Estos son los errores frecuentes a la hora de realizar pentesting

Estos son los errores frecuentes a la hora de realizar pentesting

Lorena Fernández

Más que nunca, la actividades que implica el pentesting tienen un rol principal a la hora de detectar cualquier tipo de fallo de seguridad que podrían desembocar en no sólo una, sino múltiples vulnerabilidades. Pero, ¿por qué? El pentesting tiene como propósito principal la exposición de todo lo que compromete la integridad, sobre todo en el aspecto de la seguridad. Los responsables de los sistemas sometidos a estas pruebas, podrán adelantarse a potenciales ciberataques. Este artículo os explicará los errores que más se cometen durante estas pruebas para prevenir potenciales inconveniencias.

El pentesting no es un conjunto de pruebas que se realizan y que se aplican a cualquier escenario. Sobre todo, si hablamos de empresas, existen diversas variables de pentesting. Podemos citar a las que se enfocan a la infraestructura de red hasta aquellas que buscan fallos de seguridad presentes en los dispositivos que manejan los colaboradores. Así también, debemos tener presente que el pentesting puede ser manejado a nivel interno, es decir, de la empresa. Igualmente, puedes delegar esa tarea a una empresa especializada para que pueda realizar las pruebas. Esto último, previo análisis detallado y asesoría de parte de esa misma empresa. En pocas palabras, la persona o el grupo asignado va a simular un escenario de hacking, aplicando todas las técnicas posibles para explotar los fallos de seguridad que se encuentren.

A pesar de que el concepto de pentesting hoy en día es bastante conocido y queda claro, es importante evitar cometer ciertos errores. Estos errores podrían comprometer más aún la integridad de los sistemas sometidos a las pruebas. Los errores que se acostumbran a cometer se dan por razones como falta de experiencia o conocimiento respecto al ramo.

Baja calidad en los informes

Todo fallo de seguridad y las vulnerabilidades que se encuentren, deben ser analizados correctamente. Esto último, con el fin de tener visibilidad de los impactos que causaría en el negocio en el cual la empresa se encuentra operando. La alta calidad de los informes post-actividades de pentesting, debe ser obligatoria tanto en los servicios ofrecidos por pentesters internos como externos.

Y con alta calidad nos referimos a que los informes sean fáciles de comprender, con gráficos que inviten a que cada uno se comprometa a visualizar y analizar la información con la que se cuenta. Las personas que ocupan cargos de liderazgo en las empresas deben de comprende perfectamente los informes presentados. ¿Por qué? Pues, en muchos casos, son estas personas quienes aprueban o rechazan los planes de acción para mitigar los problemas de seguridad. En muchos casos, se requerirán de recursos económicos.

Cualquier tipo de informe que se presente posteriormente a las actividades de pentesting que tenga baja calidad de información presentada, puede ser un potencial problema de seguridad mucho más grande de lo que imaginas. La alta calidad de datos de los informes ayuda a la filtración de datos que podrían ser de poca o nula utilidad, además de resaltar aquellos datos que realmente importan a la empresa cuando desea saber sobre los fallos de seguridad encontrados.

Técnicas no actualizadas y falta de planificación

Se acostumbra a decir que una de las claves del éxito es estar informado. Sin embargo, es más conveniente poner algo más de contexto a esto. En cualquier ámbito, además de tener el conocimiento propio del mismo, deberías de estar informado respecto a qué es lo que está pasando. La seguridad informática, ciberseguridad o seguridad de la información, forma parte de una gran industria que cada día, en el peor de los casos, cuenta con algún que otro par de noticias o lanzamientos. Como profesional o simplemente entusiasta, debes adoptar la buena práctica de informarse al respecto. Además del beneficio directo de estar «al día», vas construyendo un criterio mucho más sostenible con el tiempo de qué es lo que depara tanto al presente como al futuro de la industria. Así también, le permite a uno tomar mejores decisiones que pueden afectar tanto de forma positiva o negativa a su entorno de trabajo.

Todo esto se aplica al pentesting. Las actividades que implican las pruebas de penetración se ejecutan mediante un plan. Dicho plan cuenta con un esquema determinado para que se pueda ejecutar con éxito. Sin embargo, de acuerdo a los cambios que se puedan presentar con el tiempo, esos planes de ejecución de pentesting deberían de cambiar. ¿Qué cambios podría sufrir el pentesting? Puede ser que aparezcan actualizaciones de las herramientas que se utilizan, así como la aparición de nuevas herramientas. También pueden salir a la luz nuevos fallos de seguridad, vulnerabilidades, ciberataques. Las posibilidades son infinitas.

