test intrusion

Hacking ético

Hacking ético es en sí una auditoría efectuada por profesionales de seguridad de la información, quienes reciben el nombre de “Pentester”. A la actividad que realizan se le conoce como “hacking ético” o “pruebas de penetración”.

Para determinar la seguridad de los sistemas que están accesibles desde internet, la mejor forma es sometiéndolos a un ataque controlado.
Con este tipo de ataque lo que se pretende es descubrir las vulnerabilidades de los sistemas y además explotarlas para evaluar la repercusión que tendría si un atacante consigue descubrirlas y explotarlas con fines maliciosos.
Existen varias metodologías para realizarlo, las más comunes suelen ser:

OWASP
OSSTMM

 Existen tres modalidades de test de intrusión:

Test de caja negra (Black Box)

  • Simula los métodos de ataque de un ciberdelincuente con sus mismos recursos. El auditor sólo dispone del nombre de la empresa, y con él, ya actuaría como un ciberdelincuente. A través del test se intenta identificar los agujeros de seguridad que pueden llegar a comprometer los sistemas.
  • Proporciona al cliente una evaluación real del riesgo de sus sistemas.

Las pruebas que se pueden realizar con esta metodología son las siguientes:

  • Test de intrusión de infraestructura
  • Test de intrusión de aplicaciones 

 

Test de caja blanca (White Box)

Permite una revisión total del sistema. Para ello, el auditor recopila toda la información posible para evaluar la seguridad, incluyendo código fuente de aplicaciones, archivos de configuración, planos de red, etc.
Este test puede requerir más recursos, se recomienda para entornos muy sensibles.

Es un test extremadamente minucioso.

Las pruebas que se pueden realizar con esta metodología son las siguientes:

  • Revisión de código fuente
  • Auditorías de red
  • Test de intrusión de la infraestructura
  • Test de intrusión en aplicaciones

Test de caja gris (Grey Box)

Combina test de caja negra y caja blanca. Hace pruebas con métodos similares a los de caja negra, simulando ataques reales. Sin embargo, en el test de caja gris el auditor dispone de información técnica del sistema y se le permite pedir información adicional.

El test de caja gris es muy efectivo  para identificar el mayor número de amenazas posibles reales.

Las pruebas que se pueden realizar con esta metodología son las siguientes:

  • Test de intrusión en aplicaciones (revisión parcial de código)
  • Test de intrusión en infraestructura y la red
  • Examen de alto nivel del diseño de la red

Últimas noticias

Phising

Phishing o suplantación de identidad es un término informático que denomina un modelo de abuso informático y que se comete mediante el uso de un tipo de ingeniería social, caracterizado por intentar adquirir información confidencial de forma fraudulenta.

Glosario