Una guía sobre pruebas de penetración

Las pruebas de penetración son una técnica de evaluación en la que hackers éticos simulan ciberataques reales en un sistema con el permiso de su propietario para determinar su seguridad.

Las pruebas de penetración son realizadas por personas altamente cualificadas que tienen experiencia en buscar, identificar, explotar y reportar vulnerabilidades en los sistemas de información. Aunque la actividad de pen testing puede realizarse con buenas o malas intenciones, el término se utiliza universalmente para referirse a la práctica legal y bienintencionada. El experto que realiza las tareas de pentesting, cuyo fin último es proteger los sistemas informáticos, puede denominarse de varias maneras, entre ellas, "pen tester", “hacker ético” o "analista de seguridad". En este artículo los utilizaremos indistintamente.

Los pen testers pueden o no tener educación y capacitación formales. Pueden haber obtenido un diploma en informática o ingeniería, o completado un programa de estudios sobre ciberseguridad. Pueden haber obtenido certifications como OffSec Certified Professional (OSCP) o incluso Offensive Security Exploitation Expert (OSEE). O puede que no. La única condición para ser un pen tester es demostrar efectivamente que se posee conocimientos de ciberseguridad utilizándolos de forma creativa para eludir las defensas de seguridad.

Mientras que las pruebas de penetración las realizan seres humanos, las pruebas automatizadas consisten en el uso de herramientas para conocer detalles sobre el estado de seguridad de un sistema informático y ayudar a mejorarlo. Ambos tipos de pruebas son útiles, y aconsejamos utilizarlas al mismo tiempo para obtener los mejores resultados, aprovechando la velocidad de la automatización y la precisión de las revisiones manuales. A continuación presentamos una breve comparación entre pen testing y las pruebas automatizadas:

Por cierto, las pruebas de penetración también se conocen como "pentesting manual" (MPT). De hecho, hemos publicado nuestra posición sobre las "pruebas de penetración automatizadas" (APT, por sus siglas en inglés), y es que en realidad todavía no existen: MPT es el único tipo de pruebas de penetración, ya que solo los humanos pueden realizar y lograr lo que se espera con esta técnica de pruebas de seguridad.

Mientras que la evaluación de vulnerabilidades es el nombre que se da a la evaluación sistemática de la seguridad de los sistemas informáticos y, por lo tanto, responde al "qué", las pruebas de penetración se refieren a una metodología de evaluación específica y, por tanto, responden al "cómo". Es inútil intentar compararlas. En cambio, pueden resultar útiles comparaciones como la del apartado anterior, entre dos metodologías de evaluación de vulnerabilidades. Una vez más, recomendamos utilizar tanto pruebas de penetración como pruebas automatizadas, ya que esto ayudará a lograr evaluaciones de vulnerabilidades completas.

Toda organización que disponga de activos con acceso a Internet está automática y constantemente expuesta a los ataques de los ciberdelincuentes. La actividad de los hackers maliciosos, especialmente de las amenazas persistentes avanzadas y los grupos de ransomware, está creciendo tanto que cada año se bate el récord anterior de gastos en ciberdelincuencia. A lo largo de 2024, este gasto será probablemente de 302.000 USD por segundo. Conscientes de los riesgos, las organizaciones de todo el mundo están aplicando pruebas de seguridad. Algunas de ellas se limitan a buscar herramientas para probar su tecnología. Y usar herramientas está bien, pero no es suficiente. Incluso disponer de más de 50 herramientas no garantiza a esas organizaciones que vayan a sentirse mejor preparadas para detectar y responder a los ataques. Lo que necesitan es ver la seguridad de su tecnología a través de los ojos del atacante.

Las pruebas de penetración son importantes porque someten la tecnología a simulaciones de ataques realistas. Los hackers éticos que las realizan están al día de los cambios en el panorama de las amenazas y son tan capaces como los hackers malintencionados de encontrar vulnerabilidades críticas para las empresas, ya que utilizan las mismas técnicas y conocen la forma de pensar de los ciberdelincuentes. Que las organizaciones realicen pen tests en sus sistemas puede hacerlas menos vulnerables a los ataques. Lo vemos con frecuencia, ya que nuestros reportes anuales muestran repetidamente que las revisiones manuales descubren la mayor parte de la exposición al riesgo de los sistemas de nuestros clientes. Por ejemplo, en nuestro State of Attacks 2023, exponemos que fueron los hackers éticos los que informaron del 72% de las vulnerabilidades críticas en los sistemas evaluados por ellos y las herramientas. Por lo tanto, el pentesting contribuye significativamente a que las organizaciones tengan una visión más realista de su ciberseguridad tecnológica.

