de evaluación de vulnerabilidades. Una vez más, recomendamos utilizar tanto pruebas de penetración como pruebas automatizadas, ya que esto ayudará a lograr evaluaciones de vulnerabilidades completas.
¿Por qué es importante el pentesting?
Toda organización que disponga de activos con acceso a Internet está automática y constantemente expuesta a los ataques de los ciberdelincuentes. La actividad de los hackers maliciosos, especialmente de las amenazas persistentes avanzadas y los grupos de ransomware, está creciendo tanto que cada año se bate el récord anterior de gastos en ciberdelincuencia. A lo largo de 2024, este gasto será probablemente de 302.000 USD por segundo. Conscientes de los riesgos, las organizaciones de todo el mundo están aplicando pruebas de seguridad. Algunas de ellas se limitan a buscar herramientas para probar su tecnología. Y usar herramientas está bien, pero no es suficiente. Incluso disponer de más de 50 herramientas no garantiza a esas organizaciones que vayan a sentirse mejor preparadas para detectar y responder a los ataques. Lo que necesitan es ver la seguridad de su tecnología a través de los ojos del atacante.
Las pruebas de penetración son importantes porque someten la tecnología a simulaciones de ataques realistas. Los hackers éticos que las realizan están al día de los cambios en el panorama de las amenazas y son tan capaces como los hackers malintencionados de encontrar vulnerabilidades críticas para las empresas, ya que utilizan las mismas técnicas y conocen la forma de pensar de los ciberdelincuentes. Que las organizaciones realicen pen tests en sus sistemas puede hacerlas menos vulnerables a los ataques. Lo vemos con frecuencia, ya que nuestros reportes anuales muestran repetidamente que las revisiones manuales descubren la mayor parte de la exposición al riesgo de los sistemas de nuestros clientes. Por ejemplo, en nuestro State of Attacks 2023, exponemos que fueron los hackers éticos los que informaron del 72% de las vulnerabilidades críticas en los sistemas evaluados por ellos y las herramientas. Por lo tanto, el pentesting contribuye significativamente a que las organizaciones tengan una visión más realista de su ciberseguridad tecnológica.
¿Cuánto acceso se da a los pen testers?
Como veremos en la siguiente sección, los pen testers primero llegan a acuerdos con sus clientes sobre los términos de las pruebas. Uno de los factores es la información inicialmente disponible para los hackers. Las distintas decisiones al respecto se han clasificado en tres categorías ampliamente conocidas en el sector. A veces incluso se hace referencia a estas categorías como tipos de pentesting, sin embargo, no las utilizaremos en este sentido.
Pentesting de caja negra
Este término (en inglés, black box pentesting) se utiliza para referirse a la situación en la que la organización no comparte con el hacker el código fuente, la estructura y el funcionamiento interno del producto de software que se va a atacar. El analista de seguridad comienza su abordaje, entonces, como podrían hacerlo muchos actores de amenazas. Tendría que utilizar sus habilidades para obtener la información básica que necesita, y realizaría sus ataques contra el software en ejecución. De este modo, los pen tests llevarán más tiempo y probablemente detectarán menos vulnerabilidades que si se realizan en las situaciones descritas a continuación.
Pentesting de caja gris
En este caso (conocido en inglés como gray box pentesting), la organización comparte cierta información con el hacker sobre el funcionamiento interno del objetivo, pero retiene el código fuente.
Pentesting de caja blanca
La organización comparte el código fuente con el hacker, así como otros recursos que pueden ayudar a realizar las pruebas aportando contexto. El analista de seguridad puede entonces añadir la revisión de código a sus tareas, que también incluyen atacar el producto de software mientras está en ejecución. Este acuerdo (conocido en inglés como white box pentesting) da los mejores resultados, ya que el hacker puede progresar con mayor rapidez y tiene más posibilidades de encontrar todas las vulnerabilidades.
