En mi largo peregrinaje por las tortuosas vías del mundo de la ciberseguridad, siempre me he encontrado con el problema de que los conceptos, para el lego en este mundillo, es cómo intentar explicarle El Silmarillion a alguien que ni siquiera haya visto la película del Señor de los Anillos.
Perdonadme esta frikada introductoria, pero no encontraba mejor símil para abordar la temática de este artículo, sobre qué es y en que consiste realmente un Pentesting.
Es muy común la creencia que el uso de herramientas automatizadas es equiparable a un pentesting y que, con eso, ya estamos seguros. Que, si utilizamos herramientas cómo Nessus, OpenVAS, NetSparker, Web Security Scanner u otras similares ya obtendremos un informe fiable de nuestra ciberseguridad.
Nada más lejos de la realidad.
Pongamos por ejemplo un entorno de eCommerce, que tiene mucha similitud con el mundo físico.
Vamos a hacer una analogía entre un eCommerce y una tienda tradicional.
Una tienda tradicional tiene una puerta, un escaparate y medidas físicas para impedir la entrada (Una cerradura, algún tipo de sistema de alarma y medidas para proteger el escaparate cómo una persiana metálica, cristal blindado o pilones antibutrón).
Un sistema automatizado es cómo contratar un vigilante que se pasa periódicamente a comprobar que la alarma no ha sido inhibida, que la cerradura no ha sido forzada o que alguien haya empotrado un camión contra nuestra fachada.
Un Pentesting sería contratar a un equipo de asesores que de verdad van a intentar forzar tu cerradura, inhibir la alarma y comprobar que el bloque de hormigón que has puesto frente a la fachada de verdad resiste la embestida de un camión.
En un eCommerce, tenemos el frontend y el backend, las herramientas de penetración hacen una evaluación del frontend pero no intentar penetrar hasta el backend.
En RCC Advisory, utilizamos la metodología Penetration Testing Execution Standard (PTES) que no está limitado únicamente a pruebas de penetración web. Según su contenido y estructura, abarca un enfoque amplio que cubre múltiples áreas de pentesting, incluyendo:
- Infraestructura de red (pruebas de penetración en redes internas y externas).
- Aplicaciones web (evaluación de seguridad de aplicaciones en línea).
- Pruebas de redes inalámbricas (evaluación de seguridad de redes Wi-Fi).
- Pruebas físicas (seguridad de acceso físico a instalaciones).
- Ingeniería social (pruebas de manipulación y ataques dirigidos a empleados).
- Análisis de vulnerabilidades (evaluación técnica de sistemas y servicios en busca de debilidades).
- Modelado de amenazas (evaluación de riesgos y agentes de amenazas relevantes para una organización).
- Post-explotación (acciones tras comprometer un sistema, como elevación de privilegios y movimientos laterales).
PTES es un estándar aplicable a diversos tipos de pruebas de penetración, no solo a pruebas web, sino también a redes, infraestructura, sistemas, dispositivos físicos y factores humanos.
Es un estándar aceptado internacionalmente y muy completo en el que utilizamos todas las herramientas, y muchas más, de las que hemos descrito al principio, adaptándose a cada tipo de objetivo.
¿Eso significa que nos se puede automatizar un proceso de Pentesting?
La IA, cómo todo en esta nueva realidad que se avecina viene a revolucionar también este mundo. Actualmente en RCC Advisory estamos empezando a trabajar con IAs que nos están permitiendo automatizar algunos de los procesos cómo la búsqueda de exploits y que asisten al pentester en tareas que antes llevaban muchas horas de trabajo.
Pero la figura del experto en ciberseguridad sigue teniendo una gran relevancia, supervisando a la IA y teniendo la última palabra en todo el proceso, así cómo ejecutando las tareas manuales que consideren necesarias.
En conclusión, no nos dejemos engañar por informes que no han sido correctamente comprobados, según una metodología internacionalmente aceptada, ya que sus conclusiones nos pueden llevar a tomar decisiones erróneas en nuestra seguridad, haciéndonos invertir en medidas de remediación innecesarias y no protegiéndonos de nuestras verdaderas vulnerabilidades.
