Errores a la hora de realizar pentesting

Las actividades que implica el pentesting tienen un rol principal a la hora de detectar cualquier tipo de fallo de seguridad que podrían desembocar en no sólo una, sino múltiples vulnerabilidades. Pero, ¿por qué? En el post de hoy vamos a explicar los errores que más se cometen durante estas pruebas.

El pentesting es una conjunto de “test de penetración” que se basan en ataques hacia los sistemas informáticos con la intención de encontrar sus debilidades o vulnerabilidades. Están diseñados para clarificar y determinar el alcance y la repercusión de dichos fallos de seguridad.

Cuando hablamos de empresas, existen diversas variables de pentesting, desde las que se enfocan a la infraestructura de red hasta aquellas que buscan fallos de seguridad presentes en los dispositivos que manejan los colaboradores. Por ello, debemos tener presente que el pentesting puede ser manejado a nivel interno, es decir, de la empresa, o puedes delegar esa tarea a una empresa especializada, como Hard2bit, para que pueda realizar las pruebas.

A pesar de que el concepto de pentesting hoy en día es bastante conocido, es importante evitar cometer ciertos errores que podrían comprometer más aún la integridad de los sistemas sometidos a las pruebas. Estos errores se suelen dar por razones como falta de experiencia o conocimiento.

Baja calidad en los informes

Con el fin de tener visibilidad de los impactos que causaría en el negocio, todo fallo de seguridad y las vulnerabilidades que se encuentren deben ser analizados correctamente. La alta calidad de los informes post-actividades de pentesting, debe ser obligatoria tanto en los servicios ofrecidos por pentesters internos como externos.

Al hablar de alta calidad nos referimos a que los informes sean fáciles de comprender por las personas que ocupan cargos de liderazgo, con gráficos que inviten a que cada uno se comprometa a visualizar y analizar la información con la que se cuenta, porque estas personas, en muchos casos, son las encargadas de aprobar o rechazar los planes de acción para mitigar los problemas de seguridad.

Por ello, cualquier tipo de informe que se presente posteriormente a las actividades de pentesting que tenga baja calidad de información presentada puede ser un problema de seguridad más grande de lo que nos podamos imaginar.

Técnicas no actualizadas y falta de planificación

Las actividades que implican las pruebas de penetración se ejecutan mediante un plan. Dicho plan cuenta con un esquema determinado para que se pueda ejecutar con éxito. Sin embargo, de acuerdo a los cambios que se puedan presentar con el tiempo, esos planes de ejecución de pentesting deberían de cambiar. ¿Qué cambios podría sufrir el pentesting? Puede ser que aparezcan actualizaciones de las herramientas que se utilizan, así como la aparición de nuevas herramientas. También pueden salir a la luz nuevos fallos de seguridad, vulnerabilidades, ciberataques. Las posibilidades son infinitas.

Las actividades de pentesting no deberían reservarse para que se lleven a cabo solamente una vez al año. Deberían realizarse de forma periódica, de acuerdo a las necesidades y requerimientos de cada empresa. No es posible que exista una solución que se aplique para todos los casos. En consecuencia, debe haber una correcta planificación a la hora de ejecutar las pruebas. De esta manera, se logrará mucho más fácilmente el propósito central: descubrir los fallos de seguridad de un sistema. Por eso, es sumamente interesante optar por plataformas de automatización de pruebas de pentesting.

Fallos a la hora de priorizar riesgos

Antes de optar por una u otra variante de pentesting, debes tener correctamente identificados a los riesgos encontrados. Las pruebas en cuestión tienen un target o un objetivo que pueden ser datos de clientes, propiedad intelectual, datos financieros y/o comerciales o bien, todo lo relacionado a la infraestructura de red. Si se descuida este mencionado aspecto, una de las consecuencias directas es que los recursos dirigidos a las pruebas podrían ser bastante mal aprovechados y resultaría en una baja calidad de resultados obtenidos.

Mal uso de las herramientas de pentesting disponibles

Hoy en día es posible encontrar con múltiples soluciones que se constituyen de integraciones de múltiples herramientas. Sin embargo, si no se cuenta con el conocimiento ni la experiencia necesarios, la implementación de los mismos sería prácticamente inútil. Es posible encontrar soluciones tanto gratuitas como de pago.

Haciendo énfasis en las herramientas de pago, sobre todo en aquellas soluciones que son ofrecidas por compañías especializadas de renombre, cuentan con la opción de pruebas gratuitas y/o demostraciones con asesoramiento incluido. Por otro lado, las herramientas que son gratuitas acostumbran a ser de carácter open-source, es decir, de código abierto. Una vez más, se insiste en la importancia de tener conocimiento y experiencia necesarios. Así, se aprovecharán las soluciones de la mejor manera posible.

Falta de ética profesional y cumplimiento de las reglas

Queda claro que no es lo mismo un hacker ético que un cibercriminal. Sin embargo, existen pequeñas pero determinantes diferencias. Nos referimos en cuanto al aspecto legal y los propósitos de cada uno. Si eres un pentester, debes tener conocimiento y experiencia. Así mismo, tu nivel de ética profesional debe ser de lo más alto. Desde el momento en que uno tiene acceso completo a los sistemas, evidentemente, puedes ver y manipularlo todo. Fallos de seguridad y datos de todo tipo: personales, corporativos, financieros, comerciales, de nómina y mucho más.

Un buen pentester tiene que priorizar la confidencialidad, privacidad y la legalidad de las pruebas que se llevan a cabo. Por desgracia, es una práctica común que existan personas que lleven a cabo prácticas no apropiadas. Puede ser que se trate de pruebas de intrusión no autorizadas o simplemente, que no fueron explícitamente solicitadas. También existen casos en el que el pentester ejecuta una o más pruebas y exige un pago para que pueda comentar los detalles de cómo solucionar los fallos de seguridad. Esto último resulta sumamente antiético y aunque fuese un profesional independiente, no se debería condicionar de esa manera la solución a los problemas encontrados. Se debe optar por facilidades de pago legalmente establecidas.

Conclusión

Como conclusión, podemos decir que muchos de los errores cometidos tienen que ver en mayor medida con lo estratégico y ético, en general. Sin embargo, el ignorar las novedades respecto a las mejoradas y nuevas técnicas de pentesting puede significar la no detección a tiempo de ciertos fallos de seguridad. No existe un manual único respecto a cómo ejecutar estas pruebas, pero se puede afirmar con certeza que evitando estos errores, la calidad de los resultados obtenidos será mucho más alta.

Fuente: https://www.redeszone.es

Share and Enjoy !

0Shares
0 0 0
0 replies

Leave a Reply

Want to join the discussion?
Feel free to contribute!

Leave a Reply

Your email address will not be published. Required fields are marked *