Etapas de las pruebas de penetración
Aunque no existe un estándar aceptado universalmente sobre cómo realizar pruebas de penetración, podemos nombrar algunas etapas o fases que suelen seguir los hackers. Ten en cuenta que el pentesting implica mucha creatividad y se adapta a las características del objetivo de evaluación (en inglés, ToE) específico. Por eso, las descripciones que ofrecemos aquí pretenden darte una idea general de en qué consiste esta técnica.
Planificación y reconocimiento
La actividad de pen testing comienza con una fase de planificación. La organización dueña del software determina el alcance de la evaluación con el pen tester, teniendo en cuenta las políticas y estándares de seguridad pertinentes, así como lo que está dispuesta a compartir sobre el software. Estos acuerdos forman parte de lo que se conoce como "reglas de compromiso" (ROE, por sus siglas en inglés). En consecuencia, el pen tester comienza a definir qué estrategias seguir y qué métodos utilizar en función de sus conocimientos y experiencia.
Lo más habitual es que el hacker comience a recopilar datos sobre el ToE, ya que el pentesting es un tipo de prueba de seguridad muy contextual. Por supuesto, si tiene acceso al código fuente y/o a la documentación, le resultará muy útil. En cualquier caso, recurre a diversos medios para conocer el producto. Una posible vía para ellos es el reconocimiento pasivo. El hacker recurre a Google, las redes sociales y otros sitios para recopilar información sin tener contacto directo con el objetivo. El reconocimiento activo puede venir después. Implica una interacción directa para conocer cuál es la tecnología utilizada por el ToE y qué posibles vectores de entrada y ataque existen.
Escaneo y análisis de vulnerabilidades
Los pen testers pueden utilizar herramientas para seguir recopilando información. Pueden escanear parte del ToE con herramientas gratuitas para averiguar, por ejemplo, sus versiones de software y bases de datos, componentes de terceros y tipos de hardware. Estos profesionales disponen de un amplio espectro de opciones. Basta con echar un vistazo al marco OSINT para hacerse una idea. Digamos que el hacker utiliza la herramienta Zenmap. Este programa les ayudará a realizar un escaneo de puertos para reconocer cuáles están abiertos y los servicios y sistemas operativos con los que están relacionados. Además, el hacker puede utilizar herramientas de enumeración (p. ej., Angry IP Scanner, Cain and Abel, SuperScan), que le ayudan a averiguar los servidores, dispositivos, carpetas, archivos, usuarios, etc., dentro del ToE.
Otras herramientas ayudarán al pentester a buscar vulnerabilidades de seguridad. Si ya se le dio acceso al código fuente (o lo obtuvo por su cuenta), puede utilizar una herramienta de pruebas de seguridad de aplicaciones estáticas (SAST) para buscar código inseguro. Por ejemplo, utilizando Gitleaks, puede saber si hay secretos expuestos y datos sensibles en repositorios Git. También existe el escaneo de vulnerabilidades que no necesita el código fuente. Una herramienta de pruebas de seguridad de aplicaciones dinámicas (DAST) podría ser útil, ya que evaluaría el software en ejecución desde el exterior, simulando el uso real. Por ejemplo, los hackers pueden elegir Burp Suite Professional, si el ToE es una aplicación web, para encontrar fallas y ayudarles con la explotación de dichas fallas. Aunque la automatización es estupenda para progresar con rapidez, depende del experto en hacking hacer su propia revisión del código y atacar teniendo en mente la lógica de negocio, así como combinar las vulnerabilidades para lograr un impacto mayor que el que sería posible de otro modo, superando así a cualquier herramienta. Ya que tendrá que reportarlo, el hacker necesita calcular el impacto de cada vulnerabilidad considerando factores como el escenario de ataque, la dificultad de explotación, los privilegios requeridos, el efecto en la disponibilidad, confidencialidad e integridad de los recursos de información gestionados por el producto de software, y la influencia en cualquier sistema cercano.
