Actualmente, es imprescindible, para cualquier empresa, invertir en seguridad informática para la prevención de ciberataques. Debido a que en los últimos años el número de éstos han aumentado significativamente. Por lo tanto, no pueden faltar las pruebas de intrusión o pentester, las cuales permiten comprobar todas las vulnerabilidades que tiene una organización.

Esta técnica se denomina Pentest, pentesting o test de intrusión. Consiste en atacar diversos entornos con la intención de descubrir los fallos de seguridad existentes. Además, poder prevenir posibles ataques externos hacia esos sistemas.

Existe una guía con diferentes fases que son indispensables para poder realizar esta práctica correctamente:

  • Determinar una auditoría:

Se debe conocer el alcance de las pruebas, entorno, información adicional, etc. Esta fase se comienza con algo sencillo.

  • Recoger información:

Para que el pentesting o pentester tenga éxito, hay que descubrir las posibles fugas de datos, publicación de servicios, el software o los protocolos empleados, etc. Es importante realizar varias veces pruebas para verificar que la información obtenida es correcta.

  • Acceso al sistema:

Una vez se han identificado los elementos y las características de estos, se diseñan diferentes vectores de ataque y se intenta verificar la posibilidad de atacar las vulnerabilidades.

Existen herramientas automatizadas que facilitan el trabajo como Metasploit.

  • Mantener el acceso:

Dependiendo de las características de la auditoría, esta fase puede tener más o menos importancia, pero para los ciberdelincuentes es fundamental mantener el acceso al objetivo atacado, por muy mínimo que sea.

  • Generar un informe:

Una vez se obtengan todos los datos, la auditoría de seguridad, debe generar un informe sobre el pentesting donde figuren las vulnerabilidades encontradas, alcance o el impacto si estas fueran atacadas y las posibles medidas para poder eliminar o minimizar las vulnerabilidades.

Estas fases deben estar siempre presentes en una auditoría de seguridad informática para poder realizar un pentester o pentesting con éxito.

¿Es legal esta práctica?

Sí, es totalmente legal, el pentesting, siempre y cuando los ataques estén dirigidos hacia el propio sistema. De no ser así, se estaría utilizando el término “hackear”, práctica penada con prisión en diversos países.

Artículos relacionadosMás del autor