martes, 8 de mayo de 2018

¿Qué es el pentesting y por qué deberías ‘jugar’ a ser un ciberdelincuente?

La premisa del pentesting es muy sencilla: solo pensando como un delincuente podremos detectar los puntos débiles que él (o ella) puede explotar y resolverlos antes de que el lado ‘malo’ de las cosas los encuentre. Cada día, las redes corporativas y los sistemas de información de miles de empresas son atacados por un sinfín de ciberdelincuentes sin mucho que perder y con mucho que ganar. ¿Su objetivo? Vencer todas las resistencias de seguridad informática que hayamos podido incorporar a nuestra infraestructura TIC para inyectar su código malicioso, crear una puerta trasera o robar la información deseada.
La lucha entre estos ciberdelincuentes y los expertos en seguridad (o ‘hackers’ al servicio del bien, si lo prefieren) no es justa en absoluto: existe una notable diferencia de recursos disponibles, ya sean de personas, económicos como de tiempo. Y es que, como suele decirse en los pueblos, puedes protegerte contra cien cosas… pero siempre llegará la 101 para la que no estabas preparado.
Con el fin de mejorar la prevención de estos ciberataques, y teniendo en cuenta estas limitaciones de partida, una de las técnicas que se están volviendo más habituales en las empresas es el pentesting. Bajo este término, anglosajón como casi todos en este sector, entendemos las prácticas de penetración en las redes y sistemas de datos de la empresa por parte de nuestro propio personal TIC o de consultores externos contratados a tal efecto.
El objetivo es hacer un ejercicio de contrainteligencia, de ingeniería inversa o de ponerse en la piel de los atacantes, según lo prefieran. La premisa es sencilla: solo pensando como un delincuente podremos detectar los puntos débiles que él (o ella) puede explotar y resolverlos antes de que el lado ‘malo’ de las cosas los encuentre.
En esta suerte de ejercicios -que comparten a la par emoción y conocimiento técnico a raudales, los expertos establecen un objetivo o meta a alcanzar con su pentesting. Éstas pueden ser más o menos ambiciosas según el área tecnológica que queramos poner a prueba, pero suele abarcar temas como lograr entrar en la base de datos de tarjetas de crédito, crackear las contraseñas o crear una nueva cuenta de administrador en un portal corporativo.
Y al igual que se establece un objetivo concreto, deben ponerse por escrito las reglas de este particular juego. Siempre bajo estrictos acuerdos de confidencialidad, debemos decidir qué tipos de sistemas han de quedar al margen de la práctica (si así lo queremos o lo exigen los reguladores) o si vamos a informar al resto de empleados no involucrados en el pentesting (esto es, los administradores TIC que deben defender el fuerte) de que se está haciendo una prueba o si preferimos dejarles creer que se trata de un ataque auténtico para testar, a su vez, la capacidad de reacción que tienen bajo presión.

Comenzando el ataque

Durante una primera fase, el pentester actuará como lo haría cualquier pirata informático: explorando nuestra página web, servicios disponibles digitalmente e incluso las redes sociales para recopilar la máxima información posible sobre nosotros, tanto desde un punto de vista técnico (e-mails, hardware, rangos de IP y componentes de la infraestructura TIC) como no técnico (ubicaciones, estructuras de personal, etc.).
Será en base a este conocimiento que el pentester elaborará un plan de ataque y comenzará a consultar activamente los sistemas para reunir más información. Inicialmente, lo más normal es que examinen la red y escaneen sus puertos para ver si pueden identificar el sistema operativo y las versiones del servidor web. El objetivo principal de este paso es saber todo lo posible sobre sus sistemas y crear una lista de posibles vulnerabilidades para explotar.

Explotación, intrusión y control

A continuación, el pentester intentará explotar las vulnerabilidades identificadas, utilizando todos los medios necesarios. Dependiendo de la vulnerabilidad, el ‘hacker’ podría utilizar técnicas como los ataques de fuerza bruta, la ingeniería social (por ejemplo, dejar una unidad portátil infectada en el vestíbulo o en el estacionamiento para que los recoja un empleado) u otros exploits remotos.
Como ejemplos, por si queremos armar nuestro particular arsenal de pentesting, podemos encontrarnos con herramientas tan útiles como Metasploit (un marco de código abierto para las pruebas en ciberseguridad), Nmap (un escáner que detecta puertos y servicios usados en la red), 7Nexpose (que descubre y soluciones vulnerabilidades de red en tiempo real), Core Impact (con el que replicar ataques dentro de un sistema y descifrar contraseñas, entre otras maldades) o Kali Linux(anteriormente BackTrack Linux, muy completa para llevar a cabo prueba de penetración.
Una vez que está dentro de la red corporativa, el pentester llevará a cabo varias acciones que nos podemos esperar de un pirata informático, reuniendo las pruebas que demostrarán que ha ‘ganado’ en esta suerte de batalla de prueba: capturas de pantalla, robando los archivos confidenciales, cargando o descargando archivos, mirando cámaras web, escuchando y grabando audio , etc. También pueden pivotar de una máquina a otra en la red para demostrar cómo pueden moverse.
El último paso, como es obvio, es elaborar un completo informe con todo lo descubierto en este ejercicio para que el resto del equipo pueda tomar medidas correctivas y parchear las vulnerabilidades detectadas. Y, así, incrementar la seguridad TIC de nuestra organización… hasta la siguiente vez.