9 tipos diferentes de pruebas de penetración [utilizadas en 2021]
En el mundo empresarial actual, la seguridad se ha convertido en el problema más común. Todos los días nos enteramos de cómo los atacantes hackearon los sistemas informáticos y robaron toda la información crucial.
En 2019, se informaron 1.473 violaciones de datos en los Estados Unidos, con más de 164 millones de registros confidenciales expuestos. En el primer semestre de 2020, el número de violaciones de datos ascendió a 540. - Informe Statista
Para detectar debilidades y vulnerabilidades de seguridad, muchas grandes empresas realizan un ciberataque simulado autorizado en su propio sistema. Esto es lo que llamamos prueba de penetración (Pen Test para abreviar). Básicamente, el objetivo es identificar las vulnerabilidades y debilidades de seguridad ante el ciber pirata y solucionarlas lo antes posible.
Más específicamente, las pruebas de penetración implican simular escenarios de ataque del mundo real para encontrar y aprovechar las brechas de seguridad (de manera segura) que, en última instancia, podrían conducir al robo de información, credenciales comprometidas u otros resultados comerciales dañinos.
Puede realizarse internamente a través de una herramienta de prueba de penetración o subcontratarse a un proveedor de pruebas de penetración. El proceso generalmente comienza con un profesional de seguridad que enumera la red de destino para detectar dispositivos o cuentas vulnerables. Esto significa escanear todos los dispositivos de la red en busca de puertos abiertos que tengan servicios ejecutándose en ellos.
El nivel de intrusión depende del tipo de operación que el evaluador de seguridad quiera explorar en el sistema de destino. Por lo tanto, el evaluador debe tener un buen conocimiento del tipo de prueba de penetración más relevante.
Las pruebas de penetración se pueden clasificar en función de cómo se realizan, así como de los activos y componentes a los que se dirige. En este artículo de descripción general, hemos explicado diferentes tipos de pruebas de penetración que están diseñadas para ser intensas e invasivas.
Pruebas de penetración basadas en los métodos utilizados
1. Prueba de caja negra
- Los casos de prueba se pueden diseñar inmediatamente
- Puede detectar cierto tipo de fallas
En las pruebas de penetración de caja negra, el evaluador no tiene acceso a la aplicación del cliente, la configuración de la red ni ningún tipo de información interna. Él / ella realiza todos los reconocimientos para extraer la información requerida.
Este tipo de prueba determina las debilidades de un sistema que se pueden explotar desde fuera de la red. Encontrar esas debilidades se basa en la inspección dinámica de los programas y sistemas que se ejecutan actualmente dentro de la red de destino.
El probador debe estar familiarizado con el software de escaneo automatizado y las diferentes técnicas de prueba de penetración manual. Dado que no existe un conocimiento previo de la configuración del sistema o del código fuente de la aplicación, el probador de penetración de caja negra debe ser capaz de construir su propio mapa de la red objetivo basándose en observaciones personales.
El conocimiento limitado evita que el evaluador encuentre todas las vulnerabilidades en el sistema. Ésta es la principal desventaja de este tipo de pruebas. Si los evaluadores no pueden traspasar todos los perímetros, las vulnerabilidades internas permanecen sin descubrir.
Sin embargo, puede descubrir ciertos tipos de fallas, como errores de configuración del servidor y errores de validación de entrada / salida. Para tener éxito (detectar y remediar más vulnerabilidades de manera eficiente), las metodologías de prueba de caja negra deben combinarse con otras herramientas de prueba.
Hay muchas herramientas disponibles en el mercado para realizar pruebas de penetración de caja negra. Wapiti, por ejemplo, analiza las aplicaciones web en busca de posibles responsabilidades inyectando datos temporales.
2. Prueba de caja blanca
- Más completo
- Permite la optimización del código y la detección de problemas de seguridad ocultos
Como sugiere el nombre, las pruebas de penetración de caja blanca son lo opuesto a las pruebas de caja negra. El probador tiene acceso completo a la documentación de la arquitectura, el código fuente y otra información del sistema.