Como veremos en la siguiente sección, los pen testers primero llegan a acuerdos con sus clientes sobre los términos de las pruebas. Uno de los factores es la información inicialmente disponible para los hackers. Las distintas decisiones al respecto se han clasificado en tres categorías ampliamente conocidas en el sector. A veces incluso se hace referencia a estas categorías como tipos de pentesting, sin embargo, no las utilizaremos en este sentido.

Este término (en inglés, black box pentesting) se utiliza para referirse a la situación en la que la organización no comparte con el hacker el código fuente, la estructura y el funcionamiento interno del producto de software que se va a atacar. El analista de seguridad comienza su abordaje, entonces, como podrían hacerlo muchos actores de amenazas. Tendría que utilizar sus habilidades para obtener la información básica que necesita, y realizaría sus ataques contra el software en ejecución. De este modo, los pen tests llevarán más tiempo y probablemente detectarán menos vulnerabilidades que si se realizan en las situaciones descritas a continuación.

En este caso (conocido en inglés como gray box pentesting), la organización comparte cierta información con el hacker sobre el funcionamiento interno del objetivo, pero retiene el código fuente.

La organización comparte el código fuente con el hacker, así como otros recursos que pueden ayudar a realizar las pruebas aportando contexto. El analista de seguridad puede entonces añadir la revisión de código a sus tareas, que también incluyen atacar el producto de software mientras está en ejecución. Este acuerdo (conocido en inglés como white box pentesting) da los mejores resultados, ya que el hacker puede progresar con mayor rapidez y tiene más posibilidades de encontrar todas las vulnerabilidades.

Aunque no existe un estándar aceptado universalmente sobre cómo realizar pruebas de penetración, podemos nombrar algunas etapas o fases que suelen seguir los hackers. Ten en cuenta que el pentesting implica mucha creatividad y se adapta a las características del objetivo de evaluación (en inglés, ToE) específico. Por eso, las descripciones que ofrecemos aquí pretenden darte una idea general de en qué consiste esta técnica.

La actividad de pen testing comienza con una fase de planificación. La organización dueña del software determina el alcance de la evaluación con el pen tester, teniendo en cuenta las políticas y estándares de seguridad pertinentes, así como lo que está dispuesta a compartir sobre el software. Estos acuerdos forman parte de lo que se conoce como "reglas de compromiso" (ROE, por sus siglas en inglés). En consecuencia, el pen tester comienza a definir qué estrategias seguir y qué métodos utilizar en función de sus conocimientos y experiencia.

Lo más habitual es que el hacker comience a recopilar datos sobre el ToE, ya que el pentesting es un tipo de prueba de seguridad muy contextual. Por supuesto, si tiene acceso al código fuente y/o a la documentación, le resultará muy útil. En cualquier caso, recurre a diversos medios para conocer el producto. Una posible vía para ellos es el reconocimiento pasivo. El hacker recurre a Google, las redes sociales y otros sitios para recopilar información sin tener contacto directo con el objetivo. El reconocimiento activo puede venir después. Implica una interacción directa para conocer cuál es la tecnología utilizada por el ToE y qué posibles vectores de entrada y ataque existen.

Los pen testers pueden utilizar herramientas para seguir recopilando información. Pueden escanear parte del ToE con herramientas gratuitas para averiguar, por ejemplo, sus versiones de software y bases de datos, componentes de terceros y tipos de hardware. Estos profesionales disponen de un amplio espectro de opciones. Basta con echar un vistazo al marco OSINT para hacerse una idea. Digamos que el hacker utiliza la herramienta Zenmap. Este programa les ayudará a realizar un escaneo de puertos para reconocer cuáles están abiertos y los servicios y sistemas operativos con los que están relacionados. Además, el hacker puede utilizar herramientas de enumeración (p. ej., Angry IP Scanner, Cain and Abel, SuperScan), que le ayudan a averiguar los servidores, dispositivos, carpetas, archivos, usuarios, etc., dentro del ToE.

Otras herramientas ayudarán al pentester a buscar vulnerabilidades de seguridad. Si ya se le dio acceso al código fuente (o lo obtuvo por su cuenta), puede utilizar una herramienta de pruebas de seguridad de aplicaciones estáticas (SAST) para buscar código inseguro. Por ejemplo, utilizando Gitleaks, puede saber si hay secretos expuestos y datos sensibles en repositorios Git. También existe el escaneo de vulnerabilidades que no necesita el código fuente. Una herramienta de pruebas de seguridad de aplicaciones dinámicas (DAST) podría ser útil, ya que evaluaría el software en ejecución desde el exterior, simulando el uso real. Por ejemplo, los hackers pueden elegir Burp Suite Professional, si el ToE es una aplicación web, para encontrar fallas y ayudarles con la explotación de dichas fallas. Aunque la automatización es estupenda para progresar con rapidez, depende del experto en hacking hacer su propia revisión del código y atacar teniendo en mente la lógica de negocio, así como combinar las vulnerabilidades para lograr un impacto mayor que el que sería posible de otro modo, superando así a cualquier herramienta. Ya que tendrá que reportarlo, el hacker necesita calcular el impacto de cada vulnerabilidad considerando factores como el escenario de ataque, la dificultad de explotación, los privilegios requeridos, el efecto en la disponibilidad, confidencialidad e integridad de los recursos de información gestionados por el producto de software, y la influencia en cualquier sistema cercano.

