Penetration Testing Parte 1

Penetration Testing Parte 1

Qué es un Penetration Testing

Antes de definir lo que es un Penetration Testing, primero corresponde  pensar como lo entendemos o  lo interpretamos.

¿Qué es para ti?

“Por favor, antes de seguir, pregúntate a ti mismo ¿qué es un Penetration Test?”

Ahora veamos qué es lo que dicen las principales fuentes  de información tomando a Wikipedia, OSSTMM, y NIST a efectos de obtener una concepción más acertada, permitiéndonos continuar el Taller con los conocimientos necesarios.

“Método para evaluar la seguridad de un sistema o red informática simulando un ataque de origen hostil” (Wikipedia)

“Una prueba de seguridad con un objetivo específico que termina cuando dicho objetivo se obtiene o se acaba el tiempo disponible” (OSSTMM – Open Source Security Testing Methodology Manual)

“Prueba de seguridad donde los evaluadores copian ataques reales para subvertir las funciones de seguridad de un aplicativo, sistema o red” (NIST – National Institute of Standards and Technology)

Para mí, un Penetration Testing , es  un conjunto de técnicas que permiten evaluar el nivel de seguridad de una organización o servicio brindado.
Por lo tanto un Penetration Testing, permite identificar falencias tecnológicas identificando vulnerabilidades, mediante la simulación del comportamiento de intrusos. Realizar dicha prueba no certifica que un sistema es “seguro”; hoy puede ser seguro a las 00:00 horas pero a 00:01 ya no es seguro, porque todo está en constante actualización. Por otro lado,  entra  por medio el Factor Humano -que por pereza o simpleza no modifica o deja las configuraciones por defecto- aunado  además,  que la seguridad absoluta no existe, es solo una  ilusión falsa de seguridad, por lo que es ilustrativa la siguiente analogía.

– ¿Por qué tenemos paredes en nuestras casas?
– ¿Por qué tenemos una puerta en nuestro hogar?

Las repuestas se resumen en que: “Solo damos una falsa sensación de estar seguros,  de que nadie podrá observarnos ni robar nuestras pertinencias; ya que si un ladrón desea ingresar a tu casa lo hará”. Con la seguridad informática ocurre lo mismo, por más que estemos totalmente seguros que nada malo va a ocurrir la Ley de Murphy se hace presente.


“Notan que en el momento menos esperado sucede una desgracia.”

Actualmente, un Penetration Testing es considerado un recurso más  inmerso en las tareas de seguridad de las empresas, ya que algunas cuentan con un área específica que se dedica totalmente a esta actividad. Un Penetration Testing  llega a tener diferentes alcances tomando en cuenta lo que desea y la definición de lo que se hará y lo que no.

Tipos de Pruebas en un Penetration Testing

Al realizar una Penetration Testing se tiene 3 tipos de prueba las cuales son: Caja Negra, Blanca y Gris.  A continuación, se especifica a mayor detalle cada una de ellas.

Pruebas de Caja Negra – “Black Box” / “Blind”

Consiste en obtener la mayor información posible debido a que no se tiene  ningún conocimiento ni información previa sobre el sistema o red a ser analizado.

Pruebas de Caja Blanca – “White Box” / “Full Disclosure”

Consiste en que el consultor tiene acceso a toda la información, es decir, infraestructura, topología de Red, Direcciones IP, código fuente de los aplicativos, etc.

Pruebas de Caja Gris- “Gray Box” / “Partial Disclosure”

Es un término medio entre Black y White (cuya unión nos da el color gris), es una mezcla entre ambos; lo que implica que se obtiene un  conocimiento parcial y,  siendo este limitado no se tiene en detalle todo; definición que proviene de la contraparte, esto es, el contratante que solicita el test.

Categorización de un Penetration Testing

Principalmente existen dos  tipos que son:

• Intrusión Externa
• Intrusión Interna

A continuación, explicaremos de forma breve  en que consiste cada una:

• Intrusión Externa

El objetivo o finalidad  de una intrusión externa es la de acceder a equipos internos de la organización, escalar privilegios y obtener acceso root (Administrador). Cabe resaltar que este proceso es realizado con el objetivo de acceder al DMZ (Zona Desmilitarizada) desde afuera, mediante una serie de técnicas que van desde Ingenieria Social, Sniffing, Password Cracking; en resumen las mejores cartas del pentester son sacadas a la luz.

• Intrusión Interna

Como su nombre lo indica, una intrusión interna es dentro la organización conectándose a un punto físico o red Wifi -si se da el caso- con el fin de demostrar que tan insegura es la infraestructura tecnológica emulando ser un atacante interno;  desde luego, con los privilegios inferiores. En esta prueba, el objetivo es escalar, ver la información que está expuesta ya sea en compartidos, equipos servidores, contraseñas por defecto, mala configuración de servicios.