Los evaluadores examinan un gran volumen de datos disponibles para detectar posibles puntos débiles. Pueden utilizar depuradores y analizadores de código estáticos y dinámicos para este tipo de pruebas.
Dado que los evaluadores tienen un conocimiento completo del sistema, lleva más tiempo decidir qué módulos deben probarse primero y qué software específico debe usarse para realizar la prueba.
JUnit, PyUnit, Selenium son algunas de las herramientas de prueba de caja blanca de código abierto más populares. El selenio, por ejemplo, se utiliza para validar aplicaciones web en varios navegadores y plataformas.
3. Prueba de caja gris
- Identifica vulnerabilidades más importantes con menos costo y esfuerzo
- Las pruebas se realizan desde el punto de vista de los usuarios en lugar del punto de vista del diseñador
Ésta es la combinación de las pruebas de penetración de caja negra y caja blanca. El probador de lápiz de caja gris tiene cierto conocimiento de los componentes internos del sistema, como la base de datos y los documentos de diseño. Con este conocimiento limitado, él / ella puede hacer mejores datos de prueba y casos de prueba mientras prepara un plan de prueba.
Este tipo de prueba proporciona una evaluación más eficiente y enfocada de la seguridad del sistema en comparación con la evaluación de caja negra. Puede identificar los defectos debidos a un uso inadecuado de las aplicaciones o una estructura de código incorrecta. Más específicamente, descubre los errores específicos del contexto al concentrarse en todas las capas de sistemas complejos.
Las pruebas de caja gris son más adecuadas para pruebas funcionales, aplicaciones web, servicios web, evaluación de seguridad y GUI. Burp Suite es una de las herramientas de prueba de caja gris más populares que explota las vulnerabilidades de las aplicaciones atacando los puntos inseguros tentativos.
Diferentes entre estas tres técnicas de prueba
| Prueba de penetración de caja negra | Prueba de penetración de caja gris | Prueba de penetración de caja blanca |
| No se requiere conocimiento del funcionamiento interno del sistema | Se requiere un conocimiento parcial del funcionamiento interno del sistema | Se requiere un conocimiento completo del funcionamiento interno del sistema |
| Es muy difícil descubrir errores ocultos | Es difícil descubrir errores ocultos | Fácil de descubrir errores ocultos |
| También conocido como prueba de caja cerrada o prueba basada en datos | También conocido como prueba translúcida | También conocido como prueba de caja clara, prueba estructural o prueba basada en código |
| Menos tiempo | Lleva mucho tiempo | Más completo y que requiere más tiempo |
| Lo mejor para encontrar errores de validación de entrada / salida | Más adecuado para probar dominios de datos y diseño de sistemas | Más adecuado para probar algoritmos, estructura de código y límites internos |
| Las pruebas las realizan usuarios finales, desarrolladores y evaluadores | Las pruebas las realizan probadores y desarrolladores independientes | Las pruebas las realizan probadores y desarrolladores |
Pruebas de penetración basadas en componentes específicos
1. Prueba de servicios de red
- Evita las violaciones de datos y de la red
- Garantiza la seguridad de la red y el sistema
El proceso de prueba de penetración de la red implica descubrir vulnerabilidades de seguridad en aplicaciones y sistemas mediante el uso de diferentes métodos maliciosos para examinar la seguridad de la red.
Por lo general, el evaluador identifica redes, hosts, sistemas y dispositivos (como conmutadores y enrutadores) explotables para descubrir debilidades. Dado que una red tiene puntos de acceso tanto externos como internos, es obligatorio realizar pruebas de forma remota desde el mundo exterior y localmente en el sitio del cliente.
