La vulnerabilidad de las redes suele tener secuelas realmente desagradables y costosas. En numerosas ocasiones, por no decir ninguna, las empresas aprendieron la lección por las malas: servicios caídos durante bastante tiempo, extensas (y costosas) labores de recuperación, por no hablar de la pérdida de beneficios y otros efectos a largo plazo. A las empresas más inteligentes se les antojó una protección de datos de eficacia probada. ¿Cómo demostrarlo? Imitando ataques: cuanto más desagradables (por todas partes y por diversos medios), mejor.
Así es como surgieron brevemente las pruebas de penetración, abreviadas por pentests.
Objetivos a la vista
Citemos rápidamente los objetos más comunes del hacking. Son:
- Revelación de información en entornos multicloud, en particular Server Side Request Forgery.
- Procedimientos de autenticación, tanto dentro de las redes locales como en los intentos de acceso externo.
- Mensajeros comunes, específicamente cuando se utilizan para compartir información sensible.
- Software obsoleto y/o parcheado incorrectamente. Las copias sin licencia parecen ser la presa más fácil.
- Por último, es más bien un sujeto del hacking que su objeto. Los humanos: con su comportamiento erróneo o intencionado para sacar más provecho de la empresa (como la escalada de privilegios personales) o simplemente para causar daño.
Siguiendo con la formulación militar: las amenazas están presentes y son claras. Así que las rutinas de supervivencia conocidas para una unidad son los simulacros regulares.
Enfermarse para curarse
Una comparación inesperada: piense en la prueba de penetración como en la vacunación. ¿Qué es esencialmente ese pinchazo? Una minúscula dosis de aquello contra lo que se pretende: el virus o la bacteria reales, disueltos enésimas mil veces. En la mayoría de los casos, la inyección te pondrá ligeramente enfermo, pero inmune a esa misma enfermedad, en algunos casos para toda la vida.
Las pruebas de penetración (y los probadores) simulan el número de ataques dirigidos hacia una misma entidad. Muchas tareas están automatizadas, pero algunas, como la irrupción en el sistema operativo, el hardware y el software de un cliente, requieren una intervención manual.
Primero se escenifican los ataques externos; se prueba la primera línea de seguridad a través de Internet. A continuación, se entra en el perímetro interior: probadores con los derechos de acceso de un empleado ordinario comprueban una red interna, normalmente a través de una conexión VPN remota. A menudo también se comprueba alguna actividad prohibida del personal de la parte atacada; este comportamiento puede incluso provocarse dentro del conjunto de ataques. Al final, el cliente recibe un informe exhaustivo sobre cómo está protegida la empresa en general y en detalle; los problemas más críticos se exponen en primer lugar, junto con las sugerencias de mejora.
Actualmente se utilizan cinco métodos de pruebas de penetración. El Open Source Security Testing Methodology Manual (OSSTMM) y el NIST SP800-115 parecen ser los más utilizados.
Mención aparte merece la normativa en materia de pruebas de penetración. Las entidades que procesan datos de tarjetas de pago están obligadas a realizar anualmente pruebas de penetración en todo el perímetro, de conformidad con el requisito 11.3 de PCI DSS. Algunas normativas locales también pueden fomentar la existencia de pentests.
Por lo tanto, los pentests tienen ciertas similitudes con esa vacuna contra la gripe (o lo que sea). Antes de que te la pongan estás bastante agitado, a veces alterado, luego hay un «ay» – pero en realidad duele mucho menos de lo previsto, luego se demuestra que estás bien de salud y eres libre de que te contacten sin prejuicios.
Lo real, aunque virtual
Da un poco de miedo que una prueba de penetración tenga que orquestarse absolutamente «en vivo»: las preocupaciones de los clientes del tipo «qué pasa si las cosas van mal» son comprensibles. Sin embargo, la mayor ventaja y, en definitiva, el sentido del pentest radican en su realismo. El cliente dado, la infraestructura existente con sus colinas y fosos – y al final la respuesta muy fiable, por lo tanto valiosa: ¿está el negocio adecuadamente protegido o requiere mejoras?
A continuación se describe el pentest real realizado. Por supuesto, no habrá nombres reales ni cifras exactas, pero simplemente sienta la autenticidad en esta amplia referencia:
«El peritaje de seguridad lateral es inevitable ya que es menos tendencioso; los clientes a menudo carecen de competencia para realizar pruebas a gran escala. Por desgracia, las pequeñas empresas consideran que las pruebas de penetración son demasiado complicadas y caras. Sin embargo, hemos realizado pruebas de penetración para una pequeña empresa.
Nuestro cualificado equipo atacó la infraestructura corporativa del cliente por todas las vías disponibles, tanto externas como internas. No sólo se utilizaron herramientas técnicas, sino también ingeniería social. Se simularon tanto ciberataques masivos como actividad fraudulenta interna, pero todo bajo control y sin secuelas peligrosas.
Para imitar una intrusión se utilizó el modelo Black Box, cuando un atacante no tiene objetivos específicos. Para las pruebas de penetración internas se eligió el modelo de Usuario Remoto, cuando un hacker conecta una estación de trabajo no controlada a una red local trhu VPN. Ese usuario remoto no disponía de acceso lógico al dominio Active Directory ni de información sobre la estructura de la red y su protección. La protección de la red inalámbrica se probó mediante el modelo Visitante, cuando una persona real accede a la oficina del cliente de al lado.
Cada prueba tuvo una fase introductoria de reconocimiento, en la que se recopilaron nombres de dominio y zonas, direcciones y componentes de red, medios de protección, aplicaciones web, nombres de cuentas, software y servicios en uso. También se recopilaron algunos datos sobre el personal: durante las pruebas sociales, el equipo realizó un envío de pseudophishing y supervisó la reacción humana. Además, se distribuyeron por la oficina del cliente memorias USB con imitaciones de malware: las conexiones de las memorias a los ordenadores de la oficina se grabaron a distancia.
La cuestión de la confianza mutua fue importante durante toda la serie de pruebas. Cada fase o modelo se comentó a fondo con el cliente. Ambas partes firmaron un memorando sobre posibles daños o cambios irreversibles; si en algún momento de las pruebas el riesgo parecía demasiado alto o los probadores lograban penetrar, las operaciones se detenían inmediatamente hasta nueva autorización.
La conclusión del pentest fue una sorpresa para el cliente. La protección externa era superior a la adecuada. Mientras que la resistencia de la aplicación web a los ataques DDos parecía ser muy baja. Por tanto, los posibles defraudadores no necesitaban mucha potencia de cálculo para pasar.
La estructura interna también reveló algunos problemas importantes. Pero la principal preocupación no era técnica. Los empleados del cliente demostraron falta tanto de cuidado como de conocimiento de la seguridad de los datos. Si una red corporativa parece firme desde fuera, siempre existe el riesgo de que alguien intente devastarla desde dentro».
La lista de comprobación
Si está pensando en realizar pruebas de penetración para su empresa, tenga en cuenta lo siguiente
- ¿Cuál es su volumen de negocio?
- ¿Qué parte de su negocio depende de las TI?
- ¿Cuánto podría perder en caso de penetración?
Artículo anterior
