Mitos sobre las pruebas de penetración.

Las pruebas de penetración – proceso de intentar penetrar en los sistemas para detectar vulnerabilidades antes de que los ciberdelincuentes lo hagan – son parte integral de la seguridad de la información. Los datos obtenidos de estas evaluaciones pueden ayudar a las empresas a corregir defectos en su infraestructura de seguridad antes de que los atacantes tengan la oportunidad de exponerlos.

Estas pruebas son fundamentales para todas las organizaciones, especialmente para  aquellas que están sujetas a leyes y regulaciones de privacidad de datos. A pesar de ser un término usado ampliamente en el mundo de la seguridad informática, existe algunos mitos sobre su efectividad o aplicabilidad, por ello, a continuación te mostramos los mitos más comunes sobre esta práctica.

1- Las pruebas de penetración son lo mismo que los análisis de vulnerabilidades.

Los análisis de vulnerabilidades son realizados por medio de herramientas automatizadas que buscan identificar y clasificar vulnerabilidades conocidas, así como, generar recomendaciones para su solución. Las pruebas de penetración, por otro lado,  a menudo requieren en mayor medida la interacción de especialistas de seguridad, que asistidos en diversas herramientas de uso específico, simulan las acciones de un atacante. En este caso, los resultados incluyen un informe de cómo el evaluador audito y/o sobrepaso los controles de seguridad para alcanzar una meta previamente acordada, por ejemplo, acceder a bases de datos o a los sistemas de nómina.

2- Todas las herramientas para pruebas de penetración son iguales.

En el mercado existen muchas herramientas para realizar pruebas de penetración, por lo que los profesionales de seguridad cuentan con una variedad de soluciones que se adecuan a sus necesidades y presupuestos. Existen casos en donde los profesionales más experimentados también pueden llegar a desarrollar herramientas personalizadas para ir más allá del alcance tradicional de las pruebas. Es importante comentar que a pesar del gran abanico de herramientas, es más que claro que son requeridas habilidades específicas para lograr obtener el máximo beneficio durante las pruebas.

3- Las pruebas de penetración sólo evalúan debilidades tecnológicas.

Las pruebas de penetración también pueden recurrir a la ingeniería social. En algunos casos, los evaluadores pueden estar autorizados a realizar más que solo pruebas técnicas, como por ejemplo, revisar redes sociales para identificar personal clave, realizar llamadas telefónicas en búsqueda información sensible o intentar acceder a zonas restringidas a base de engaños. Como tal, es importante establecer los alcances de las actividades antes de iniciar con las evaluaciones. Para conocer más sobre la ingeniería social, puedes visitar nuestro artículo visitando este enlace: ¿Qué es la ingeniería social?

4- El personal que realiza las pruebas de penetración no debe tener conocimiento de la infraestructura objetivo.

Tanto aquellas personas que tienen conocimiento del sistema objetivo, como los que no lo tienen, pueden realizar pruebas de penetración. De hecho, las personas que tienen visión del sistema pueden proporcionar conocimientos adicionales, ya que saben exactamente qué y en dónde buscar.

5- Únicamente proveedores externos pueden realizar pruebas de penetración.

Las pruebas de penetración pueden ser realizadas por empleados, contratistas o personal externo. Idealmente, los evaluadores externos verifican periódicamente el trabajo de los evaluadores internos. Dependiendo del riesgo potencial o pérdida de continuidad del negocio, varios niveles de pruebas de seguridad a menudo se incorporan en el ciclo de vida de un sistema o producto. Existen proveedores externos muy capacitados para estos servicios, cabe recordar que encontrar vulnerabilidades antes de que estén en manos de los cibercriminales es una inversión mucho mejor que limpiar el desorden.

6- Las pruebas de penetración son exclusivamente para grandes empresas.

Ya sea un corporativo a nivel mundial o una pequeña empresa, las pruebas de penetración son una práctica recomendada y a veces requeridas por leyes o estándares de la industria. Por ejemplo, los proveedores de atención médica realizan pruebas para asegurar que protegen adecuadamente los datos médicos, mientras tanto, los bancos deben probar sus sistemas para mantener el cumplimiento de la aplicable. No dejemos fuera que cualquier negocio que acepte o procese tarjetas de crédito debe cumplir con el PCI DSS. Por lo anterior, las pruebas de penetración aplican a empresas y organizaciones de todos los tamaños.

7- Las pruebas de penetración son siempre proactivas.

Las pruebas de penetración pueden ser proactivas o reactivas. Idealmente, las pruebas se realizan para ayudar a prevenir una intrusión. Sin embargo, las pruebas de penetración durante el análisis forense posterior a un ataque pueden ayudar a los equipos de seguridad a comprender qué sucedió y cómo.

Estos son algunos de los principales mitos que giran entorno de las pruebas de penetración, ¿conoces otros?

 

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *