Cabecera blog ciberseguridad

Pentesting, la hora de los hackers

Los servicios de pentesting son claves a día de hoy

Los servicios de pentesting se han convertido en un arma indispensable para las empresas. Descubrir y protegerse ante las brechas de seguridad es un reto ineludible a la vista del creciente volumen de ciberataques

Entró como Pedro por su casa. Lo hizo, eso sí, a través de un acceso poco convencional: una pecera. Ocurrió hace un par de años, cuando un pirata informático asaltó los sistemas de un casino de Londres para robar toda su base de datos. Lo logró a través del termostato de la pecera colocada en el hall del establecimiento. Seguramente una de las brechas de seguridad más exóticas de cuantas han trascendido a la luz pública en los últimos años. Protegerse contra estas vulnerabilidades es un mandamiento en esta era. Y para ello, pocas herramientas tan eficaces como los test de intrusión. También conocidos como pentesting. O la hora de los hackers.

El pentesting es a la ciberseguridad lo que las prácticas de tiro a la disciplina militar. Solo que mucho más sofisticado, claro. Básicamente, esta disciplina consiste en diseñar e impulsar ataques contra los sistemas de una empresa o una administración para detectar sus agujeros de seguridad.
Los puntos de entrada que pueden desatar el caos.

En el fondo, es una forma de hacking. Pero sin la cárcel esperando a la vuelta de la esquina. Y es que es el propio cliente (la compañía o entidad) el que alienta el ciberasalto.

El objetivo de los pentesters es llegar al final. Invadir los sistemas y mostrar el potencial destrozo que los auténticos malos podrían causarle a la marca en cuestión. Pero sin que la sangre llegue al río.

Esta es una de las principales diferencias que distinguen estas prácticas de otras como las auditorías de seguridad de aplicaciones.

El pentesting no solo descubre la vulnerabilidad, sino que la explota. Le muestra al empresario o al directivo el daño al que se enfrenta si no pone de su parte para corregir la brecha. Algo así como una terapia de choque trasladada al universo de la empresa de ciberseguridad.

En la hora de los hackers no hay piedad. No debe haberla, en realidad. Estos test tienen una única misión: clasificar y determinar las múltiples amenazas que acechan a una firma. Mostrar la verdad. Por cruel que pueda resultar.

Amenazas que pueden esconderse en cualquier rincón. La pecera es una buena muestra. Pero poco más que un ejemplo.

El correo de un empleado, un archivo de Word con un macro que esconde malware, una contraseña ridícula (¿les resulta familiar 123456?) robada en una plataforma en la que un trabajador trastea a diario, y que coincide con la que da acceso a sus equipos corporativos, un parche de seguridad no instalado, una configuración insegura…

Las claves del pentesting

Los autores del pentesting escrutarán cada rincón de su organización. Cada servidor y cada dispositivo. El modus operandi de cada uno de sus actores. Y todo con un objetivo: determinar si el sistema es vulnerable. Escrutar las defensas con las que cuenta y evaluar el impacto de las brechas de seguridad que se detecten.

Agujeros que pueden causar un roto a una empresa. Pero que pueden alcanzar tintes dramáticos cuando el objetivo es un organismo crítico.

Hace solo unas semanas, sin ir más lejos, la Administración estadounidense acusaba a Rusia de estar detrás de unos ataques sobre infraestructuras energéticas del país, entre las que figuraban instalaciones nucleares.

Tras los asaltos se escondía un grupo conocido como NotPetya vinculado supuestamente al Kremlin. Fue una campaña masiva de intrusión para recabar información sobre la operativa del sistema energético estadounidense. Dinamita, en definitiva, para un eventual ataque futuro.

La alerta de Washington puso en alerta a varios organismos, incluido el FBI. Todos han llamado la atención sobre la necesidad de mejorar la respuesta ante estos incidentes. En definitiva, sobre la importancia de detectar los agujeros de seguridad antes de que sea demasiado tarde.

Los pentesters, así pues, son hoy un cuerpo de élite para los ejércitos de ciberseguridad. Y no solo por la inmensa carga de trabajo que tienen ya sobre la mesa, sino sobre todo por la que tendrán en el futuro.

Los expertos insisten en este sentido en que las empresas y entidades públicas del futuro deberán contratar servicios de pentesting los 365 días del año. ¿Por qué? Por la dimensión maleable y volátil de Internet.

O dicho en román paladino, los test de intrusión no son, no pueden ser, flor de un día.

Los actores objetivo deben entender que la infraestructura de red es un organismo vivo y cambiante, en constante ebullición. Las amenazas de ayer puede que tengan poco que ver con las de hoy. Y mucho menos con las de mañana.

Los malos no descansan. ¿Recuerdan el chat 24/7 de los grupos de ransomware? En consecuencia, los servicios de pentesting tampoco deben hacerlo.

Si usted es empresario, directivo o cargo público al frente de un organismo ha de asumir esta realidad. Ha llegado la hora de los hackers.

Descubre nuestro trabajo y nuestros servicios de ciberseguridad en www.tarlogic.com/es/