Obtener acceso mediante la explotación
El pen tester es capaz de idear exploits personalizados o encontrar algunos ya en uso para obtener acceso y alcanzar objetivos de alto valor en su ToE. Pueden utilizar una herramienta como Metasploit para ayudarles a desarrollar dichos exploits y realizar sus ataques. Durante esta etapa, el hacker se centra en los ataques de XSS e inyección SQL, entre otros, con los que puede evadir los controles de seguridad. Habiendo, por ejemplo, capturado una cuenta de usuario, pueden trabajar para ver si es posible escalar privilegios (es decir, obtener permisos más allá de los asignados a la cuenta que están utilizando), ver y transmitir datos sensibles, etc. A partir de esta fase, se trata de demostrar el impacto de las vulnerabilidades de seguridad. Aunque el objetivo de los pen tests es encontrar vulnerabilidades en los sistemas mediante ataques muy realistas, el hacker ético puede asegurarse de que estos ataques no detengan o interrumpan realmente las operaciones de la empresa objetivo. En Fluid Attacks, por ejemplo, nuestro equipo de hackers opera en "modo seguro", a menos que la empresa objetivo solicite lo contrario, para que esta no deje de generar funcionalidades mientras se realizan las pruebas de seguridad.
Conservar el acceso
Es habitual en las pruebas de penetración que los hackers identifiquen las formas en las que pueden permanecer más tiempo dentro del ToE una vez que tienen acceso. Esto se hace para simular cómo los atacantes tienen una presencia persistente en los sistemas de sus víctimas. El analista de seguridad puede instalar un software clasificado como "puerta trasera" (en inglés, backdoor). Dicho programa les permite entrar remotamente en un servidor o computador sin ser detectados. Además, pueden utilizar métodos cautelosos y algo lentos para extraer datos sin ser advertidos y pueden manipular los registros y archivos que tienen registros de su actividad.
Fase de análisis y elaboración de reportes
Los pen testers conocen las características que hacen útiles a los reportes. Son los que informan a los propietarios del ToE qué secciones del ToE se evaluaron, qué vulnerabilidades se encontraron y mediante qué métodos, cómo explotaron los problemas de seguridad (y cualquier POC (prueba de concepto) en video puede constituir una gran prueba), cuál es la exposición al riesgo que representa cada una de ellas en función de su impacto, cuánto tiempo pasaron dentro del ToE y qué recomendaciones de remediación pueden dar. Con toda esta información, los dueños de los ToE deberían ser capaces de tomar medidas para mejorar la seguridad de los sistemas en cuestión.
Conocimiento durante los pen tests
Nos gustaría abordar algunas situaciones que pueden pactarse en las ROE, relativas al conocimiento que ambas partes aceptan tener durante las pruebas. La siguiente clasificación de estas situaciones ha sido denominada por otras fuentes como "métodos de pruebas de penetración". No utilizamos en ese sentido las categorías presentadas.
Pruebas focalizadas
Las partes acuerdan compartir todos sus movimientos. Esto ayuda a la organización a implementar controles de seguridad poco después de ser informada de las fallas asociadas. Después, el equipo de hackers puede verificar si los esfuerzos de la organización han sido eficaces y dar recomendaciones.
Pruebas ciegas
Las partes acuerdan que la empresa solo comparta su nombre. Los hackers deben entonces proceder como lo harían hackers maliciosos ajenos a la organización objetivo. La organización aprendería si esta prueba de caja negra puede encontrar problemas de seguridad en su tecnología.
Pruebas doble ciego
Las partes acuerdan que parte del equipo de seguridad de la organización no sepa que se han solicitado pruebas de penetración. Esto contribuirá en gran medida a que la operación sea lo más realista posible. Los defensores de la organización no conocerán las horas y los lugares de las intrusiones de los hackers, ni estos últimos pedirán permisos. Aconsejamos esta configuración para las operaciones de red teaming.
¿Cuáles son los tipos de pruebas de penetración?
Las pruebas de penetración se clasifican en diferentes tipos. No existe un consenso universal sobre qué clasificación utilizar. Como lo hicimos en nuestro post "Los fundamentos de las pruebas de seguridad," hemos elegido aquí la que indica el objetivo de la evaluación. Presentamos más información sobre los tipos de pruebas de penetración en otro artículo del blog.