Esto ayuda a los evaluadores a comprender el nivel de riesgo con el que se enfrenta la organización y cómo abordar y corregir las fallas de seguridad. Dependiendo del riesgo, pueden apuntar a diferentes áreas de la red en sus pruebas. Por ejemplo, pueden realizar:
- Prueba de análisis de estado
- Prueba de configuración de firewall
- Prueba de omisión de firewall
- Ataques de DNS
El protocolo más común investigado en estas pruebas incluye:
- Protocolo simple de transferencia de correo (SMTP)
- Protocolo de transferencia de archivos (FTP)
- Secure Shell (SSH)
- MySQL y SQL Server
Dependiendo del tamaño y la complejidad del sistema, puede llevar entre una y cuatro semanas completar una prueba de penetración de la red. Los evaluadores pueden ofrecer una estimación detallada solo después de determinar el alcance del proyecto.
2. Prueba de lápiz de aplicaciones web
Pasos para realizar una prueba de lápiz de aplicación web
- Identifica la vulnerabilidad tanto en el diseño como en la configuración
Localiza a los intrusos y los bloquea
Dado que muchas aplicaciones web contienen información confidencial, es necesario mantenerlas seguras en todo momento. Una forma de hacerlo es incluir pruebas de penetración de aplicaciones web como parte del ciclo de vida del desarrollo de software (SDLC).
Las pruebas de lápiz facilitan la determinación de vulnerabilidades de todas las aplicaciones web y de todos sus componentes, incluida la base de datos, la red de backend y el código fuente. Esto ayuda a los desarrolladores a identificar y priorizar las debilidades y errores y encontrar formas de mitigarlos.
Este tipo de prueba implica la recopilación de datos sobre la aplicación web de destino, el mapeo de la red de host y el examen de todos los posibles puntos de inyección o ataques de manipulación. Las principales razones para realizar pruebas de lápiz en aplicaciones web son:
- Detectar vulnerabilidades desconocidas
- Verifique los componentes expuestos públicamente, como enrutadores y firewalls
- Encuentre la ruta más vulnerable para un posible ataque
- Busque lagunas que puedan resultar en el robo de información
- Verifique la efectividad de las políticas de seguridad existentes
Hay muchas herramientas disponibles en el mercado para realizar pruebas de penetración de aplicaciones web (tanto manuales como automatizadas). Vega, Veracode y Zap son algunos de los más comunes para realizar pruebas rápidas.
3. Prueba de lápiz inalámbrico
- Determina la postura de seguridad realista de las redes inalámbricas
- Aborda las vulnerabilidades y las políticas / procedimientos de seguridad
Las pruebas de penetración inalámbrica implican detectar y analizar las conexiones entre todos los dispositivos conectados al WiFi de la empresa. Esto incluye computadoras portátiles, teléfonos inteligentes, tabletas, impresoras y otros dispositivos de Internet de las cosas (IoT).
Se prueban varios protocolos inalámbricos y puntos de acceso inalámbricos para descubrir lagunas de seguridad. Por lo general, estas pruebas se realizan en el sitio del cliente porque el probador debe estar en el rango de señales inalámbricas para acceder al dispositivo.
En la mayoría de los casos, las vulnerabilidades se encuentran en los puntos de acceso wifi debido a la falta de filtrado MAC y controles de acceso a la red insuficientes. Para remediar estos problemas antes de que sucedan de verdad, es crucial probar la efectividad de la postura de seguridad y exponer las debilidades no deseadas.
También es importante tener en cuenta que WiFi no es la única tecnología inalámbrica que los atacantes pueden explotar. Hay varios dispositivos Bluetooth, dispositivos Bluetooth de baja energía y otras tecnologías menos populares, como Z-wave y DECT (teléfono inalámbrico), que se encuentran en público.
4. Prueba de penetración del lado del cliente
- Detecta errores de configuración de seguridad en el software del lado del cliente
- Permite un control adecuado del tráfico de red entrante y saliente
Se trata de una prueba de lápiz interna en la que los evaluadores aprovechan las vulnerabilidades en los programas de aplicación del lado del cliente, como navegadores web, Adobe Acrobat, clientes de correo electrónico, Macromedia Flash, etc.