Las actividades de pentesting no deberían reservarse para que se lleven a cabo solamente una vez al año. Deberían realizarse de forma periódica, de acuerdo a las necesidades y requerimientos de cada empresa. No es posible que exista una solución que se aplique para todos los casos. En consecuencia, debe haber una correcta planificación a la hora de ejecutar las pruebas. De esta manera, se logrará mucho más fácilmente el propósito central: descubrir los fallos de seguridad de un sistema. Por eso, es sumamente interesante optar por plataformas de automatización de pruebas de pentesting.

Fallos a la hora de priorizar riesgos

Uno de los aspectos que determinan la manera en que se llevarán a cabo las actividades de pentesting son los riesgos. En principio y antes de optar por una u otra variante de pentesting, debes tener correctamente identificados a los riesgos encontrados. Las pruebas en cuestión tienen un target o un objetivo que pueden ser datos de clientes, propiedad intelectual, datos financieros y/o comerciales o bien, todo lo relacionado a la infraestructura de red. Si se descuida este mencionado aspecto, una de las consecuencias directas es que los recursos dirigidos a las pruebas podrían ser bastante mal aprovechados y resultaría en una baja calidad de resultados obtenidos.

Mal uso de las herramientas de pentesting disponibles

No precisamente porque uno ya cuenta con ciertos conocimientos esenciales de pentesting, uno ya podría considerarse como especialista o experto. Cuando se habla de conocimientos nos referimos a qué herramientas se utilizan, cómo implementarlas y configurarlas adecuadamente. Hoy en día es posible encontrar con múltiples soluciones que se constituyen de integraciones de múltiples herramientas. Sin embargo, si no se cuenta con el conocimiento ni la experiencia necesarios, la implementación de los mismos sería prácticamente inútil. Es posible encontrar soluciones tanto gratuitas como de pago.

Haciendo énfasis en las herramientas de pago, sobre todo en aquellas soluciones que son ofrecidas por compañías especializadas de renombre, cuentan con la opción de pruebas gratuitas y/o demostraciones con asesoramiento incluido. Por otro lado, las herramientas que son gratuitas acostumbran a ser de carácter open-source, es decir, de código abierto. Una vez más, se insiste en la importancia de tener conocimiento y experiencia necesarios. Así, se aprovecharán las soluciones de la mejor manera posible.

Falta de ética profesional y cumplimiento de las reglas

Queda claro que no es lo mismo un hacker ético que un cibercriminal. Sin embargo, existen pequeñas pero determinantes diferencias. Nos referimos en cuanto al aspecto legal y los propósitos de cada uno. Si eres un pentester, debes tener conocimiento y experiencia. Así mismo, tu nivel de ética profesional debe ser de lo más alto. Desde el momento en que uno tiene acceso completo a los sistemas, evidentemente, puedes ver y manipularlo todo. Fallos de seguridad y datos de todo tipo: personales, corporativos, financieros, comerciales, de nómina y mucho más.

Un buen pentester tiene que priorizar la confidencialidad, privacidad y la legalidad de las pruebas que se llevan a cabo. Por desgracia, es una práctica común que existan personas que lleven a cabo prácticas no apropiadas. Puede ser que se trate de pruebas de intrusión no autorizadas o simplemente, que no fueron explícitamente solicitadas. También existen casos en el que el pentester ejecuta una o más pruebas y exige un pago para que pueda comentar los detalles de cómo solucionar los fallos de seguridad. Esto último resulta sumamente antiético y aunque fuese un profesional independiente, no se debería condicionar de esa manera la solución a los problemas encontrados. Se debe optar por facilidades de pago legalmente establecidas.

Es posible concluir que muchos de los errores cometidos tienen que ver en mayor medida con lo estratégico y ético, en general. Sin embargo, el ignorar las novedades respecto a las mejoradas y nuevas técnicas de pentesting puede significar la no detección a tiempo de ciertos fallos de seguridad. No existe un manual único respecto a cómo ejecutar estas pruebas, pero se puede afirmar con certeza que evitando estos errores, la calidad de los resultados obtenidos será mucho más alta.