El pentesting es una herramienta que muchas compañías están utilizando para asegurarse de que las prácticas utilizadas actualmente son las correctas, o mejorarlas en caso de ser posible. Desde Noventiq, trabajamos con una gran cantidad de PYMES que no saben qué tan comprometida está su ciberseguridad hasta que es demasiado tarde. En esta entrevista, César Possamai, BDM Multi-Vendor Software para Latinoamérica, nos cuenta todo sobre esta práctica, y sus beneficios:

1.    ¿Qué es el pentesting?

Pentesting es una abreviatura formada por dos palabras “penetration” y “testing” y es una práctica o técnica, que consiste en atacar diferentes entornos o sistemas del cliente, en un contexto controlado, con la finalidad de encontrar y prevenir posibles fallos en los mismos. Está diseñado para determinar el alcance de los fallos de seguridad de un sistema y cómo mitigarlos o contrarrestarlos.

2. ¿Qué son las vulnerabilidades? ¿Por qué es importante que las empresas las conozcan?

El análisis de vulnerabilidades es parte del proceso de pentesting. Un pentesting, puede considerarse como una versión extendida de un análisis de vulnerabilidades. El objetivo principal se centra en identificar todos los puertos abiertos, servicios en ejecución y vulnerabilidades ya conocidas sobre sistemas o aplicaciones; con la premisa de generar un informe de las vulnerabilidades encontradas.

Con este análisis, un profesional de seguridad de Noventiq, podrá determinar el nivel en el que se encuentra la empresa y cómo puede llegar a afectar estas vulnerabilidades a la continuidad de negocio. Para posteriormente solucionar o mitigar estas vulnerabilidades, trazando un plan de actuación y así evitar sufrir ciberataques que repercutan en las tecnologías utilizadas y en los datos privados y sensibles de las compañías.

Las empresas han pasado de una seguridad reactiva a procesos en los que la propia organización debe ser proactiva e implementar medidas activas para defenderse. La seguridad ofensiva analiza el nivel de preparación que se tiene ante un ataque, sin embargo, no hay que olvidar que la seguridad pasiva y la seguridad activa son complementarias.

Las empresas expuestas a ataques informáticos o cibernéticos son conscientes de que no pueden evitar todos los ciberataques, pero pueden limitar sus consecuencias con una actuación rápida y coordinada. No se puede improvisar cuando se produce un ataque cibernético. Debemos tener un plan de contingencia y actuación. Es por ello que necesitamos tener estas actividades o prácticas repetibles en el tiempo, como proceso de mejora continua.

3. ¿Cuáles son los pasos que se llevan a cabo a la hora de realizar un pentesting?

Lo primero a realizar es un análisis de relevamiento en el cliente para conocer su infraestructura, arquitectura tecnológica y de seguridad, su operación y sus procesos. Luego de ello, se establece el plan de acción de la consultoría de pentesting.

Las etapas enumeradas básicamente luego serían:

    1. Reconocimiento: Enumeración de los principales componentes del sistema a ser analizado.

    2. Análisis de vulnerabilidades conocidas y no conocidas: En esta etapa poseemos una herramienta o una solución automatizada que va realizando el análisis y las simulaciones de ataque, además de un doble trabajo reforzado por análisis de ingenieros especialistas en campo, para entender la arquitectura del cliente, analizarla e interpretar ciertos resultados o comportamientos y realizar técnicas manuales. De esta manera también se evitan lo que llamamos “Falsos Positivos”

    3.  Explotación: Explotación de las vulnerabilidades identificadas en las etapas anteriores.

        Informes: Recolección de evidencias y elaboración de informe, que no solo contemple lo encontrado, sino las vulnerabilidades de mayor amenaza, de amenaza media y amenaza baja; con las recomendaciones de cómo contrarrestarlas o mitigarlas, la posibilidad de reproducirlas, los métodos de resolución, la posibilidad de hacer un retest (para ver si se solucionó la vulnerabilidad) y las recomendaciones de proyectos a realizar en el cliente para tener su infraestructura y entorno seguro.

4. Plan de acción y procesos futuros: Para determinar el orden cronológico de los planes de acción y los procesos futuros en que se volverá a realizar el análisis (debido a la evolución de las ciber amenazas y la madurez en seguridad que necesitaría realizar en su empresa.

4. ¿Cuál es la diferencia entre un pentesting y las soluciones de ciberseguridad como antivirus, antimalwares y otras? ¿Acaso estas no llegan a detectar las vulnerabilidades?

Como antes mencionaba, hay dos grandes tipos de seguridad si se quiere, para poner contexto, la seguridad pasiva o reactiva y la seguridad ofensiva o activa.

Si nos concentramos en las amenazas encontramos:

Capa de amenazas amplias o más comunes: donde aquí aparecen cuestiones relacionadas con seguridad pasiva, como antivirus, antimalware, antiphishing, entre otras. Seguridad en cuanto a red y algo no menor “la concientización a los usuarios o empleados de la empresa en cuestiones de ciberseguridad” (esto es fundamental), pues son en estos momentos uno de los principales vectores de vulnerabilidad; cuyos atacantes piensan: ¿para qué saltarte las barreras técnicas si puedes aprovechar el fallo humano? Y esta es la premisa de la ingeniería social.

Capa de amenazas evasivas: acá entra todo lo que es protección avanzada, visibilidad y respuesta ante amenazas, etc.

Capa de amenazas dirigidas: donde entran cuestiones de seguridad activa, todo lo que es análisis de amenazas inteligentes como ciberataques, cuestiones relacionadas con telemetría, gestión de amenazas desde servicios profesionales administrados de seguridad, etc.

Las vulnerabilidades no diferencian el tipo de empresa, ni su tamaño o locación. Estos riesgos afectan a todas por igual, y no se puede hacer caso omiso a contemplar consultorías de este tipo y análisis de seguridad. Estas acciones deberían estar en la agenda de todas las empresas y ser una de las prioridades. Las pérdidas pueden ser realmente muy significativas y podrían determinar la continuidad de una compañía. Desde Noventiq, partimos de esta premisa y tenemos como objetivo ayudar a las compañías a evitar ataques de cualquier tipo. Contáctanos para prevenir riesgos, antes de que ya no puedan evitarse.