Disipando 8 conceptos erróneos sobre las pruebas de penetración

Las pruebas de penetración son críticas para todo tipo de organizaciones y empresas, especialmente para aquellas que están sujetas a leyes y regulaciones de privacidad de datos. 

Antes de realizar pruebas de penetración es importante disipar varios mitos y concepciones erróneas sobre la práctica:

1. Las pruebas de penetración son lo mismo que una evaluación de vulnerabilidad

Las evaluaciones de vulnerabilidad incluyen la identificación y clasificación de vulnerabilidades conocidas, la producción de una lista de fallas priorizadas que requieren atención y la recomendación de formas de solucionarlas. Las pruebas de penetración, por otro lado, simulan las acciones de un atacante. Los resultados deben incluir un informe de cómo el evaluador socavó la seguridad para alcanzar una meta previamente acordada, como por ejemplo violar el sistema de nómina.

2. Todas las herramientas de prueba de penetración son iguales

Existen muchas herramientas de prueba de penetración en el mercado. Sin embargo, los evaluadores más experimentados suelen crear herramientas personalizadas para ir más allá del alcance normal de las pruebas. Obviamente, las pruebas adecuadas requieren habilidades expertas y mucha experiencia.

3. Las pruebas de seguridad automatizadas son tan buenas como las pruebas de penetración manuales

Muchas organizaciones utilizan una combinación de automatización y pruebas de seguridad impulsadas por humanos, pero debemos aclarar: las pruebas automatizadas son escaneos, no verdaderas pruebas de penetración. Ambos tienen valor, pero los especialistas encuentran formas de romper sistemas que las máquinas no tienen. La experiencia, la creatividad y la curiosidad son el núcleo de las pruebas de penetración, que generalmente comienzan donde termina la automatización.

4. Las pruebas de penetración solo evalúan las debilidades tecnológicas

Las pruebas de penetración pueden incluir ingeniería social. Como tal, es importante establecer antes de probar si la tecnología se evaluará exclusivamente. En algunos casos, los analistas pueden estar autorizados a hacer más, como por ejemplo revisar las redes sociales en busca de información explotable o intentar suplantar datos confidenciales de los usuarios por correo electrónico.

5. Los analistas de penetración deben ser ignorantes con respecto a los sistemas que están examinando

Tanto las personas que tienen conocimiento del sistema objetivo previsto, como las que no, pueden realizar pruebas de penetración. De hecho, las personas que entienden el sistema pueden proporcionar información adicional, ya que saben exactamente qué buscar.

6. Solo los consultores externos pueden realizar pruebas de penetración

Las pruebas de penetración pueden ser realizadas por empleados, contratistas o terceros externos. Idealmente, los consultores externos verifican periódicamente el trabajo de los consultores internos.

7. Las pruebas de penetración son un lujo opcional para las grandes empresas

Algunas leyes y estándares de la industria requieren pruebas de penetración. Los proveedores de atención médica, por ejemplo, realizan pruebas para asegurarse de que protegen adecuadamente los datos médicos. Mientras tanto, cualquier empresa que acepte o procese tarjetas de crédito debe cumplir con el Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS). Los resultados de las pruebas de penetración a veces se citan como evidencia del cumplimiento adecuado.

8. Las pruebas de penetración son siempre proactivas

Las pruebas de penetración pueden ser proactivas o reactivas. Idealmente, las pruebas se realizan para ayudar a prevenir una infracción. Sin embargo, cuando una infracción ocurre, se realiza un análisis forense que se abocará a obtener la evidencia de cómo sucedió y qué puertas utilizaron. Finalmente, sería muy inocente pensar que la puerta utilizada y documentada en un forense sería la única puerta de acceso, es por ello que se recomienda realizar una prueba de penetración posterior a el análisis forense con dos objetivos: el primero es para ayudar a los equipos de seguridad a prevenir brechas similares en el futuro a través de otra vulnerabilidad, y el segundo es para corroborar que las vulnerabilidades reveladas en el forense hayan sido mitigadas.

Encuentra vulnerabilidades antes que los ciberdelincuentes.

Cuando se realizan correctamente las pruebas de penetración, éstas pueden ayudar a las organizaciones a identificar fallas de seguridad antes de que los ciberdelincuentes puedan explotarlas. Por lo tanto, no tengas miedo de buscar ayuda externa, ya que encontrar vulnerabilidades antes de que sean descubiertas por las personas incorrectas, es una inversión mucho más inteligente y que no pondrá en riesgo tus bienes o tu reputación.

Si deseas información sobre nuestros servicios o sobre como podemos ayudar a tu organización, no dudes en contactarnos: