Future Internet, IoT and cloud computing

Blog del grupo de investigación GRITS. Redes de próxima generación para el Internet del futuro, Fog Computing e Internet de las cosas para implementar nuestros diseños personalizados en nubes híbridas ciberseguras, en sistemas de almacenamiento a gran escala y comunicaciones de larga distancia.

28 Abril 2015 | Publicado por Editorial Team GRITS

Test de intrusión

Otro tipo de auditoría de seguridad es el llamado Test de Intrusión. Un auditor de seguridad evalúa los niveles de seguridad de un sistema informático mediante un test de intrusión, también llamado Pentesting. Este test se hace en un entorno controlado y se realiza desde el punto de vista de un atacante potencial.

El objetivo de la prueba de penetración es determinar que vulnerabilidades tiene el sistema y determinar qué impacto puede tener en la empresa. Para realizar el test se debe tener un permiso formal, plasmado en un documento físico firmado por ambas partes.

Un test de intrusión tiene diferentes fases, detalladas a continuación:

  • Determinar el alcance del test: Al inicio se debe determinar que límites tendrá el test de intrusión con el cliente. Se discutirán detalles como que duración tendrá el test, que sistemas serán analizados, que información proporcionará la empresa… Todo debe ser recogido en un documento firmado por ambas partes, ya que en caso que alguna parte tenga alguna queja se podrá recurrir a dicho documento.

  • Recolección de información: Se intenta obtener la mayor cantidad de información sobre la organización de la que se realizará el test. El objetivo es formarse una idea clara de cómo funciona el objetivo y llegar a tener una visión de los controles de seguridad y saber por dónde comenzar a atacar.

  • Análisis de vulnerabilidades: Todos los resultados obtenidos se deben analizar para buscar posibles vulnerabilidades en el sistema. En esta fase se usan escáneres y análisis de puertos para recoger más información sobre la vía de ataque a realizar.

  • Explotación de las vulnerabilidades: A partir de la información recopilada y la experiencia, los auditores intentan romper las barreras de seguridad para entrar al sistema. Se usan exploits, conjunto de acciones que aprovechan una vulnerabilidad para conseguir el objetivo del atacante.

  • Postexplotación del sistema: En este punto se supone que ya se tiene acceso al sistema. Una vez dentro, el atacante puede intentar controlar todo el sistema usando la técnica del pivoteo, es decir, saltar de un equipo a otro con la intención de controlar todos los equipos y encontrar información sensible.

  • Generación de informes: Para finalizar, se debe realizar un informe que detalla al cliente de todas las acciones y pruebas que se han realizado en la intrusión. El informe cuenta con una parte ejecutiva, que se reportan los riesgos existentes, y una parte técnica, en la que se detallan las vulnerabilidades expuestas para que los especialistas busquen soluciones.

Al finalizar el test de intrusión, una empresa conoce diferentes vías de ataque que tiene un atacante para entrar en su sistema, pudiéndose proteger de ellas. Este tipo de auditoría se enseña en el módulo de Hacking ético del Máster de CiberSeguridad (MCS).    

Share