Pentesting - Tests de intrusión avanzados
Identificamos vulnerabilidades críticas y protegemos sus activos de ciberamenazas con nuestro servicio de pentesting.
Complete el formulario y le llamamos
Objetivos del pentesting
El test de intrusión o pentesting consiste en una prueba de seguridad ofensiva que simula un ciber ataque real en un entorno controlado. El objetivo es identificar las debilidades que podrían ser aprovechadas por un atacante y completar así amenazas de tipo robo de información, acceso indebido, provocar caídas de servicios, la instalación de malware, etcétera.
El pentesting es la disciplina que abarca este tipo de ejercicio. El equipo de ciberseguridad está a cargo de la ejecución de los tests de intrusión avanzados de acuerdo a los parámetros pactados, alcance, objetivos, modalidad y profundidad necesaria.
A la finalización del servicio de pentesting dispondremos de un informe que incluirá las vulnerabilidades identificadas clasificadas y priorizadas según su impacto y complejidad de remediación, así como unas recomendaciones detalladas para ayudar a mitigar los riesgos detectados.
Modalidades de Pentest
Caja Negra
En los ejercicios de caja negra se parte del desconocimiento de la infraestructura del cliente, el equipo de pentesting no tiene información previa acerca de activos o usuarios.
Caja Blanca
En esta modalidad, se dispone de información detallada acerca de las tecnologías, código fuente, cuentas de usuario, mapas de red, arquitectura, etcétera, previo al inicio del trabajo.
Caja Gris
En un test de intrusión de caja gris, el equipo a cargo de la ejecución dispone de información parcial acerca del objetivo, cuentas de usuario legítimas, información de las tecnologías que se va a evaluar, inventario de IP, dominios u otra información.
Perspectiva del Pentest
-
Pentest interno
Los test de intrusión internos se desarrollan desde la perspectiva de un atacante con acceso a la red interna cableada o inalámbrica de la empresa, incluyendo accesos a la red interna remotos VPN.
-
Pentest externo (perimetral)
El perímetro de la compañía comprende todos los activos accesibles a través de internet, incluyendo IP públicas, sitios web, dominios y cualquier servicio expuesto.
-
Pentesting con Ingeniería social
Hacemos uso del factor humano en las pruebas de pentesting para evaluar el nivel de concienciación y lograr una intrusión mediante tests de ingeniería social.
-
Pentesting WiFi
Evaluación de seguridad y pruebas de intrusión WiFi a través de redes corporativas.
Metodología del test de intrusión
-
Reconocimiento
Fase inicial en la que se obtiene la mayor información posible haciendo uso de diversas técnicas.
-
Post explotación
En este punto, distintos objetivos pueden ser definidos: persistencia, movimiento lateral o exfiltración de información son ejemplos de algunos de ellos.
-
Identificación
La identificación se centra en el análisis de la información recopilada en una fase anterior, y el descubrimiento de las debilidades.
-
Informes de pentest
Los informes de pentest contienen información acerca de cómo ha sido el test de intrusión, alcance del trabajo, debilidades encontradas, evidencias y recomendaciones de seguridad para los departamentos encargados de la remediación.
-
Explotación
En el trabajo de explotación, se evalúa la vulnerabilidad identificada, pudiendo otorgar el acceso a los sistemas que serán posteriormente utilizados para objetivos de post-explotación.
Profundidad del pentest
-
Automatizado
Test de intrusión interno con el apoyo de tecnología que permita obtener una visión de las vulnerabilidades más relevantes junto con un mapa de amenazas. Este trabajo se complementa con la explotación manual y da soporte a ejercicios de intrusión externos.
-
En profundidad
Test de intrusión en redes y aplicaciones realizado de forma manual por pentesters expertos y familiarizados con las tácticas y procedimientos habitualmente utilizados por los ciber atacantes.
-
Híbrido
Un pentesting híbrido combina las propiedades de los anteriores en un servicio periódico y continuado. Los objetivos se definen y evalúan conjuntamente entre el equipo de pentesting y el cliente.
Preguntas frecuentes sobre pentesting
¿Qué son los servicios de test de intrusión?
Los test de intrusión son pruebas técnicas de seguridad donde se analizan uno o varios activos desde el exterior de una empresa o en la red interna, con la finalidad de encontrar aquellas debilidades que permitan cumplir con una serie de objetivos predefinidos, tales como:
- La comprobación de la robustez de medidas o controles de seguridad implementadas en una red corporativa.
- La identificación y posterior explotación de vulnerabilidades para evaluación de seguridad.
- La posibilidad de elevación de privilegios de usuario debido a fallos de arquitectura de seguridad o de implementación de medidas de seguridad insuficientes en aplicaciones y sistemas.
- Objetivos de compromiso de un sistema para ejercicios de post-explotación (persistencia, movimiento lateral, borrado de huellas, etc.).
Los pentester disponen de un alcance acotado y un tiempo disponible determinado para la realización de las pruebas y la preparación de un informe final. El resultado del trabajo de test de intrusión consiste en la preparación de un informe técnico con las evidencias y recomendaciones de seguridad para la mitigación y remediación de las amenazas y vulnerabilidades identificadas.
¿Cuantos tipos de pentest existen?
Los test de intrusión pueden clasificarse en los siguientes:
- Test de intrusión de caja negra, donde se parte del desconocimiento de la infraestructura o el activo a analizar. En esta modalidad el equipo a cargo de realizar el test de intrusión no dispone de ningún tipo de información previa acerca de las tecnologías utilizadas, código fuente de aplicaciones, mapas de red o usuarios corporativos para el análisis.
