Todos recordaremos cómo hace unos años, en el momento álgido de la crisis financiera (2009-2010), las instituciones europeas encargaron a los supervisores bancarios de la Unión la realización de los ‘tests de estrés‘ a las principales instituciones financieras del continente.

Aquellas pruebas de resistencia bancaria consistían en una simulación cuyo objetivo era determinar la solvencia tanto de las entidades individuales como del sistema en su conjunto. Para ello, sus carteras de activos y pasivos se sometieron a diferentes situaciones para conocer su capacidad para enfrentarse a escenarios de deterioro económico general. Tras la realización de estas pruebas, los bancos centrales tenían una idea más clara de qué entidades eran más vulnerables a un agravamiento de la crisis, y de qué medidas tomar para reforzarlas.

Al contrario que las crisis económicas, que tienden a ser cíclicas, la vulnerabilidad de los sistemas conectados a la Red constituye una amenaza constante. Pero el mismo principio usado en el ámbito financiero para establecer el nivel de fortaleza del sistema bancario (o por el contrario, detectar sus debilidades), puede ser aplicado a los sistemas informáticos de las organizaciones.

¿Qué es eso del pentesting?

Llamamos ‘pentesting’ (‘test de penetración’, en español) a la técnica de ciberseguridad consistente en atacar entornos informáticos con la intención de descubrir vulnerabilidades en los mismos, con el objetivo de reunir la información necesaria para poder prevenir en el futuro ataques externos hacia esos mismos equipos. El pentesting es una técnica 100% legal… siempre y cuando los ataques los realicemos en sistemas de nuestra propiedad o con permiso del propietario.

El hecho de que el término ‘pentesting’ (pruebas de penetración) se aplique únicamente en aquellos casos en los que trabajamos sobre nuestros propios equipos o los de nuestros clientes es obvia: esta técnica se vincula a la comprobación y mejora de nuestra propia seguridad. Siempre que se trate de un ataque no consentido estaremos hablando de ‘ciberataque’ puro y duro.

Precisamente para evitar que nuestros sistemas se vean expuestos a esa clase de ataques resulta útil incorporar el pentesting a nuestra estrategia de seguridad.Esta técnica se diferencia de un mero “análisis de vulnerabilidades” en el fundamental hecho de que en este caso las vulnerabilidades detectadas son usadas para realizar una intrusión en el sistema.

La realización de un ‘pen test’ requiere de un amplio conocimiento de múltiples tecnologías y sistemas operativos. Las herramientas necesarias (escáner de puertos, software de sniffing de redes, etc) suelen venir agrupadas en ‘toolkits’, en algún caso como parte integrante de versiones ‘live’ de GNU/Linux, como el popular y reputado Kali Linux (el antiguo Backtrack)

Además, toda estrategia de pentesting requiere una labor previa de reconocimiento que permite definir objetivos y recopilar toda la información necesaria (obtenido no sólo a través de herramientas informáticas sino también mediante ingeniería social). Los siguientes pasos en la prueba de penetración son la búsqueda y definición de vectores de ataque en base a la información recopilada, el acceso al sistema explotando las vulnerabilidades encontrada y la búsqueda del modo de preservar dicho acceso durante el mayor tiempo posible. Por último, los ‘pentesters’ son responsables de documentar las vulnerabilidades localizadas para que los administradores del sistema puedan tomar medidas.

¿Qué aporta el uso del pentesting?

Como decíamos antes, hoy en día las empresas e instituciones se encuentran expuestas las 24 horas del día en Internet, por lo que su estrategia de prevención ante ciberataques debe evolucionar para dejar atrás las auditorías de seguridad que se realizan cada pocos meses y apostar en su lugar por sistemas de detección continua de nuevas vulnerabilidades que reduzcan de manera radical la ventana temporal con que cuentan los potenciales atacantes para realizar intrusiones.

Las grandes compañías lo saben, por lo que muchas cuentan ya con equipos de seguridad que ponen a prueba de manera constante sus propios sistemas, no sólo con el fin de detectar vulnerabilidades sino de rebajar el tiempo de respuesta a las mismas.

Hace ya 3 años, el popular hacker Chema Alonso afirmaba en su web que “El pentesting no debería ser un proceso puntual que se contrata, sino un servicio de ataque 24×7 durante todo el ciclo de vida de tu sistema. […] No se puede contar con un grupo de pentesters durante una semana que vengan y te demuestren que pueden colarse en tu sistema. Así lo único que estás contrastando es que en la próxima auditoría que te obliguen a hacer dentro de un año volverás a ser comprometido”.

Pero para Alonso, una adecuada estrategia de seguridad exige que los pentesters tengan la oportunidad de aplicarse al 100% en todo momento: “Si tu equipo de pentesting interno no puede hacer una prueba de D.O.S. cuando quiera para testear el sistema, o no puede pegarle fuerte y duro a una web porque el servicio puede dejar de funcionar, entonces estás perdido […] Tus sistemas tienen que estar diseñados para soportar el acoso 24×7 de los ataques de los malos, y por tanto debería estar diseñado para soportar el acoso 24×7 de los buenos. Si no es así, los malos ya han ganado“.