6 Tipos Esenciales de Pruebas de Penetración que Debes Conocer Hoy
Las pruebas de penetración (también conocidas como pen testing) son un tipo de prueba de seguridad que tiene como objetivo descubrir posibles vulnerabilidades en un sistema.
Una prueba de penetración no solo informará sobre las debilidades encontradas, sino que también intentará explotarlas activamente mediante lo que se denomina hacking ético.
¿Por qué necesitamos las pruebas de penetración? Cualquier atacante puede interrumpir o acceder sin autorización a un sistema si no está bien protegido. Un riesgo de seguridad puede surgir como resultado de errores involuntarios cometidos durante las fases de desarrollo e implementación del software.
Want more from The CTO Club?
Create a free account to finish this piece and join a community of CTOs and engineering leaders sharing real-world frameworks, tools, and insights for designing, deploying, and scaling AI-driven technology.
Have an account? Log In
Con las pruebas de penetración, podemos:
- encontrar debilidades y riesgos que pueden provocar fugas de datos sensibles
- prevenir ataques de phishing y ciberataques
- mantener la confianza de los usuarios protegiendo su información sensible
- cumplir con las normas y regulaciones
En este artículo, profundizaré en los siguientes temas:
- Metodología de las Pruebas de Penetración
- 3 Enfoques Principales para las Pruebas de Penetración
- ¿Cuáles Son Los Principales Tipos de Pruebas de Penetración?
Metodología de las Pruebas de Penetración
Antes de realizar las pruebas de penetración, se identifican los riesgos con una evaluación de vulnerabilidades. Esto significa que lo primero que se debe hacer es identificar las áreas potencialmente problemáticas (como el almacenamiento de credenciales) y luego intentar atacarlas activamente.
Las pruebas de penetración deben dirigirse a cualquier ubicación de datos sensibles, todas las aplicaciones que almacenen o interactúen con estos datos, todas las conexiones de red y todos los puntos de acceso relevantes. Las pruebas intentan explotar vulnerabilidades y debilidades de seguridad, intentando penetrar en la red y en las aplicaciones.
El objetivo de las pruebas de penetración es determinar si un atacante puede obtener acceso no autorizado a sistemas o archivos críticos. Después de realizar estos escaneos de vulnerabilidades, cualquier problema encontrado debe ser abordado y corregido.
3 Enfoques Principales para las Pruebas de Penetración
Al igual que con todos los tipos y métodos de pruebas, podemos utilizar diferentes enfoques en las pruebas de penetración dependiendo del conocimiento y los derechos de acceso del evaluador. Los principales enfoques incluyen pruebas white-box, black-box y gray-box.
1. Pruebas de Penetración White-box
En las pruebas white-box, los evaluadores tienen pleno conocimiento y total acceso al sistema. Este enfoque permite una evaluación en profundidad y tiene el potencial de descubrir vulnerabilidades más remotas y difíciles de detectar.
2. Pruebas de Penetración Black-box
Las pruebas de penetración black-box son un enfoque en el que el evaluador no tiene conocimiento previo del funcionamiento interno del sistema. Un evaluador diseñaría las pruebas de penetración actuando como un atacante cibernético desinformado.
Este enfoque es el más parecido a los escenarios de la vida real, donde los hackers no tienen acceso al código fuente real de la aplicación o el sistema que se está evaluando.
3. Pruebas de Penetración Gray-box
Gray-box es el punto medio entre las pruebas white-box y black-box. Esto significa que el evaluador contará con un conocimiento limitado del sistema.
A continuación, veamos algunos de los diferentes tipos de pruebas de penetración.
¿Cuáles Son Los Principales Tipos de Pruebas de Penetración?
1. Pruebas de Penetración en Aplicaciones Web
Las pruebas de penetración en sitios web suelen ser más focalizadas y detalladas que otros tipos de evaluaciones. El objetivo principal es identificar debilidades y riesgos de ciberseguridad en los sitios web y sus componentes, como bases de datos, código fuente o la red de back-end.
Las pruebas de penetración en aplicaciones web son especialmente importantes ahora, cuando se ha visto un gran aumento en la ciberdelincuencia debido a la pandemia de Covid-19.
Algunas de las debilidades comunes de seguridad que un tester de penetración debe buscar en una aplicación web incluyen:
- Puntos de acceso sin protección
- Contraseñas débiles
- Ataques de inyección SQL
- Inyección de código
- Cross-site scripting (secuencias de comandos entre sitios)
- Fuga de datos
- Ataques de phishing
2. Pruebas de Penetración del Lado del Cliente
Este es un tipo de prueba que busca amenazas locales. Estas amenazas pueden provenir de cualquier aplicación o programa que se ejecute en las estaciones de trabajo de los empleados: navegadores, reproductores multimedia, aplicaciones de código abierto, aplicaciones de presentación o creación de contenido (como Microsoft PowerPoint).
