Ethical hacking, hacking ético, pruebas de intrusión, pruebas de penetración o pentesting. Todos son nombres con los que se le conoce a la práctica de atacar los sistemas de las organizaciones para establecer las fallas de seguridad que hay en estos y que efectivamente pueden ser utilizadas para vulnerar el sistema y eliminar, secuestrar o robar información, realizar cambios en configuraciones o detener las operaciones, entre otros. Estas pruebas son un elemento importante para los programas de gestión de vulnerabilidades y en general para la estrategia de seguridad de las organizaciones, ya que les permite conocer la situación actual y los aspectos que se deben fortalecer para mejorar su postura de seguridad.
Usualmente las empresas encargan a terceros la realización de uno, dos o máximo cuatro pentest al año. Desafortunadamente las cifras muestran que cada vez se encuentran más vulnerabilidades, los delincuentes informáticos idean más rápidamente nuevas estrategias para propagar malware de manera eficiente y a bajo costo, además de una sofisticación exponencial de las amenazas. Este panorama requiere que las empresas se pregunten cómo prepararse para afrontar los nuevos retos y si son suficientes los esfuerzos que están haciendo hasta el momento para proteger su infraestructura e información.
El cumplimiento de regulaciones es solo el inicio
Las empresas que necesitan cumplir con algún tipo de regulación son generalmente las que primero buscan servicios de pentesting, pero algunas al tener en mente únicamente el cumplimiento dejan los resultados en un cajón olvidado en la empresa o solo acogen las recomendaciones principales y “desechan” las demás. Es importante entender que los informes que surgen como resultado de una prueba contienen información valiosa que en su conjunto ayuda a las empresas a entender como deben prepararse para afrontar los riesgos a los que están expuestos sus sistemas y por consiguiente debe prestarse atención hasta a los detalles mas pequeños. Recuerde que un conjunto de vulnerabilidades menores pueden ayudar a los delincuentes a preparar ataques mayores que les permitan ingresar y realizar toda clase de acciones.
Guías de remediación adecuadas al contexto de la empresa
Las guías de remediación que surgen como resultado de un pentest deben estar acorde al contexto de cada empresa. Los resultados deben hacer un balance entre la severidad de las vulnerabilidades detectadas, la facilidad con que fueron explotadas y la criticidad de los activos donde se encontraron. No es lo mismo aplicar un parche sobre un servidor utilizado para pruebas que en otro donde aloja algún aplicativo de misión crítica. Por lo anterior, las guías no deben ser un simple listado de las vulnerabilidades y acciones específicas recomendadas por cada fabricante, pues algunas de estas acciones pueden no ser viables desde el punto de vista operativo o financiero. Deben incluir recomendaciones sobre las posibles tecnologías o procesos a utilizarse para la remediación basados en un conocimiento mas integral de la empresa. Finalmente, es conveniente que el informe refleje la realidad de los activos dividido por cada área de la organización pues esto permite compartir con cada una los resultados y así ganar su atención y hacerlos parte de los retos de seguridad que les atañen.
Análisis más allá de los activos críticos
Muchas veces las empresas seleccionan solo algunos activos para las pruebas de intrusión y los motivos expuestos usualmente son falta de presupuesto o la gran cantidad de equipos que haría más extenso el trabajo a realizar. Aunque el ideal es realizar pruebas integrales, por lo menos se debe incluir en el alcance activos de todas las áreas y no solo los de misión crítica ya que esto garantizará que se obtenga información integral sobre el estado de la seguridad de la empresa. Si, por ejemplo, realizamos pentesting únicamente a los servidores críticos quedarían por fuera usuarios comunes que son generalmente el eslabón débil de la cadena y punto de ingreso de diferentes amenazas como el ransomware, uno de los dolores de cabeza en la actualidad.
Conocer lo que está mal no es lo único necesario
Tradicionalmente los informes de pentesting resaltan los hallazgos negativos; vulnerabilidades que fueron posible explotar organizadas de acuerdo a su criticidad. Sin embargo, no todo deben ser “malas noticias” pues las empresas en mayor o menor medida han empezado a establecer controles para evitar fugas de información, la indisponibilidad de algún activo importante o el secuestro de un dispositivo, entre otros. Es clave resaltar los puntos positivos con el objetivo de que la empresa conozca o reafirme el entendimiento de las actividades o controles que está haciendo adecuadamente para asegurar su continuidad. Adicionalmente, esto permitirá a los encargados de seguridad contar con mayor respaldo para defender sus planes y presupuestos, especialmente ante directivos que no tienen aún visión de los riesgos a los que están expuestas las empresas.
Muchas de los aspectos a tener en cuenta mencionados anteriormente son claves para mejorar la práctica, sin embargo se quedan cortas si tan solo realizamos un par de pruebas al año. Todos los días hay cambios en el ambiente tecnológico, de personas y de procesos en las compañías, nuevas vulnerabilidades, entre otras variables, que hacen necesario contar con un proceso continuo para asegurarse que la empresa cuenta con una estrategia de seguridad efectiva. Recuerde que hay muchas personas – y organizaciones- afuera realizando la misma tarea que usted y lo último que quiere es que ellos encuentren la manera de comprometer sus sistemas antes que usted.