Si bien no existe una regla para realizar tales pruebas en intervalos específicos, las empresas deben realizar pruebas de penetración cuando se agreguen nueva infraestructura de TI o aplicaciones del lado del cliente o cuando se modifique la infraestructura existente.
La mayoría de las vulnerabilidades del lado del cliente ocurren debido al software sin parches instalado en computadoras portátiles o de escritorio. Algunos atacantes incluso interceptan el proceso de actualización y envían código malicioso junto con la actualización original.
Los dispositivos USB también están infectados con archivos maliciosos o código ejecutable. Estos archivos se ejecutan automáticamente tan pronto como la víctima conecta el USB a su máquina. Las secuencias de comandos entre sitios, el secuestro de formularios, el secuestro de clics, la inyección de HTML y la redirección abierta son algunos de los ataques de seguridad del lado del cliente más comunes.
Por eso es importante probar la susceptibilidad de los empleados y la capacidad de las redes para reconocer y responder a los ataques del lado del cliente.
5. Prueba de penetración externa
- Una evaluación de seguridad de los sistemas perimetrales de una empresa
- Incluye evaluaciones tanto de la capa de aplicación como de la capa de red
Las pruebas de penetración externa generalmente prueban desde la perspectiva del atacante sin acceso previo al sistema o red de destino. Esto es diferente de las pruebas de lápiz internas, en las que el atacante ya tiene un punto de apoyo en la máquina comprometida.
En las pruebas de lápiz externas, el evaluador intenta obtener acceso a la red interna aprovechando las vulnerabilidades encontradas en los activos externos. Lleva a cabo un reconocimiento de los activos incluidos en el alcance y recopila datos sobre todos los activos incluidos en el alcance.
Estos datos pueden incluir puertos abiertos, vulnerabilidades o información de empleados para ataques de contraseña. Una vez que se rompe el perímetro, se logra el objetivo de la prueba de penetración externa y el probador procede a la prueba de la pluma interna.
Leer:30 herramientas de seguimiento de errores útiles para desarrolladores
6. Ingeniería social
- Estafar a empleados desprevenidos para que comprometan la seguridad de la empresa
- Explotar la psicología humana para obtener datos confidenciales
El término ingeniería social se utiliza para una amplia gama de actividades maliciosas realizadas a través de interacciones humanas. Dado que se basa en errores humanos (en lugar de debilidades en aplicaciones o redes), es menos predecible y más difícil de detectar que las intrusiones basadas en malware.
Este tipo de pruebas implican intentar obtener datos confidenciales engañando a los empleados de la empresa para que revelen información confidencial. Esto podría lograrse mediante pruebas remotas o pruebas físicas.
Leer:Las 15 mejores herramientas de generación de datos de prueba
Las pruebas remotas implican enviar correos electrónicos de phishing a los empleados o bombardear sus dispositivos con falsas alarmas o amenazas ficticias. Por el contrario, las pruebas físicas incluyen persecución, suplantación de identidad, buceo en basureros, amenazas físicas, etc.
Tecnología Industrial
- 14 tipos diferentes de virus informáticos [A partir de 2021]
- 5 tipos diferentes de centros de datos [con ejemplos]
- 8 tipos diferentes de computación en la nube en 2021
- 9 tipos diferentes de pruebas de penetración [utilizadas en 2021]
- ¿Qué es el suavizado? 6 tipos y métodos diferentes
- 5 tipos diferentes de juntas de soldadura | Juntas de soldadura
- 15 tipos diferentes de fresadoras
- 10 tipos diferentes de patrones en fundición
- Los diferentes tipos de mantenimiento en la fabricación
- 5 tipos diferentes de pruebas para realizar en su equipo
- Diferentes tipos de fresadoras.