Pentesting: cómo empezar en este mundo

Pentesting: cómo empezar en este mundo

Lorena Fernández

Las pruebas de penetración en seguridad informática, más conocidas como Penetration Testing o Pentesting, ya no resultan imposibles de aprender y comprender. Atrás han quedado los años en que este tipo de conocimientos estaba reservado solamente para los expertos que tenían que diseñar sus propias herramientas. Hoy en día, usando de las herramientas adecuadas (y sabiendo qué tienes que hacer), podremos hacerlo en cuestión de semanas sin tener que desarrollar nada. A continuación, hablaremos sobre qué es el Pentesting, qué puedes lograr y algunas herramientas para poder aprender esta atractiva habilidad.

El Pentesting logra exponer vulnerabilidades a través de ataques a una organización o el objetivo que fuese. Estas pruebas están orientadas al área de IT (Tecnologías de la Información), para comprobar la seguridad de toda la red y de los diferentes sistemas que hay en la empresa. Los resultados obtenidos, nos ayudan a saber qué vulnerabilidades no se nos debe escapar, y corregirlas lo antes posible. Gracias al Pentesting, podremos saber acerca de lo que se puede hacer respecto a ellas para mitigar posibles ataques, en la medida de lo posible.

Por otro lado, se logra identificar y cuantificar riesgos de todo lo que hacemos. No solo te permite crear políticas de ciberseguridad, si no también te permite identificar oportunidades para futuros entrenamientos. Además de planes de acción para poder corregir dichas vulnerabilidades. Recordemos que los ciberataques, tanto a personas como organizaciones, se dan con cada vez más frecuencia. En consecuencia, el valor de lo que se pierde es muy alto. Perder o exponer datos personales o de otros, puede dejar secuelas difíciles de sobrellevar.

Así como existen muchos cursos, talleres y tutoriales para aprender y perfeccionarse, también hay que compartir lo aprendido y por qué no, nuestras experiencias. De esta manera, contribuimos a que el ámbito de Pentesting realmente pueda mejorar. Las habilidades y herramientas para enfrentar a los ciberatacantes no pueden quedarse atrás. Éstos son quienes a pasos agigantados se preparan para causar daños más y más severos.

Por supuesto, debemos prestar atención cuando divulgamos nuestros resultados o experiencias de Pentesting. Ya que muchos datos pueden exponer informaciones personales o corporativos, que podrían generar riesgos innecesarios. Por ejemplo, se puede compartir en relación a la cantidad de personas que están en tu equipo (si lo tiene). También puedes la frecuencia con la que realizas dichas pruebas y las herramientas elegidas.

Recomendaciones de programas y herramientas para Pentesting

En RedesZone os vamos a hacer un listado de programas y herramientas fundamentales para empezar en el mundo del Pentesting, lógicamente estas herramientas son más que utilizadas y conocidas por los expertos.

VMware y VirtualBox

Tu principal aliado a la hora de realizar actividades de Pentesting será una máquina virtual. Tanto VMware como VirtualBox nos permitirán crear máquinas virtuales con sistemas operativos reales para entrenarnos, y también para instalar sistemas operativos orientados al Pentesting como Kali Linux y otras distribuciones Linux con propósitos similares. Un detalle importante es que VMware es una solución de pago, mientras que VirtualBox es una solución completamente gratuita.

Ambos programas van a ser fundamentales para realizar pruebas y para aprender, desde sus webs oficiales podéis encontrar todos los detalles sobre ambas soluciones y los enlaces de descarga.

Kali Linux

Este es el sistema operativo orientado al Pentesting y al Hacking Ético más conocida. Cuenta con una amplia lista de herramientas para que puedas empezar. Si quieres saber qué herramientas contiene, puedes visitar el sitio oficial en donde se encuentra una lista detallada de las que están disponibles. Kali Linux tiene las siguientes herramientas para la realización de auditorías de seguridad informática:

  • Para recolectar información
  • Análisis de vulnerabilidades
  • Ataques a redes inalámbricas
  • Aplicaciones Web
  • Para aprovecharse de vulnerabilidades
  • Informática forense
  • Stress testing
  • Sniffing y spoofing
  • Ataques a contraseñas
  • Ingeniería reversa y más.

Puedes acceder al sitio oficial aquí para descargar la última versión y acceder al soporte que necesitas para herramientas y procedimientos.

PentestBox

PentestBox es una herramienta para pruebas de penetración que funciona directamente sobre sistemas operativos Windows. Está pensada en la simplicidad y variedad de opciones para ejecutar nuestras pruebas. No está demás destacar que tiene no tiene coste alguno, y es compatible con varias herramientas populares como WireShark, Nmap, John The Ripper y otros. Una de sus particularidades es que se ejecuta mediante la línea de comandos (cmd).

Si quieres comenzar con el Pentesting de manera más rápida, sin pasar por los pasos de descarga e instalación, es una muy buena alternativa si tu sistema operativo principal es Windows.

Además, es portable. Esto significa que todo tu entorno de pruebas podrás llevarlo contigo cuando lo necesites, no necesita instalación. No será necesario realizar ningún tipo de ajuste en las configuraciones y dependencias. El propio PentestBox se encargará de eso. Tú solamente debes escoger el dispositivo de almacenamiento que utilizarás para llevar. Incluso, puede ser un pendrive.

OWASP’s Testing Guide

Si estás interesado en adentrarte en el mundo de las aplicaciones web, este libro será de gran ayuda. Las siglas de OWASP significan Open Web Application Security Project es una comunidad abierta con alcance global. Tiene el propósito principal de mejorar la seguridad de las aplicaciones, así también de poner a disposición de todos los interesados lo que uno debe saber para tener éxito en el ramo. El éxito del que hablamos no solamente se refiere a la hora de realizar las tareas, sino también a la hora de tomar decisiones si es que tenemos planeado implementar algunas medidas de seguridad.

Todos los materiales, incluyendo éste, son gratuitos de forma permanente. Además, cuentan con la licencia para que puedas copiar, distribuir o difundir libremente. De ser necesario, puedes modificar o adaptar el contenido de manera a ajustarse a los distintos públicos o necesidades, siempre respetando las raíces y principios de OWASP.

Ahora bien, ¿de qué me sirve un libro digital? Tiene muchísima utilidad porque los libros, así como la gran cantidad de cursos disponibles en Internet, es una de las claves para alcanzar la excelencia.

¿Estás interesado en más? Puedes acceder a una gran cantidad de cursos online en plataformas como Openwebinars y también Udemy, ideal para aprender nuevas técnicas, o mejorar las técnicas que ya conoces. Estamos seguros de que con esta guía tendrás todo lo necesario para llegar a la acción. Recuerda, no es necesario abarcar todo el alcance de Pentesting desde el primer momento. Más bien, ir avanzado con pequeños grupos de comandos hasta llegar al nivel que deseamos alcanzar.