Pen tests de aplicaciones
Los hackers éticos pueden realizar pentesting en aplicaciones web y móviles. Esta metodología ingeniosa puede detectar vulnerabilidades de seguridad complejas, como fallas de inyección, de lógica de negocio y de configuración de despliegue.
Las pruebas de penetración en aplicaciones web pueden centrarse en los diez riesgos principales identificados por Open Worldwide Application Security Project (OWASP), pero también pueden ir más allá, dependiendo de lo que haya requerido la organización en la fase de planeamiento. De todos modos, los siguientes son algunos requisitos de seguridad que se verificarían.
-
La aplicación define los usuarios con privilegios, lo que garantiza que no se produzcan fallos en el control de acceso.
-
La aplicación utiliza mecanismos preexistentes y actualizados para implementar funciones criptográficas, protegiéndose contra errores criptográficos.
-
La aplicación descarta inputs inseguros e incluye encabezados de seguridad HTTP, protegiendo contra ataques de inyección y de comandos en sitios cruzados (XSS).
-
La aplicación utiliza componentes de terceros en sus versiones estables, evaluadas y actualizadas, lo que ayuda a proteger contra el uso de software con vulnerabilidades conocidas.
-
La aplicación requiere contraseñas y frases de contraseña largas, lo que protege contra errores de identificación y autenticación.
-
La aplicación controla los redireccionamientos para que conduzcan a sitios de confianza, lo que protege contra los ataques de falsificación de peticiones del lado del servidor (SSRF).
Para buscar rápidamente vulnerabilidades web conocidas, los expertos en pruebas de penetración pueden utilizar escáneres de seguridad de sitios web como Burp Scanner, ffuf, Nuclei y Vega. Una vez solucionados estos problemas, los expertos pueden dedicar la mayor parte de su tiempo a buscar las vulnerabilidades más complejas, las cuales no pueden encontrar las herramientas.
El pentesting de aplicaciones móviles puede realizarse en sistemas operativos como iOS, Android y Windows UI. Al igual que con las aplicaciones web, la autoridad es OWASP con su lista Mobile Top 10. Los siguientes son algunos requisitos de seguridad importantes para este tipo de ToE.
-
Solicitar autenticación multifactor.
-
No exponer los IDs de sesión en las URL y los mensajes presentados al usuario.
-
Desactivar o controlar las funcionalidades inseguras.
-
Mantener los protocolos de comunicación (como Bluetooth) ocultos, protegidos con credenciales o desactivados.
-
Cifrar la información sensible.
-
Tener roles con diferentes niveles de privilegio para acceder a los recursos.
-
No tener funciones, métodos o clases repetidos.
-
No permitir la inclusión de parámetros en nombres de directorios o rutas de archivos.
-
Ofuscar los datos si la aplicación no está activa.
-
No tener archivos sin verificar (es decir, no incluidos en auditorías) en el código fuente.
Los hackers también pueden aprovechar la automatización a la hora de evaluar este ToE. Algunas herramientas para realizar tanto SAST como DAST automatizadas en múltiples sistemas operativos son MobSF y Objection.
Pen tests para redes
En este tipo de evaluación, los pen testers simulan ataques para ver si pueden penetrar en la red (pruebas de penetración externas o pruebas externas) y/o averiguar qué daños son capaces de causar mientras están dentro (pruebas de penetración internas o pruebas internas). En el primer caso, el hacker puede realizar ataques ofensivos como el password spraying (es decir, probar una contraseña predeterminada con varios nombres de usuario en busca de una coincidencia) y el credential stuffing (en español, relleno de credenciales, es decir, probar el acceso con credenciales violadas). El pentesting interno implica diferentes acciones, como los ataques man-in-the-middle (es decir, interceptar y/o modificar los datos intercambiados entre dos partes sin que estas lo sepan).