- Test de intrusión de caja blanca, donde se dispone de información detallada acerca de las tecnologías, código fuente, cuentas de usuario, mapas de red, arquitectura, y todo tipo de información, previo al inicio del trabajo.
- Test de intrusión de caja gris, donde el equipo a cargo de la ejecución dispone de información parcial acerca del objetivo, como cuentas de usuario legítimas, información parcial de las tecnologías utilizadas, inventarios de IP de la empresa, información del dominio u otra información útil para el análisis.
De igual forma, pueden tener distintas perspectivas:
- Test de intrusión Interno: Los test de intrusión internos se desarrollan desde la perspectiva de un ciber atacante con acceso a la red interna cableada o inalámbrica de la empresa, incluyendo accesos a la red interna remotos VPN.
- Test de intrusión externo: El perímetro de la empresa comprende todos los activos publicados en internet, incluyendo IP públicas, sitios web, DNS y cualquier servicio expuesto al que un ciber atacante podría acceder.
¿Cuales son las herramientas lideres del sector que se usan en tests de intrusión?
Es habitual que, dentro de la suite de herramientas de un pentester, se incluya como Sistema operativo una versión adaptada a Ciberseguridad de Linux, como Kali Linux y otras.
Por otro lado, dependiendo de la fase, objetivo o tipología de trabajo, podemos hacer uso de herramientas como las siguientes:
- Descubrimiento de segmentos de red vinculadas a la organización: Herramientas de Tarlogic para el análisis de RIRs (RIPE NCC, ARIN, APNIC, AFRINIC, LACNIC).
- Reconocimiento de la infraestructura: amass (Shodan, Censys, SecurityTrails, WhoisXMLAPI), uncover
- Herramientas de bruteforcing de subdominios: shuffledns, puredns
- Descubrimiento de puertos y servicios: nmap, masscan, naabu
- Reconocimiento de aplicaciones web: Aquatone, httpx, WaybackMachine, Waybackurls, gau
- Identificación de tecnologías web: wappalyzergo
- Análisis de vulnerabilidades en aplicativos web: Burp Suite, OWASP ZAP, Nuclei, w3af, Acunetix, Nikto
- Análisis de suites de cifrado: Testssl, sslscan, Qualys SLLlabs
- Análisis y descubrimientos de secretos /APIKeys: Trufflehog, earlybird
- Análisis y descubrimiento de secretos en repositorios de github: gitGrabber, gitLeaks, github-search, github-tools-collections
- Análisis de vulnerabilidades de autenticación/autorización: Authorize (Burp Extension)
- Herramientas interacciones out of band: BurpCollaborator, interactsh
- Detección de WAFs/Análisis bypass de WAFs: wafw00f, cloudfail, hakoriginfinder
- Análisis de metadatos en documentos: FOCA, Exiftool, Exiftool Scanner
- Descubrimiento de recursos web: gobuster, dirbuster, wfuzz
- Herramientas para análisis de seguridad en CMS: CMSMap, WPScan
- Análisis automático de vulnerabilidades de SQL Injection: sqlmpa, sqlninja
- Análisis de vulnerabilidades de XSS: XSSer, XSSHunter, BeeF
- Análisis/explotación de vulnerabilidades de deserialización: Ysoserial
- Testing de vulnerablidades DoS en servidores web: Slowloris, SlowHTTPTest
- Herramientas de escaneo de vulnerabilidades: Nessus
- Soluciones para explotación de vulnerabilidades: Metasploit
- Cracking de credenciales: hashcat, John the ripper
- Ataques de fuerza bruta (password spraying): Hydra
Herramientas de pentesting Windows:
- Sysinternals Suite
- PowerView
- PowerUP
- Get-GPPPassword
- Bloodhound
- WinPeas
- CrackMapExec
- Responder
- Impacket
- Kerbrute
- Rubeus
- Mimikatz
- Network Monitor
- API Monitor
Herramientas de pentesting Linux:
- LinPeas
- Lynis
- Impacket
- LinuxSmartEnumeration
- py
- Sudo Killer
Análisis de comunicaciones y ataques de red:
- Wireshark
- Yersinia
- Vlan_Hopper
- netdiscover
- Scapy
Análisis de seguridad en entornos cloud:
- Azure: ROADtools, stormspotter, microBurst, adconnectdump, scoutuite, APIs y herramientas CLI de Azure.
- AWS: SkyArk, BucketFinder, Boto3, Cloudspaining, Pacu, enumerate-iam, aws_consoler y herramientas de CLI de AWS
- Google Cloud Platform: ScoutSuite, GCP IAM Collector, GCP Firewall Enum, GCPBucketBrute, Hayat
¿Cuanto cuesta un test de intrusión?
El coste de un test de intrusión es variable y se calcula en función del objetivo, el volumen de activos a analizar, la complejidad de realización, el enfoque que se requiere y si va a ser en una modalidad de caja blanca o caja negra principalmente. Un rango de precio orientativo podría variar entre los 4.500€ para un test de intrusión acotado a un número más reducido de activos, a los 30.000€ para test de intrusión con objetivos mucho más amplios. También influye en el precio si el trabajo se realiza de forma única (one-shot) o si se requiere de un servicio continuo.
Otras características y requisitos particulares requieren hacer un estudio previo conjunto con el cliente para definir mejor el alcance y objetivos del trabajo, por ello recomendamos que te pongas en contacto con nosotros y que nuestros especialistas te asesoren acerca del mejor enfoque para la realización del trabajo y la consecución de tus objetivos.