Trabajando con nuestros distintos sistemas conectados a la red, existe el riesgo de que no descubramos cuáles son los puntos débiles en la seguridad de nuestra organización hasta que ya resulte demasiado tarde. Claro que hemos tomado medidas, pero la seguridad total y plena es imposible y puede darse el caso de que las amenazas lleguen por donde menos lo esperemos, ya sea por los avances en herramientas de hacking, ya sea por una deficiente planificación de la protección de nuestro software o hardware.

Ante esta situación tenemos varias opciones, pero tanto nosotros como otros muchos profesionales de la seguridad recomendamos tomar una decisión: anticiparnos a ese ataque atacando nuestros propios sistemas de forma controlada. O lo que es lo mismo, realizar un Test de Intrusión en las formas que a continuación explicamos.

Un Test de Intrusión, como decimos, es una forma de evaluar la seguridad de los sistemas de nuestra empresa u organización a fin de identificar sus debilidades. Para ello, se realiza ese ataque de forma real, simulando las acciones que realizaría un hacker y tratando de penetrar en los sistemas de información vulnerables para explotarlos en nuestro beneficio. Este Test de Intrusión puede ser de dos tipos según sea el origen del ataque: Test de Intrusión Externo, cuando buscamos identificar las posibles vulnerabilidades que encontraríamos ante una acción maliciosa externa, y Test de Intrusión Interno cuando es dentro de la propia organización donde ubicamos el origen del posible ataque.

Este Test de Intrusión, en ambos casos, es una medida que abarca mucho más que simplemente un ataque controlado, ya que para desarrollarla se requiere de un proceso completo de planificación como el que, desde Firma-e, desarrollamos para nuestros clientes y que, si hablamos de un Test de Intrusión Externo, cuenta con los siguientes pasos:

Planificación del proyecto: definición y establecimiento de los requerimientos de información necesarios para la ejecución del proyecto, desarrollo de un plan de trabajo, identificación y detección de recursos alcanzables desde Internet e identificación activa de equipos y servicios expuestos a Internet (routers, firewalls, servidores web, etc.).

Escaneo automático de debilidades sobre estos recursos: detección de posibles vulnerabilidades.

Comprobación manual de falsos positivos: eliminación de cualquier información generada por las herramientas automáticas que pudieran no ser correctas.

Análisis y detección manual de vulnerabilidades: identificación de posibles vulnerabilidades a través de los resultados obtenidos de las pruebas anteriores.

Test no privilegiado de aplicaciones externas: auditoría de aplicaciones sin análisis del código fuente de las aplicaciones, explotación de las posibles entradas en el sistema para acceder al back-end, ya sea directamente o mediante errores en el front-end, y búsqueda de los errores más comunes que se producen (se intentan explotar posibles bugs).

Elaboración de entregables de revisión: informe con las pruebas realizadas, los hallazgos, sus implicaciones y las recomendaciones para su solución en relación con las debilidades identificadas durante la auditoría.

Si por el contrario hablamos de un Test de Intrusión Interno, el esquema de actuación será muy similar pero con algunas diferencias como se puede apreciar a continuación:

Planificación del proyecto: definición y establecimiento de los requerimientos de información necesarios para la ejecución del proyecto y desarrollo de un plan de trabajo a nivel de detalle.

Sondeos de red y obtención de información de sistemas y puertos: identificación activa de equipos y servicios de la red interna.

Escaneo automático de vulnerabilidades en los servicios activos: detección de posibles vulnerabilidades que pudieran ser aprovechadas para acceder al sistema afectado previo estudio de los resultados obtenidos tras la ejecución de las pruebas de identificación.

Análisis de estructura de red, segmentación y políticas de filtrado: detección de posibles vulnerabilidades que permitieran obtener tráfico de otros segmentos de red e incluso pudieran permitir un envío no autorizado de paquetes de datos hacia otras redes.

Comprobación manual de falsos positivos: eliminación de cualquier información generada por las herramientas automáticas que pudieran no ser correctas.

Análisis y detección manual de vulnerabilidades: identificación de posibles vulnerabilidades a través de los resultados obtenidos de las pruebas anteriores.

Elaboración de entregables de revisión: informe con las pruebas realizadas, los hallazgos, sus implicaciones y recomendaciones para su solución en relación con las debilidades identificadas durante la auditoría.

Dependiendo de dónde consideremos que se encuentran los principales riesgos de seguridad de nuestra empresa deberíamos optar por una u otra opción, o por ambas en caso de que queramos realizar el análisis más completo. En cualquier caso, esta medida es una de las más efectivas para comprobar en la práctica más absoluta cómo de protegidos estamos ante las posibles amenazas que rodean a los sistemas de cualquier organización.