Los siguientes son algunos de los requisitos que verificaría el pentesting:
-
Los firewalls bloquean con éxito el acceso no autorizado.
-
La red es resistente a los ataques distribuidos de denegación de servicio (DDoS).
-
Los sistemas de detección y prevención de intrusiones identifican, detienen, registran y notifican eficazmente los incidentes potenciales.
-
Se utilizan controles seguros de acceso de usuarios.
-
La configuración de los segmentos de red es segura y estos están aislados.
-
Se utilizan mecanismos seguros de cifrado de datos.
-
La configuración de balanceadores de carga y proxies es segura.
-
Los dispositivos y sistemas de red están actualizados.
Pruebas de penetración en IoT y hardware
Los dispositivos inteligentes también pueden entrar en el campo de las pruebas de penetración. A continuación se enumeran algunos requisitos de seguridad que los hackers pueden evaluar en este ToE.
-
El dispositivo restringe el acceso lógico a las interfaces locales y de red únicamente a los usuarios, servicios o componentes autorizados.
-
El dispositivo protege los datos que almacena y transmite del acceso, la divulgación y la modificación no autorizados.
-
El dispositivo tiene una configuración segura por defecto.
-
El dispositivo permite la creación de pares seguros de nombre de usuario y contraseña.
-
El dispositivo utiliza componentes actualizados y dispone de un mecanismo seguro de actualización.
Pen tests para el personal
En algunos casos, por ejemplo, cuando realizan tareas de reconocimiento, los hackers pueden recurrir a la ingeniería social. Básicamente, utilizarían técnicas de influencia, como la escasez de tiempo, para persuadir a empleados desprevenidos de que asuman riesgos de ciberseguridad. Los ataques más comunes en estas operaciones incluyen el phishing, en el que el hacker se hace pasar por organizaciones o personas fiables a través de correo electrónico para conseguir que la persona objetivo comparta información, instale malware, etc.
Tipos de herramientas de pruebas de penetración
Hemos hecho referencia a lo largo de este artículo a algunas herramientas que utilizan los hackers. Tenemos algunas listas a las que puedes acceder como referencia en nuestro artículo principal sobre red teaming y en el de hacking ético. Para esta sección, nos limitaremos a mencionar la clasificación que se utiliza a menudo para estas herramientas.
-
Sniffers de red: Son herramientas que los hackers utilizan a la hora de analizar la seguridad de la red, ya que permiten monitorear los datos del tráfico de red para conocer su origen y destino, así como qué dispositivos se están comunicando en la red y qué protocolos y puertos se utilizan. Un ejemplo de estas herramientas es Wireshark.
-
Descifradores de contraseñas: Los hackers pueden utilizar estas herramientas para recuperar contraseñas, por ejemplo, descifrando contraseñas cifradas, utilizando la fuerza bruta (p. ej., password spraying) y descubriendo contraseñas almacenadas en caché. Un ejemplo de descifrador de contraseñas es Cain and Abel.
-
Escáneres de puertos: Los hackers pueden identificar puertos abiertos en el sistema con la ayuda de estas herramientas. Como ya hemos mencionado, ayudan a reconocer los sistemas operativos en el ToE. Un ejemplo notable de este tipo de herramientas es Nmap.
-
Escáneres de vulnerabilidades: Los hackers realizan SAST, DAST y análisis de composición de software (SCA) con estas herramientas. De este modo, identifican vulnerabilidades en el código fuente, la aplicación en ejecución y sus componentes de terceros, respectivamente. Una herramienta que puede realizar las tres técnicas, junto con la gestión de la postura de seguridad en la nube, es Machine de Fluid Attacks. (Para más información sobre estas técnicas, lee nuestro post "¿Cómo difieren SAST, SCA y DAST?")
-
Proxies web: Son herramientas que los hackers utilizan para interceptar, inspeccionar y modificar el tráfico entre su navegador y una aplicación o servidor web. Con la ayuda de estas herramientas, el hacker puede identificar cualquier característica HTML a la que pueda dirigir ataques de falsificación de petición en sitios cruzados (CSRF) o de XSS. Un ejemplo de estas herramientas es OWASP® ZAP.
