¿Qué es una prueba de penetración?
Llamado por varios nombres similares, que incluyen: Pruebas de penetración, PT y Pruebas de resistencia: el término se refiere a una prueba durante la cual se intenta un ataque cibernético en una red o aplicación corporativa.
La operación es realizada por especialistas altamente calificados con una amplia formación y conocimientos profesionales, llamados probadores de penetración/resiliencia, también conocidos como sombreros blancos o hackers éticos. Estas personas se someten a una serie de controles de credibilidad.
El mundo de las pruebas de penetración se divide aproximadamente en dos: aplicativo e infraestructural.
- La prueba de penetración de infraestructura se trata de piratear infraestructuras informáticas, por ejemplo: sistemas operativos, servicios que se ejecutan en computadoras como FTP y SMB, concentradores y enrutadores, sistemas de control, sistemas de autenticación como controlador de dominio (DC) y más. Las pruebas se realizan fuera y dentro de la organización, así como en sistemas Cloud donde los clientes establecen sus infraestructuras IaaS independientes.
- Applicative Penetration Testing se trata de la capacidad de piratear aplicaciones de servidor y cliente, incluidas las celulares, las interfaces WEB y API y más. Aquí también se realizan algunas pruebas fuera y dentro de la red; Lo mismo ocurre con los sistemas basados en la nube.
Las pruebas se realizan de acuerdo con varios protocolos, como el protocolo Black box, donde no se proporciona información previa sobre el sistema; Protocolo de caja gris, donde se proporciona información parcial; y el protocolo de caja blanca, donde todos los datos y objetivos se comparten con el experto, a quien también se consulta sobre todos los aspectos del nivel de seguridad de la arquitectura.
Utilizamos metodologías líderes en el mundo, como OWASP, NIST 800-53, así como las Directrices de la Dirección Cibernética.
Ejemplos de tipos de pruebas de penetración:
| Tipo de prueba de penetración | Descipción |
| Prueba de penetración para aplicaciones móviles | Esta prueba de penetración móvil comprende un conjunto de pruebas que se enfocan en detectar debilidades en aplicaciones desarrolladas para dispositivos Android e iOS. |
| Prueba de penetración de infraestructura | cuyo propósito es combinar varios vectores de ataque basados en las normas MITRE. El especialista aplica técnicas de movimiento lateral (emulando a usuarios con acceso ilimitado), tratando de tomar control de los sistemas informáticos de la organización. |
| Pruebas de penetración aplicativa | Esta categoría incluye sitios web, portales internos/externos, API y más. Las pruebas se basan en el marco de trabajo OWASP y los resultados completos son utilizados para ayudar a los desarrolladores a manejarlos con mayor precisión. |
| Prueba de penetración para sistemas en la nube | Estos tests incorporan pruebas de penetración tanto aplicativas como de infraestructura. El sistema informático de muchas empresas está basado en la nube o, a veces, incluso se almacena en varias nubes. Por lo tanto, debe ser examinado por especialistas para evaluar el nivel de endurecimiento de los sistemas. |
| Pruebas de penetración de IoT | Se trata de un servicio MADSEC único durante el cual el probador desmonta el dispositivo e intenta conectarlo y probar el nivel de endurecimiento del sistema. Esta prueba también incorpora electrónica y se considera un servicio premium. |