Aparte de las aplicaciones de terceros, los programas y frameworks internos también pueden causar amenazas de seguridad, así que asegúrate de incluirlos en las pruebas.
3. Pruebas de Penetración en Redes
Este tipo de pruebas es una de las más solicitadas para pruebas de penetración. Su objetivo es descubrir vulnerabilidades en la infraestructura de red.
Las redes tienen puntos de acceso tanto internos como externos, lo que puede hacerlas vulnerables a los ataques de ciberdelincuentes. Las dos subcategorías de pruebas de penetración en redes son: pruebas de red interna y pruebas de red externa.
Pruebas de Penetración en Redes Internas
Este tipo de prueba de penetración parte de la suposición de que los ataques de hackers provienen desde dentro de la red. Como tester de penetración, tomas el papel de una persona maliciosa con un cierto nivel de acceso (más o menos) legítimo a la red interna.
Esto puede significar, por ejemplo, analizar el impacto de información confidencial divulgada, alterada, mal utilizada o destruida involuntariamente.
Pruebas de Penetración en Redes Externas
En este caso, el escenario que se emula es que el ataque proviene desde fuera de la red. Los testers intentarán infiltrarse en el sistema explotando vulnerabilidades desde el exterior que puedan permitir el acceso a datos y sistemas internos.
Las pruebas de penetración pueden enfocarse en los siguientes riesgos de seguridad de red:
Al realizar pruebas de penetración, es crucial también validar la integridad de tus plataformas de gestión de datos
4. Pruebas de Ingeniería Social
La ingeniería social es diferente de otros tipos de pruebas porque no se centra en los aspectos técnicos de los sistemas o aplicaciones. En cambio, el enfoque se traslada a la psicología de los usuarios y empleados, quienes pueden comprometer la seguridad de manera involuntaria.
Hay dos maneras de realizar pruebas de penetración de ingeniería social: remota o física.
La prueba de ingeniería social remota se realiza a través de medios electrónicos, como correos de phishing con potencial de contener malware. Si los empleados abren el correo, puede ser una buena idea que la empresa empiece a realizar sesiones de capacitación en seguridad para prevenir ataques reales.
La prueba de seguridad física significa hablar con las personas y convencerlas de revelar información sensible.
No sé tú, pero en los últimos años, tres de las empresas para las que trabajé realizaron estos tipos de pruebas. Por ejemplo, nosotros, como empleados, recibimos correos afirmando que ganamos algún premio de sitios web de compras o descuentos especiales. Los correos nos invitaban a hacer clic en un enlace o descargar un archivo. En circunstancias normales, cuando el ataque es real y no simulado, la URL o los archivos adjuntos suelen contener malware con potencial de infectar los equipos y robar datos personales o confidenciales.
Te sorprendería cuántas personas realmente caen en estas trampas, especialmente cuando el correo parece venir de una fuente confiable, como Amazon.
Ten en cuenta que, siempre que se realicen este tipo de pruebas, la dirección debe ser informada previamente.
5. Pruebas de Penetración Física
Las pruebas de penetración física van más allá de los aspectos digitales. Para realizar este tipo de prueba, tendrás que evaluar cuán fácil puede ser obtener acceso físico a una instalación. Esto puede lograrse intentando evadir controles de seguridad, sensores, cámaras de seguridad o incluso intentando forzar cerraduras en las puertas.
Los beneficios de las pruebas físicas son inmediatos: la remediación de cualquier vulnerabilidad encontrada puede aplicarse tan pronto como se haya identificado el área que necesita mejoras.
6. Pruebas de Penetración Inalámbrica
Las brechas en redes inalámbricas representan una amenaza real para la seguridad de una empresa. Las pruebas se realizan en todos los dispositivos inalámbricos físicos, como laptops, tabletas, teléfonos inteligentes, etc., que estén conectados a la red WiFi.
Elementos a tener en cuenta al realizar pruebas inalámbricas incluyen, entre otros:
- debilidades en el cifrado
- vulnerabilidades en protocolos inalámbricos, puntos de acceso inalámbrico o credenciales de administrador
- contraseñas por defecto o débiles
- puntos de acceso no autorizados
- ataques de denegación de servicio (DoS)
Conclusiones
Las pruebas de penetración son realmente importantes y tienen muchos beneficios, pero no son tan sencillas de realizar como otros tipos de pruebas. Si quieres practicar tus habilidades, puedes echar un vistazo a la aplicación de demostración de OWASP y participar en algunos desafíos de hacking.
¿Te ha gustado este artículo? Hay muchos temas interesantes relacionados con QA que puedes encontrar en The QA Lead, ¡así que asegúrate de suscribirte al boletín!
Revisa estos temas:
- LAS 5 PRINCIPALES ETAPAS DEL PROCESO DE GESTIÓN DE VULNERABILIDADES
- CÓMO AUTOMATIZAR LAS PRUEBAS DE APLICACIONES MÓVILES
Lista relacionada de herramientas:
