Las Pentest o pruebas de penetración son tan importantes que por sí mismas han generado un valor de mercado superior a los 1.570 millones de dólares en 2023 y se proyecta que superarán los 6.710 millones en 2032, según cifras de la firma analista SNS Insider. Las razones para este crecimiento son obvias al conocer sus beneficios.
Se trata de un crecimiento impulsado por diferentes variables como la creciente adopción de la tecnología en la nube, el aumento en el número de Data Centers y las regulaciones gubernamentales que respaldan el uso de herramientas de pruebas de penetración, entre otras variables.
Pero comencemos por las bases definiendo en qué consisten estas pruebas de penetración y su importancia en el mercado actual.
¿Qué es un Pentest y para qué se utiliza?
Al hablar de Pentest existen varias definiciones establecidas por distintos gremios y entidades gubernamentales como el Instituto Nacional de Estándares y Tecnología de los Estados Unidos (NIST) que lo explica como:
“Es una metodología de prueba en la que los evaluadores, utilizando toda la documentación disponible (por ejemplo, diseño del sistema, código fuente, manuales) y trabajando bajo restricciones específicas, intentan burlar las características de seguridad de un sistema de información”.
Por su parte, la firma analista Gartner va más allá y explica que las pruebas de penetración van más allá del escaneo de vulnerabilidades para utilizar escenarios de ataque de múltiples pasos y multivectores que primero encuentran vulnerabilidades y luego intentan explotarlas para adentrarse más en la infraestructura de la empresa.
Según los analistas, las pruebas de penetración proporcionan visibilidad sobre agregaciones de configuraciones erróneas o vulnerabilidades que podrían conducir a un ataque que podría causar un grave impacto en el negocio.
Importancia del pentesting en la seguridad informática
Los ciberataques se han multiplicado tras la pandemia, una tendencia que incluye América Latina y Colombia. Para ser más exactos, y según datos del X-Force Threat Intelligence Index 2024, este país recibe el 17 % de todos los ataques de la región perjudicando especialmente al sector salud.
Y no se trata solo de actividades delictivas con ánimo de lucro, también se incluyen variables geopolíticas como ciberactivistas que han resaltado la necesidad de establecer estrategias de seguridad que cubran todos los segmentos desde los gobiernos y entidades no gubernamentales hasta el sector privado.
Estas cifras explican de sobra la necesidad de las pruebas de penetración en el mercado, una herramienta tecnológica que además es importante por razones como:
- Identifica vulnerabilidades: Revela debilidades en sistemas, redes y aplicaciones que podrían pasar desapercibidas con otros métodos de seguridad.
- Proactiva: Permite tomar medidas preventivas en lugar de reaccionar después de un ataque.
- Simula ataques reales: Las pruebas imitan las tácticas de los ciberdelincuentes, proporcionando una visión realista de las amenazas potenciales.
- Protege la información sensible: Ayuda a salvaguardar datos confidenciales de clientes, empleados y la empresa.
- Fortalece la confianza: Demuestra a los clientes y socios que la seguridad se toma en serio.
- Cumple con las regulaciones: Puede ser necesario para cumplir con ciertas normas y estándares de la industria en diferentes geografías.
Tipos de pentest: Externos, internos y de aplicaciones web
Así como existe una diversidad de ciberamenazas y riesgos, también existen diversas formas de evaluar y realizar los test de penetración, ya sea clasificados por su finalidad o por la metodología que realizan los profesionales en ciberseguridad.
Por ello, al hablar de su división según su metodología podemos encontrar:
- Pruebas de Caja Negra (Black Box)
- Pruebas de Caja Blanca (White Box)
- Pruebas de Caja Gris (Gray Box)
Para comenzar, en las pruebas de Caja Negra (Black Box), el ‘pen tester’ se enfrenta al sistema sin ningún conocimiento previo sobre su funcionamiento interno. Esto simula de forma realista un ciberataque real, ya que el atacante no tendría acceso a información privilegiada. Es la mejor manera de replicar un ataque real.
Por el contrario, en las Pruebas de Caja Blanca el ‘pen tester’ tiene acceso a toda la información del sistema: arquitectura, código fuente, credenciales, etc. Este enfoque exhaustivo permite cubrir todos los aspectos del sistema y asegurar que no se deja ninguna vulnerabilidad sin analizar.
Existe una tercera vía, en las Pruebas de Caja Gris se le proporciona al pen tester información limitada sobre el sistema. Se simula un ataque en el que el atacante tiene un conocimiento básico de la infraestructura y sus componentes.
Además de estas pruebas se puede clasificar el pentesting según su finalidad o los objetivos de cada organización que puede probar por segmentos la seguridad de su infraestructura tecnológica.
De esta forma, el pentest puede dividirse en:
- Pruebas de penetración de redes: Evalúan la seguridad de la infraestructura de red, incluyendo routers, firewalls, servidores, etc. Buscan vulnerabilidades que permitan a un atacante acceder a la red y comprometer los sistemas.
- Pruebas de penetración de aplicaciones web: Se centran en la seguridad de las aplicaciones web, buscando fallos que permitan a los atacantes robar datos, inyectar código malicioso o interrumpir el servicio.
- Pruebas de penetración inalámbricas: Analizan la seguridad de las redes Wi-Fi, buscando puntos débiles en la configuración, el cifrado y el acceso a la red.
- Pruebas de penetración física: Evalúan la seguridad física de las instalaciones, buscando formas de acceder a áreas restringidas, robar equipos o dañar la infraestructura.
- Pruebas de ingeniería social: Se basan en la manipulación psicológica para obtener información confidencial o acceso a sistemas, simulando ataques de phishing, pretexting o baiting.
- Pruebas de penetración internas o del lado del cliente: Analizan la seguridad del software que se ejecuta en el equipo del usuario, como navegadores web, complementos o aplicaciones de escritorio.
- Pruebas de penetración de IoT: Evalúan la seguridad de los dispositivos del Internet de las Cosas, buscando vulnerabilidades que permitan a los atacantes controlarlos, robar datos o interrumpir su funcionamiento.
- Pruebas de penetración de aplicaciones móviles: Se centran en la seguridad de las aplicaciones móviles, buscando fallos que permitan a los atacantes acceder a datos sensibles, instalar malware o controlar el dispositivo.
Cada uno de estos enfoques tiene sus ventajas y desventajas, y la elección del tipo de prueba dependerá de las necesidades y objetivos específicos de cada organización.
Fases del pentesting: Reconocimiento, escaneo, explotación y reporte
Según diversos analistas y organizaciones, las pruebas de penetración tienen varias fases, mínimo 3, pero pueden llegar a 7, pero casi todas comparten los mismos elementos que van desde el reconocimiento de la infraestructura IT de una empresa hasta el reporte. Para este fin explicaremos las 5 fases del pentest divididas en:
- Reconocimiento
- Escaneo o exploración
- Evaluación de vulnerabilidades
- Explotación
- Reporte
Otras clasificaciones incluyen como fases, una etapa previa de reconocimiento en la que se definen objetivos de las pruebas y su alcance, y una etapa posterior de retroalimentación, arreglo de vulnerabilidades y pruebas posteriores para confirmar su efectividad.
Volviendo al esquema de 5 fases, cada una cuenta con sus propios objetivos:
- Reconocimiento: La primera fase de las pruebas tiene como meta recopilar información sobre un objetivo para identificar posibles vulnerabilidades y puede realizarse de varias formas: una activa y una pasiva. El enfoque activo se refiere a las técnicas que implican interactuar directamente con el objetivo, como el escaneo de vulnerabilidades. La vía pasiva se basa en información disponible públicamente, como el análisis del contenido de sitios web o el análisis del tráfico de red. La última opción tiene menos probabilidades de ser detectada. También se suele usar ingeniería social para engañar a empleados de las organizaciones.
- Análisis o exploración: Es la etapa donde se realiza el famoso escaneo de puertos que consiste en encontrar puertos abiertos y conocer qué servicios se ejecutan sobre ellos para tener acceso al sistema. De igual forma, se usan varias herramientas automatizadas, como escáneres de vulnerabilidades y mapeadores de red, entre otras, para comprender cómo responde el sistema objetivo a diversas intrusiones.
- Evaluación de vulnerabilidades: Es la fase donde se usan los conocimientos adquiridos en los pasos anteriores, teniendo en cuenta todas las amenazas y vulnerabilidades. Estas se categorizan y priorizan según su potencial y campo de acción ya sean aplicaciones, sistemas o infraestructuras de red para enterar a las organizaciones de los riesgos y sus posibles consecuencias. En este punto existen estándares como el Sistema Común de Puntuación de Vulnerabilidades (CVSS) que clasifica la gravedad de las vulnerabilidades en sistemas informáticos.
