Si eres responsable de la seguridad de la información de una mediana o gran empresa y aún no incluyes los Pentest en tu rutina, te estás exponiendo a riesgos innecesarios. En un mundo ideal, todas las empresas deberían realizar el Pentest con cierta regularidad como forma de comprobar sus vulnerabilidades y el nivel de actualización de sus sistemas de seguridad.
En la práctica, el Pentest, o test de intrusión, es un método capaz de evaluar la seguridad de un sistema informático o de una red, simulando el ataque de un actor de amenazas. Es lo que nos permite identificar y corregir vulnerabilidades antes de que los ciberdelincuentes las utilicen.
Es importante, y debe ser realizado por todas las empresas, porque juega un papel anticipatorio: explota las mismas vulnerabilidades y utiliza las mismas técnicas que los actores de amenazas, mostrando a las empresas cómo los delincuentes se aprovechan de las fallas encontradas, que pueden ser muchas. Por ejemplo, es posible acceder a la bandeja de entrada de los ejecutivos de la empresa y, desde allí, descargar hojas de cálculo de puestos y salarios, datos personales sensibles y otra información importante, confidencial o estratégica.
Las pruebas de penetración deben verse como inversiones. Esto se debe a que también se ha vuelto común ver grandes empresas fuera de operación debido a ataques de ransomware, por ejemplo, cuando el delincuente propaga malware que ataca todas las máquinas de la empresa, encriptando y haciendo que todos los datos no estén disponibles. Para solucionar el problema, este mismo criminal ofrece una clave -obviamente para valores muy altos- que "teóricamente" recuperará todos los sistemas.
Además del “rescate” y los daños causados por el tiempo de inactividad, la empresa también se queda con la sensación de que cualquier cosa puede volver a suceder en cualquier momento. Todo esto sumado da como resultado valores muchas veces superiores al rendimiento periódico de un Pentest. Pero, más que el valor, es importante entender cómo funciona una prueba de este tipo. Idealmente, debería realizarse al menos una vez cada seis meses, para garantizar que los delincuentes no se aprovechen de las nuevas vulnerabilidades.
Un trabajo bien hecho suele durar alrededor de un mes. Durante este período, la empresa pasará por dos simulacros de ataque. Uno procedente del exterior, donde se ataca la web de la empresa para intentar aprovechar, por ejemplo, los servidores de las webs de la empresa como puentes hacia la red interna. Una vez que se accede a la red interna, tratamos de escalar privilegios, como administrador de la red, con acceso a todo lo que allí circula.
La otra parte de la obra se encuentra dentro de las instalaciones de la empresa y emula un tipo de ataque que ha ido ganando fuerza en el mercado. Aquí se inicia el ataque dentro de la red interna de la empresa, ejecutando acciones maliciosas por parte de empleados o delincuentes que, por ejemplo, pueden comprar credenciales de la empresa en la dark web. Recientemente, varios ataques a sitios web de agencias gubernamentales se han registrado de esta manera: los delincuentes atraen a los empleados descontentos, compran sus credenciales y llevan a cabo los ataques. En estos casos, incluso con firewall y servicios de buen tamaño, el ataque comienza desde dentro de la VPN de la empresa. Otro vector que ha sido muy utilizado para ataques internos es el uso de spear-phishing, generalmente a partir de un correo electrónico malicioso aceptado por empleados que no están bien capacitados en este sentido.
Una vez realizadas estas dos pruebas, el equipo que las realizó presenta al equipo técnico del cliente todo lo realizado, señalando dónde existían vulnerabilidades, qué tipo de ataques permitían y cómo corregir el problema. A partir de esta presentación, se produce un informe técnico, que permite al propio equipo del cliente reproducir la prueba, y una lista de correcciones que deben realizarse en el entorno. El siguiente paso es realizar una presentación ejecutiva con los resultados de las pruebas, un análisis de qué tan segura es la empresa y, de ser así, dónde necesita invertir, que puede ir desde la simple adquisición de un antivirus hasta la compra de un nuevo firewall.
A pesar de los resultados, muchos equipos de TI muestran resistencia a realizar un Pentest porque saben que su entorno será potencialmente invadido y que el board sabrá cómo sucedió. Por lo tanto, es importante que este tipo de demanda sea estimulada por el board para que todos sepan que el objetivo es mostrar oportunidades de mejora. Hay muchas empresas que están maduras en este sentido, pero hay otras donde la resistencia aún es alta, incluyendo desacuerdos entre los equipos de seguridad e infraestructura de la información, por ejemplo. En todos los casos, Pentest debe verse como un trabajo de anticipación que generará mejoras.
Su finalidad es hacer una radiografía de la seguridad de la empresa y por tanto hay que verlo como necesario. Siempre es mejor que estas vulnerabilidades se exploten en una prueba que en un ataque real, que muchas veces puede tener impactos irreversibles en la empresa.