Pentesting

Pentesting - Tests de intrusión avanzados

Analizar las ciberamenazas que materializan los riesgos cibernéticos

Contacto
Objetivos del pentesting

Objetivos del pentesting

El test de intrusión o pentesting consiste en una prueba de seguridad ofensiva que simula un ciber ataque real en un entorno controlado. El objetivo es identificar las debilidades que podrían ser aprovechadas por un atacante y completar así amenazas de tipo robo de información, acceso indebido, provocar caídas de servicios, la instalación de malware, etcétera.

El pentesting es la disciplina que abarca este tipo de ejercicio. El equipo de Ciberseguridad está a cargo de la ejecución del pentesting de acuerdo a los parámetros pactados, alcance, objetivos, modalidad y profundidad necesaria.

Modalidades de Pentest

Caja Negra pentesting

Caja Negra

En los ejercicios de caja negra se parte del desconocimiento de la infraestructura del cliente, el equipo de pentesting no tiene información previa acerca de activos o usuarios.

Caja Blanca penetration testing

Caja Blanca

En esta modalidad, se dispone de información detallada acerca de las tecnologías, código fuente, cuentas de usuario, mapas de red, arquitectura, etcétera, previo al inicio del trabajo.

Caja Gris penetration testing

Caja Gris

En un test de intrusión de caja gris, el equipo a cargo de la ejecución dispone de información parcial acerca del objetivo, cuentas de usuario legítimas, información de las tecnologías que se va a evaluar, inventario de IP, dominios u otra información.

Perspectiva del Pentest

  • Interno

    Los test de intrusión internos se desarrollan desde la perspectiva de un atacante con acceso a la red interna cableada o inalámbrica de la empresa, incluyendo accesos a la red interna remotos VPN.

  • Perímetro

    El perímetro de la compañía comprende todos los activos accesibles a través de internet, incluyendo IP públicas, sitios web, dominios y cualquier servicio expuesto.

Perspectiva del Pentest

Metodología del test de intrusión

  • Reconocimiento

    Fase inicial en la que se obtiene la mayor información posible haciendo uso de diversas técnicas.

  • Identificación

    La identificación se centra en el análisis de la información recopilada en una fase anterior, y el descubrimiento de las debilidades.

  • Explotación

    En el trabajo de explotación, se evalúa la vulnerabilidad identificada, pudiendo otorgar el acceso a los sistemas que serán posteriormente utilizados para objetivos de post-explotación.

  • Post explotación

    En este punto, distintos objetivos pueden ser definidos: persistencia, movimiento lateral o exfiltración de información son ejemplos de algunos de ellos.

  • Informes de pentest

    Los informes contienen información acerca de cómo ha sido el test de intrusión, alcance del trabajo, debilidades encontradas, evidencias y recomendaciones de seguridad para los departamentos encargados de la remediación.

Profundidad del pentest

Profundidad del pentest

  • Automatizado

    Test de intrusión interno con el apoyo de tecnología que permita obtener una visión de las vulnerabilidades más relevantes junto con un mapa de amenazas. Este trabajo se complementa con la explotación manual y da soporte a ejercicios de intrusión externos.

  • En profundidad

    Test de intrusión realizado de forma manual por pentesters expertos y familiarizados con las tácticas y procedimientos habitualmente utilizados por los ciber atacantes.

  • Híbrido

    Los pentesting híbridos combinan las propiedades de los anteriores en un servicio periódico y continuado. Los objetivos se definen y evalúan conjuntamente entre el equipo de pentesting y el cliente.

Preguntas frecuentes sobre pentesting

¿Qué son los servicios de test de intrusión?

Los test de intrusión son pruebas técnicas de seguridad donde se analizan uno o varios activos desde el exterior de una empresa o en la red interna, con la finalidad de encontrar aquellas debilidades que permitan cumplir con una serie de objetivos predefinidos, tales como:

  • La comprobación de la robustez de medidas o controles de seguridad implementadas en una red corporativa.
  • La identificación y posterior explotación de vulnerabilidades para evaluación de seguridad.
  • La posibilidad de elevación de privilegios de usuario debido a fallos de arquitectura de seguridad o de implementación de medidas de seguridad insuficientes en aplicaciones y sistemas.
  • Objetivos de compromiso de un sistema para ejercicios de post-explotación (persistencia, movimiento lateral, borrado de huellas, etc.).

Los pentester disponen de un alcance acotado y un tiempo disponible determinado para la realización de las pruebas y la preparación de un informe final. El resultado del trabajo de test de intrusión consiste en la preparación de un informe técnico con las evidencias y recomendaciones de seguridad para la mitigación y remediación de las amenazas y vulnerabilidades identificadas.

¿Cuantos tipos de pentest existen?

Los test de intrusión pueden clasificarse en los siguientes:

  • Test de intrusión de caja negra, donde se parte del desconocimiento de la infraestructura o el activo a analizar. En esta modalidad el equipo a cargo de realizar el test de intrusión no dispone de ningún tipo de información previa acerca de las tecnologías utilizadas, código fuente de aplicaciones, mapas de red o usuarios corporativos para el análisis.
  • Test de intrusión de caja blanca, donde se dispone de información detallada acerca de las tecnologías, código fuente, cuentas de usuario, mapas de red, arquitectura, y todo tipo de información, previo al inicio del trabajo.
  • Test de intrusión de caja gris, donde el equipo a cargo de la ejecución dispone de información parcial acerca del objetivo, como cuentas de usuario legítimas, información parcial de las tecnologías utilizadas, inventarios de IP de la empresa, información del dominio u otra información útil para el análisis.