El pen tester es capaz de idear exploits personalizados o encontrar algunos ya en uso para obtener acceso y alcanzar objetivos de alto valor en su ToE. Pueden utilizar una herramienta como Metasploit para ayudarles a desarrollar dichos exploits y realizar sus ataques. Durante esta etapa, el hacker se centra en los ataques de XSS e inyección SQL, entre otros, con los que puede evadir los controles de seguridad. Habiendo, por ejemplo, capturado una cuenta de usuario, pueden trabajar para ver si es posible escalar privilegios (es decir, obtener permisos más allá de los asignados a la cuenta que están utilizando), ver y transmitir datos sensibles, etc. A partir de esta fase, se trata de demostrar el impacto de las vulnerabilidades de seguridad. Aunque el objetivo de los pen tests es encontrar vulnerabilidades en los sistemas mediante ataques muy realistas, el hacker ético puede asegurarse de que estos ataques no detengan o interrumpan realmente las operaciones de la empresa objetivo. En Fluid Attacks, por ejemplo, nuestro equipo de hackers opera en "modo seguro", a menos que la empresa objetivo solicite lo contrario, para que esta no deje de generar funcionalidades mientras se realizan las pruebas de seguridad.

Es habitual en las pruebas de penetración que los hackers identifiquen las formas en las que pueden permanecer más tiempo dentro del ToE una vez que tienen acceso. Esto se hace para simular cómo los atacantes tienen una presencia persistente en los sistemas de sus víctimas. El analista de seguridad puede instalar un software clasificado como "puerta trasera" (en inglés, backdoor). Dicho programa les permite entrar remotamente en un servidor o computador sin ser detectados. Además, pueden utilizar métodos cautelosos y algo lentos para extraer datos sin ser advertidos y pueden manipular los registros y archivos que tienen registros de su actividad.

Los pen testers conocen las características que hacen útiles a los reportes. Son los que informan a los propietarios del ToE qué secciones del ToE se evaluaron, qué vulnerabilidades se encontraron y mediante qué métodos, cómo explotaron los problemas de seguridad (y cualquier POC (prueba de concepto) en video puede constituir una gran prueba), cuál es la exposición al riesgo que representa cada una de ellas en función de su impacto, cuánto tiempo pasaron dentro del ToE y qué recomendaciones de remediación pueden dar. Con toda esta información, los dueños de los ToE deberían ser capaces de tomar medidas para mejorar la seguridad de los sistemas en cuestión.

Las partes acuerdan compartir todos sus movimientos. Esto ayuda a la organización a implementar controles de seguridad poco después de ser informada de las fallas asociadas. Después, el equipo de hackers puede verificar si los esfuerzos de la organización han sido eficaces y dar recomendaciones.

Las partes acuerdan que la empresa solo comparta su nombre. Los hackers deben entonces proceder como lo harían hackers maliciosos ajenos a la organización objetivo. La organización aprendería si esta prueba de caja negra puede encontrar problemas de seguridad en su tecnología.

Las partes acuerdan que parte del equipo de seguridad de la organización no sepa que se han solicitado pruebas de penetración. Esto contribuirá en gran medida a que la operación sea lo más realista posible. Los defensores de la organización no conocerán las horas y los lugares de las intrusiones de los hackers, ni estos últimos pedirán permisos. Aconsejamos esta configuración para las operaciones de red teaming.

Las pruebas de penetración se clasifican en diferentes tipos. No existe un consenso universal sobre qué clasificación utilizar. Como lo hicimos en nuestro post "Los fundamentos de las pruebas de seguridad," hemos elegido aquí la que indica el objetivo de la evaluación. Presentamos más información sobre los tipos de pruebas de penetración en otro artículo del blog.

Los hackers éticos pueden realizar pentesting en aplicaciones web y móviles. Esta metodología ingeniosa puede detectar vulnerabilidades de seguridad complejas, como fallas de inyección, de lógica de negocio y de configuración de despliegue.

Para buscar rápidamente vulnerabilidades web conocidas, los expertos en pruebas de penetración pueden utilizar escáneres de seguridad de sitios web como Burp Scanner, ffuf, Nuclei y Vega. Una vez solucionados estos problemas, los expertos pueden dedicar la mayor parte de su tiempo a buscar las vulnerabilidades más complejas, las cuales no pueden encontrar las herramientas.