¿Con qué frecuencia deben realizarse las pruebas de penetración?
Existen pruebas de penetración puntuales y continuas. Las segundas tienen ventajas sobre las primeras. Una de ellas es que, si se evalúan continuamente, la organización puede obtener una percepción de la postura de seguridad en tiempo real. Esto es clave, ya que las amenazas son persistentes y evolucionan, y por lo tanto una captura estática de la seguridad del ToE puede volverse obsoleta rápidamente. Otra ventaja es que cuesta menos, ya que las organizaciones no tienen que dedicar tiempo a cada pen test buscando a los profesionales adecuados disponibles y estableciendo las reglas de compromiso (ROE). Los pen tests continuos, a diferencia de los puntuales, también permiten un alcance ajustable, de modo que, si los hackers descubren activos que eran desconocidos antes de establecer las ROE, pueden incluirlos en las pruebas. Por último, las operaciones continuas permiten un soporte constante por parte de expertos, de forma que los responsables de la remediación pueden contar con asesoramiento en muchas de las vulnerabilidades encontradas y no solo en las pocas que tienen que priorizar durante un periodo de soporte más corto que ofrecen los pen tests puntuales. (Para más información sobre los beneficios y cómo superamos los desafíos de esta modalidad, lee nuestro artículo "Pruebas de penetración continuas.")
Las pruebas de penetración son obligatorias en algunos sectores. Los estándares que las exigen también dicen con qué frecuencia deben hacerse. Por ejemplo, la Ley Gramm Leach Bliley (GLBA) exige que las instituciones financieras realicen pentesting anualmente. Lo mismo hace el Estándar de Seguridad de Datos de Payment Card Industry (PCI DSS), mientras que exige específicamente a los proveedores de servicios que las hagan una vez cada seis meses y después de cambios en los controles/métodos de segmentación. Ampliamos el tema en nuestro post "Cumplimiento que pide pentesting." En Fluid Attacks, aconsejamos a las organizaciones que vayan más allá del mero cumplimiento y evalúen sus aplicaciones y otros sistemas de forma continua.
Cuáles son los beneficios del pentesting con Fluid Attacks
Las organizaciones que eligen las pruebas de penetración de Fluid Attacks se benefician de:
-
Pruebas de penetración continuas que van a lo largo de la evolución del ToE.
-
Evaluaciones realizadas por un equipo de hacking altamente certificado (OSEE, eCPTXv2, eWPTXv2, etc.)
-
Tasas muy bajas de falsos positivos y falsos negativos.
-
Pruebas visuales de la explotación de vulnerabilidades en el ToE por parte de nuestro equipo de hacking.
-
Orientación ilimitada para la remediación a través de la ayuda de expertos.
Aquellos son algunos de los beneficios de nuestro plan Advanced de Hacking Continuo, que también incluye otras técnicas manuales (revisión de código fuente e ingeniería inversa de software), además de nuestro escaneo de vulnerabilidades. Si deseas examinar primero los beneficios de las pruebas de seguridad continuas realizando únicamente escaneos de tu aplicación te invitamos a iniciar una prueba gratuita de 21 días de nuestro escáner. Para beneficiarte de mucho más que el escaneo de vulnerabilidades, puedes en cualquier momento cambiarte con cobro al plan Advanced.
Contenido
Comparte
Blog posts recomendados
Quizá te interesen los siguientes posts similares.
Introducción a la ciberseguridad del sector de la aviación
¿Por qué calcular riesgos de ciberseguridad con nuestra métrica CVSSF?
Nuestra nueva arquitectura de pruebas para el desarrollo de software
Protegiendo tus TPV de las ciberamenazas
Los siete ciberataques más exitosos contra esta industria
Retos, amenazas y buenas prácticas para los comerciantes
Sé más seguro aumentando la confianza en tu software