En el ámbito de la ciberseguridad es común que las empresas e instituciones pongan a prueba sus sistemas y redes y simulen ciberataques como podrían hacerlos atacantes reales, con el fin de encontrar vulnerabilidades o fallos en los mismos.
Es lo que se conoce como prueba de penetración, test de intrusión, pentesting o pen testing.
Los profesionales de la ciberseguridad suelen servirse de las mismas herramientas que los cibermalos para encontrar dónde están los puntos débiles de los sistemas. Además, llevan a cabo distintas variedades o tipos de ataques con el fin de conocer la resistencia de estos.
El objetivo de estos ejercicios es detectar fallos y vulnerabilidades para corregirlos y evitar la explotación de una infraestructura TI por parte de actores de amenazas.
Obviamente, estas prácticas que, de otra forma podrían ser delictivas, se llevan a cabo con el consentimiento de los clientes y mediante un contrato en el que queda recogido el sistema o los sistemas que se van a poner a prueba.
Para hacer estos tests se utilizan herramientas como Nmap (herramienta de escaneo de red), Metasploit (Plataforma de desarrollo y ejecución de exploits), Burp Suite (pruebas de seguridad en aplicaciones web) o Wireshark (analizador de tráfico de red)
Al finalizar la prueba de penetración o pentesting el cliente recibirá un informe detallado con todas las deficiencias que se han encontrado. Esta información le permite resolver los fallos y tapar los posibles agujeros de seguridad para protegerse mejor de amenazas externas.
Qué son los pentesters o pen testers
Se conoce así a los técnicos especializados en pruebas de penetración, expertos con gran capacitación que echan una mano a las organizaciones para que encuentren las debilidades y vulnerabilidades en sus infraestructuras.
Existen varias modalidades, entre las que se pueden destacar:
- Network Pentester- Dedicados a evaluar la seguridad de las redes, incluyendo routers, switches, firewalls y otros dispositivos.
- System Pentester- Comprueban la seguridad de otros componentes de la infraestructura, además de sistemas operativos y servidores.
- Hardware Pentester- Especializados en probar la seguridad de hardware.
- Mobile Application Pentester- Expertos en seguridad móvil.
- Social Engineering Pentester- Buscan cubrir a las organizaciones y a sus empleados de ataques de ingeniería social. Simulan engaños mediante esta técnica y ven cómo responden los trabajadores.