- Explotación: Es la fase de manos a la obra por parte del pentester y donde con base en la información y el análisis de vulnerabilidades, intenta sacar provecho de ellas. Es una etapa crucial que puede causar algunos inconvenientes, incluso interrupciones del servicio y violación de datos. Suele utilizar técnicas que van desde inyecciones SQL, hasta ataques de denegación de servicio (DoS), entre otras herramientas.
- Reporte: Como lo indica su nombre, es la fase donde se comunica lo aprendido a las organizaciones de forma detallada incluyendo vulnerabilidades encontradas, los métodos de explotación utilizados y las recomendaciones para mejorar la seguridad. Se suele incluir una etapa de cura o Remediación para implementar dichas recomendaciones y corregir las vulnerabilidades.
Herramientas más utilizadas en pentesting: Un análisis
Las diferentes etapas y campos de acción del Pentest implican una diversidad en las herramientas de uso, aunque se suele ver una marcada tendencia hacia la automatización de las mismas.
Algunas de estas categorías son los escáneres de vulnerabilidades como Astra Pentest o Intruder; herramientas de análisis de redes como Acunetix; herramientas de explotación como es el caso de Cobalt Strike o incluso herramientas de gestión de pruebas que ayudan a planificar, ejecutar y documentar cada experimento.
A grandes rasgos, algunas de las herramientas más populares en las pruebas de penetración son:
- Metasploit: Un framework de código abierto muy utilizado para la explotación de vulnerabilidades. Su gran base de datos de exploits y su interfaz intuitiva lo hacen una herramienta esencial para muchos pen testers.
- Nmap: Se trata de una herramienta utilizada para el descubrimiento y escaneo de redes, logrando identificar hosts, puertos abiertos, servicios en ejecución y sistemas operativos de forma rápida y eficiente.
- Burp Suite: Es un conjunto de herramientas o suite diseñada para pruebas de penetración de aplicaciones web muy utilizada por su versatilidad, permitiendo interceptar, analizar y modificar el tráfico HTTP/HTTPS.
- Wireshark: Otra de las opciones más populares, es un analizador de protocolos de red de código abierto que permite capturar y analizar el tráfico de red en tiempo real ofreciendo además una interfaz de usuario intuitiva.
- John the Ripper: Utilizada para descifrar contraseñas encriptadas, es una herramienta muy rápida y compatible con múltiples algoritmos de cifrado, lo que la hace ideal para evaluar la seguridad en diversas plataformas.
- Aircrack-ng: Es una suite de seguridad inalámbrica que incluye análisis de paquetes de redes, recuperación de contraseñas y otro conjunto de herramientas de auditoría inalámbrica. Es una herramienta muy utilizada para evaluar la seguridad de redes Wi-Fi.
Pentest en la nube: Aplicaciones en AWS y otras plataformas
El auge por la Computación en la Nube, migrando cada vez más servicios y datos a estas plataformas, protagonizado por empresas y gobiernos, ha dado pie a la necesidad de realizar pruebas a la medida de cada organización.
Sin embargo, cada plataforma como AWS, Azure o Google Cloud, por solo mencionar algunas, tienen políticas específicas para realizar el pentesting, siendo muchas veces necesario notificar al proveedor de servicios antes de iniciar estos procesos.
Por ello, se recomienda utilizar entornos de prueba separados para evitar cualquier impacto en los sistemas de producción. En estas pruebas suelen corregirse errores de configuración de los servicios en la nube y el cumplimiento de normativas/regulaciones a las que estén sometidas las organizaciones para garantizar su cumplimiento.
El rol de un pentester: Responsabilidades y habilidades clave
Aunque a menudo el Ethical Hacking y el Pentesting suelen ser sinónimos, en realidad las pruebas de penetración suelen clasificarse como parte del Ethical Hacking, entendiéndolo como una disciplina que incluye todas las formas de ‘hackeo’ que van desde ingeniería social hasta el uso de herramientas informáticas.
Sin embargo, el Pentesting es tan importante que suele entenderse como una categoría propia con responsabilidades que van desde habilidades tecnológicas hasta sociales (soft skills). Algunas de estas responsabilidades son:
- Trabajar con empresas en pruebas de penetración y seguridad de aplicaciones en línea, documentando los hallazgos y entregando informes detallados.