De igual forma, pueden tener distintas perspectivas:

  • Test de intrusión Interno: Los test de intrusión internos se desarrollan desde la perspectiva de un ciber atacante con acceso a la red interna cableada o inalámbrica de la empresa, incluyendo accesos a la red interna remotos VPN.
  • Test de intrusión externo: El perímetro de la empresa comprende todos los activos publicados en internet, incluyendo IP públicas, sitios web, DNS y cualquier servicio expuesto al que un ciber atacante podría acceder.

¿Cuales son las herramientas lideres del sector que se usan en tests de intrusión?

Es habitual que, dentro de la suite de herramientas de un pentester, se incluya como Sistema operativo una versión adaptada a Ciberseguridad de Linux, como Kali Linux y otras.

Por otro lado, dependiendo de la fase, objetivo o tipología de trabajo, podemos hacer uso de herramientas como las siguientes:

  • Descubrimiento de segmentos de red vinculadas a la organización: Herramientas de Tarlogic para el análisis de RIRs (RIPE NCC, ARIN, APNIC, AFRINIC, LACNIC).
  • Reconocimiento de la infraestructura: amass (Shodan, Censys, SecurityTrails, WhoisXMLAPI), uncover
  • Herramientas de bruteforcing de subdominios: shuffledns, puredns
  • Descubrimiento de puertos y servicios: nmap, masscan, naabu
  • Reconocimiento de aplicaciones web: Aquatone, httpx, WaybackMachine, Waybackurls, gau
  • Identificación de tecnologías web: wappalyzergo
  • Análisis de vulnerabilidades en aplicativos web:  Burp Suite, OWASP ZAP, Nuclei, w3af, Acunetix, Nikto
  • Análisis de suites de cifrado: Testssl, sslscan, Qualys SLLlabs
  • Análisis y descubrimientos de secretos /APIKeys: Trufflehog, earlybird
  • Análisis y descubrimiento de secretos en repositorios de github: gitGrabber, gitLeaks, github-search, github-tools-collections
  • Análisis de vulnerabilidades de autenticación/autorización: Authorize (Burp Extension)
  • Herramientas interacciones out of band: BurpCollaborator, interactsh
  • Detección de WAFs/Análisis bypass de WAFs: wafw00f, cloudfail, hakoriginfinder
  • Análisis de metadatos en documentos: FOCA, Exiftool, Exiftool Scanner
  • Descubrimiento de recursos web: gobuster, dirbuster, wfuzz
  • Herramientas para análisis de seguridad en CMS: CMSMap, WPScan
  • Análisis automático de vulnerabilidades de SQL Injection: sqlmpa, sqlninja
  • Análisis de vulnerabilidades de XSS: XSSer, XSSHunter, BeeF
  • Análisis/explotación de vulnerabilidades de deserialización: Ysoserial
  • Testing de vulnerablidades DoS en servidores web: Slowloris, SlowHTTPTest
  • Herramientas de escaneo de vulnerabilidades: Nessus
  • Soluciones para explotación de vulnerabilidades: Metasploit
  • Cracking de credenciales: hashcat, John the ripper
  • Ataques de fuerza bruta (password spraying): Hydra

Herramientas de pentesting Windows:

  • Sysinternals Suite
  • PowerView
  • PowerUP
  • Get-GPPPassword
  • Bloodhound
  • WinPeas
  • CrackMapExec
  • Responder
  • Impacket
  • Kerbrute
  • Rubeus
  • Mimikatz
  • Network Monitor
  • API Monitor

Herramientas de pentesting Linux:

  • LinPeas
  • Lynis
  • Impacket
  • LinuxSmartEnumeration
  • py
  • Sudo Killer

Análisis de comunicaciones y ataques de red:

  • Wireshark
  • Yersinia
  • Vlan_Hopper
  • netdiscover
  • Scapy

 Análisis de seguridad en entornos cloud:

  • Azure: ROADtools, stormspotter, microBurst, adconnectdump, scoutuite, APIs y herramientas CLI de Azure.
  • AWS: SkyArk, BucketFinder, Boto3, Cloudspaining, Pacu, enumerate-iam, aws_consoler y herramientas de CLI de AWS
  • Google Cloud Platform: ScoutSuite, GCP IAM Collector, GCP Firewall Enum, GCPBucketBrute, Hayat

¿Cuanto cuesta un test de intrusión?

El coste de un test de intrusión es variable y se calcula en función del objetivo, el volumen de activos a analizar, la complejidad de realización, el enfoque que se requiere y si va a ser en una modalidad de caja blanca o caja negra principalmente. Un rango de precio orientativo podría variar entre los 4.500€ para un test de intrusión acotado a un número más reducido de activos, a los 30.000€ para test de intrusión con objetivos mucho más amplios. También influye en el precio si el trabajo se realiza de forma única (one-shot) o si se requiere de un servicio continuo.

Otras características y requisitos particulares requieren hacer un estudio previo conjunto con el cliente para definir mejor el alcance y objetivos del trabajo, por ello recomendamos que te pongas en contacto con nosotros y que nuestros especialistas te asesoren acerca del mejor enfoque para la realización del trabajo y la consecución de tus objetivos.