Las pruebas de penetración (pruebas con bolígrafos) son un componente crítico e indispensable que toda organización debe tener en su arsenal de ciberseguridad. Las pruebas de penetración permiten a las organizaciones evaluar la fuerza y la eficacia de sus medidas de seguridad cuando los probadores de bolígrafos de confianza simulan ciberataques en condiciones seguras y envían un informe con el estado y sugerencias de contramedidas para minimizar los riesgos y mejorar la postura de seguridad.

No es prudente ni económicamente viable realizar pruebas de lápiz al azar/ a ciegas o para todos sus activos digitales y componentes del sitio web/ aplicación web/ red. El alcance y el nivel de intrusión de cualquier prueba de lápiz dependen de los resultados esperados, las necesidades y el contexto. Un profesional de seguridad experto y de confianza, como Indusface, siempre elegirá la combinación adecuada de herramientas, métodos y técnicas de prueba de penetración basados en estos parámetros.

En este artículo, veremos las pruebas de penetración clasificadas en función de cómo se realizan las pruebas/ métodos, así como los componentes/ activos/ áreas a los que se dirigen.

Tipos de pruebas de lápiz Basadas en Métodos Utilizados

a. Pruebas de Caja Negra

Las pruebas de lápiz de caja Negra, también conocidas como Pruebas Externas o Pruebas de Ensayo y Error, son aquellas en las que los activos externos de la empresa/ activos son visibles en Internet. Este tipo de pruebas emulan un ataque del mundo real en el que el probador no conoce los entresijos de la aplicación/ red/ sistema y lanzará un ataque de fuerza bruta o un ataque ciego a la infraestructura de TI.

El probador extrae información sobre los objetivos y evalúa su funcionalidad en función de las entradas de bots u otros procesos y herramientas automatizados que desenterran vulnerabilidades y brechas en el sistema/ red/ aplicación objetivo.

b. Prueba de Caja Blanca

La prueba de lápiz de Caja Blanca, también conocida como Prueba Interna o Prueba de Caja Estructural/ Transparente/ de Vidrio, es donde el probador tiene acceso a nivel de administrador/ raíz e información completa sobre los sistemas/ redes/ aplicaciones que se van a probar, incluido el código fuente, el esquema de direcciones IP, los detalles del sistema operativo, etc. El objetivo es probar la estructura interna y la fuerza de los sistemas/ redes/ aplicaciones contra personas de adentro maliciosas o un extraño que ha robado las credenciales mediante un ataque de phishing.

Con las pruebas de caja blanca, puede comprender si las operaciones internas y los módulos se ejecutan correctamente según las especificaciones, y detectar errores lógicos, de diseño, tipográficos y de sintaxis, así como configuraciones erróneas dentro de la infraestructura o el entorno. Estos requieren Herramientas de Prueba de Penetración mucho más sofisticadas.

c. Prueba de caja gris

La prueba de caja gris es donde se proporciona al probador información parcial sobre los sistemas / redes / aplicaciones, como acceso al código de software,diagramas de arquitectura de sistema, etc. para simular un ataque. Este tipo de prueba emula un escenario en el que una entidad externa ha obtenido acceso ilegítimo a documentos de infraestructura y rastrea cómo el acceso parcial a la información afecta al objetivo.

Tipos de pruebas de lápiz Basadas en Componentes/ Activos/ Áreas específicos

    Pruebas de servicios de red

El tipo de prueba de lápiz más común y en demanda, pruebas de servicios de red, busca descubrir vulnerabilidades y brechas en la infraestructura de red y combina pruebas internas/ del lado del cliente y externas/ remotas. No es un tipo de prueba de pluma profunda. Aquí, las áreas de red objetivo incluyen Configuración de Firewall, Análisis de estado, Servidor SQL, servidores de correo SMTP, DNS, evasión de IPS, etc. 2. Pruebas de aplicaciones web

Las pruebas de aplicaciones web son un tipo de prueba de lápiz mucho más intenso, profundo, detallado y específico para descubrir vulnerabilidades, lagunas y configuraciones erróneas en la aplicación web. Se trata de un tipo de prueba complejo y que requiere mucho tiempo, en el que la planificación y la estrategia son esenciales para una mayor eficacia. Las áreas objetivo incluyen API, ActiveX, Plug-ins, Applets, Scriptlets, etc. 3. Pruebas del lado del cliente

Este tipo de pruebas busca identificar vulnerabilidades en el software que surgen localmente y pueden ser explotadas desde el extremo del cliente. Por ejemplo, Navegador Web, Software de creación de contenido (Suite MS Office, Photoshop, Adobe Page Maker), reproductores multimedia, etc.

4. Pruebas de Ingeniería social

Aquí, el probador intenta simular un ataque engañando a empleados / usuarios para obtener información confidencial o de propiedad. El objetivo es poner a prueba la conciencia y la fuerza de la red humana en la organización. Hay dos subcategorías en las pruebas de ingeniería social: Pruebas remotas en las que se utilizan técnicas de phishing para robar información confidencial a través de medios electrónicos. Pruebas físicas donde el probador utiliza medios físicos o presencia a través de suplantación, buceo en el contenedor,amenazas, llamadas telefónicas convincentes, etc. para obtener acceso a información confidencial.

5. Pruebas de red inalámbrica

Este tipo de pruebas de lápiz busca identificar vulnerabilidades y debilidades en los dispositivos inalámbricos utilizados en el lado del cliente. Por ejemplo, tabletas, teléfonos inteligentes, portátiles, etc. Estas pruebas también incluyen protocolos inalámbricos, puntos de acceso inalámbricos y credenciales de administrador. Elija la combinación adecuada de herramientas de pruebas de penetración para infundir los elementos tan necesarios de proactividad y percepción en los esfuerzos de seguridad de su organización.

web application security banner