El pentesting de aplicaciones móviles puede realizarse en sistemas operativos como iOS, Android y Windows UI. Al igual que con las aplicaciones web, la autoridad es OWASP con su lista Mobile Top 10. Los siguientes son algunos requisitos de seguridad importantes para este tipo de ToE.

Los hackers también pueden aprovechar la automatización a la hora de evaluar este ToE. Algunas herramientas para realizar tanto SAST como DAST automatizadas en múltiples sistemas operativos son MobSF y Objection.

En este tipo de evaluación, los pen testers simulan ataques para ver si pueden penetrar en la red (pruebas de penetración externas o pruebas externas) y/o averiguar qué daños son capaces de causar mientras están dentro (pruebas de penetración internas o pruebas internas). En el primer caso, el hacker puede realizar ataques ofensivos como el password spraying (es decir, probar una contraseña predeterminada con varios nombres de usuario en busca de una coincidencia) y el credential stuffing (en español, relleno de credenciales, es decir, probar el acceso con credenciales violadas). El pentesting interno implica diferentes acciones, como los ataques man-in-the-middle (es decir, interceptar y/o modificar los datos intercambiados entre dos partes sin que estas lo sepan).

Los siguientes son algunos de los requisitos que verificaría el pentesting:

Los dispositivos inteligentes también pueden entrar en el campo de las pruebas de penetración. A continuación se enumeran algunos requisitos de seguridad que los hackers pueden evaluar en este ToE.

En algunos casos, por ejemplo, cuando realizan tareas de reconocimiento, los hackers pueden recurrir a la ingeniería social. Básicamente, utilizarían técnicas de influencia, como la escasez de tiempo, para persuadir a empleados desprevenidos de que asuman riesgos de ciberseguridad. Los ataques más comunes en estas operaciones incluyen el phishing, en el que el hacker se hace pasar por organizaciones o personas fiables a través de correo electrónico para conseguir que la persona objetivo comparta información, instale malware, etc.

Hemos hecho referencia a lo largo de este artículo a algunas herramientas que utilizan los hackers. Tenemos algunas listas a las que puedes acceder como referencia en nuestro artículo principal sobre red teaming y en el de hacking ético. Para esta sección, nos limitaremos a mencionar la clasificación que se utiliza a menudo para estas herramientas.

Existen pruebas de penetración puntuales y continuas. Las segundas tienen ventajas sobre las primeras. Una de ellas es que, si se evalúan continuamente, la organización puede obtener una percepción de la postura de seguridad en tiempo real. Esto es clave, ya que las amenazas son persistentes y evolucionan, y por lo tanto una captura estática de la seguridad del ToE puede volverse obsoleta rápidamente. Otra ventaja es que cuesta menos, ya que las organizaciones no tienen que dedicar tiempo a cada pen test buscando a los profesionales adecuados disponibles y estableciendo las reglas de compromiso (ROE). Los pen tests continuos, a diferencia de los puntuales, también permiten un alcance ajustable, de modo que, si los hackers descubren activos que eran desconocidos antes de establecer las ROE, pueden incluirlos en las pruebas. Por último, las operaciones continuas permiten un soporte constante por parte de expertos, de forma que los responsables de la remediación pueden contar con asesoramiento en muchas de las vulnerabilidades encontradas y no solo en las pocas que tienen que priorizar durante un periodo de soporte más corto que ofrecen los pen tests puntuales. (Para más información sobre los beneficios y cómo superamos los desafíos de esta modalidad, lee nuestro artículo "Pruebas de penetración continuas.")

Las pruebas de penetración son obligatorias en algunos sectores. Los estándares que las exigen también dicen con qué frecuencia deben hacerse. Por ejemplo, la Ley Gramm Leach Bliley (GLBA) exige que las instituciones financieras realicen pentesting anualmente. Lo mismo hace el Estándar de Seguridad de Datos de Payment Card Industry (PCI DSS), mientras que exige específicamente a los proveedores de servicios que las hagan una vez cada seis meses y después de cambios en los controles/métodos de segmentación. Ampliamos el tema en nuestro post "Cumplimiento que pide pentesting." En Fluid Attacks, aconsejamos a las organizaciones que vayan más allá del mero cumplimiento y evalúen sus aplicaciones y otros sistemas de forma continua.

Aquellos son algunos de los beneficios de nuestro plan Advanced de Hacking Continuo, que también incluye otras técnicas manuales (revisión de código fuente e ingeniería inversa de software), además de nuestro escaneo de vulnerabilidades. Si deseas examinar primero los beneficios de las pruebas de seguridad continuas realizando únicamente escaneos de tu aplicación te invitamos a iniciar una prueba gratuita de 21 días de nuestro escáner. Para beneficiarte de mucho más que el escaneo de vulnerabilidades, puedes en cualquier momento cambiarte con cobro al plan Advanced.