- Ofrecer servicios globales de evaluación de vulnerabilidades, detectando puntos débiles y haciendo recomendaciones para mitigarlos.
- Proporcionar evaluaciones individuales y globales para mejorar la postura de seguridad en todas las organizaciones.
- Colaborar con los desarrolladores de aplicaciones, la dirección y la gestión de proyectos.
- Evaluar los métodos actuales de pruebas de penetración, identificar riesgos e implementar soluciones.
- Mantenerse actualizado.
Requisitos educativos y certificaciones para ser pentester
Aunque para ser un Pentester no se requiere un título universitario o acreditaciones tradicionales, ya que existen muchos expertos que han sido autodidactas en sus orígenes, también es cierto que actualmente se tienen muy en cuenta algunas certificaciones internacionales como las CRTP, OSCP o CEH, entre otras.
Esto no quiere decir que no sean valorados los títulos profesionales, solo que en algunas veces la experiencia ‘en el campo’ puede ser más valorada que el conocimiento técnico puro. Por cierto, algunos requisitos básicos son el dominio de sistemas operativos (Windows, Linux), redes (protocolos de red), lenguajes de programación, conocimientos de bases de datos y conceptos de seguridad, entre otras variables.
Más en detalle, algunas de las certificaciones más valoradas en la actualidad son:
- La Offensive Security Certified Professional (OSCP), un certificado entregado por la Offensive Security, una entidad que verifica que sus estudiantes pasen pruebas de penetración para obtenerlo.
- La GIAC Certified Penetration Tester (GPEN) es otro reconocimiento muy valorado al ser entregado por la Global Information Assurance Certification (GIAC) quienes validan la competencia de un individuo en las pruebas de penetración.
- La CRTP (Certified Red Team Professional) de la Pentester Academy es otra certificación valorada que emula las tácticas y técnicas de los atacantes reales.
- eWPTXv2 (eLearnSecurity Web Application Penetration Tester eXtreme) es otra certificación especializada en pruebas de aplicaciones web.
- La CEH (Certified Ethical Hacker) entregada por el EC-Council, es una de las certificaciones más populares abarcando diversos campos de pruebas que van desde el escaneo hasta la explotación e ingeniería social.
Aparte de estas certificaciones, es de vital importancia el conocimiento generado por la misma comunidad a partir de distintos foros, redes y eventos como los Capture The Flag (CTF), competiciones de ciberseguridad que te permiten poner a prueba las habilidades y aprender de los demás.
Carrera como pentester: Oportunidades y crecimiento profesional
La longevidad de la carrera profesional de un pentester depende de estar actualizado debido al cambio constante en tecnologías, tendencias y productos que surgen cada día en el mundo digital. Se trata de un oficio multidimensional que requiere de múltiples cualidades no solo técnicas, también sociales para poder trabajar en equipo con diversas organizaciones y donde pueda comunicar de forma clara sus hallazgos y recomendaciones.
A pesar de sus múltiples retos y exigencias, la carrera profesional de un experto en pruebas de penetración es reconfortante y le permite aspirar a múltiples ocupaciones como consultor de seguridad externo o de planta en entidades variadas que pueden ir desde la banca hasta instituciones de gobierno o incluso académicas donde pueda dedicarse a la investigación.
Es una profesión con futuro debido a los crecientes retos en ciberseguridad, al aumento en la penetración de Internet y de nuevos dispositivos IoT que deben ser conectados a la red, equipos que deben ser protegidos y que traerán a su vez nuevos retos para las organizaciones.
Salario de un Pentester: ¿Cuánto se puede ganar en este campo?
Al igual que sucede con cualquier profesión, los salarios dependen de múltiples variables que incluyen la experiencia del empleado, lo sofisticado o complicado de su campo de acción o los recursos involucrados en un trabajo, entre otros componentes.
Además, varían según los contratantes y donde operen sus clientes. Como muestra, según Indeed el salario medio de un Penetration Tester es de 123.616 dólares al año en Estados Unidos. Lo equivalente a más de 44.383.000 pesos mensuales en Colombia.
Por su parte, Talent afirma que el salario promedio en Colombia está en los 33.000.000 de pesos anuales y donde los profesionales más experimentados perciben hasta 63.000.000 de pesos.