¿Qué es un pentester?

Contenidos sobre Ciberseguridad ocultar

1 ¿Qué es un pentester?

2 Definición de ¿Qué es el Pentesting?

2.1 Tipos de pruebas de penetración según la información inicial con la que cuenta el pentester

3 ¿Y los equipos de Ciberseguridad? ¿Los conoces?

3.1 Red Team

3.2 Blue Team

3.3 Purple Team

4 Consideraciones legales

4.1 Solicitud del pentesting

4.2 Contratación del pentesting

5 Terminología en ciberseguridad

5.1 Tipos de sombreros en Ciberseguridad

¿Alguna vez te has preguntado quienes son las personas que nos protegen ante los ciberdelincuentes? ¿Quienes son esos “cibersoldados” los cuales nos ayudan a mantenernos seguros y protegidos? Esos son los pentesters. A grandes rasgos, el trabajo de un Pentester se basa en encontrar fallos de seguridad o vulnerabilidades en el ciberespacio, con el objetivo de reportarlas de forma responsable para que los cibercriminales no puedan aprovecharse de esas mismas vulnerabilidades, teniendo en cuenta que en el año 2021 el coste medio por brechas de seguridad fue de 3’75 millones de euros.

Definición de ¿Qué es el Pentesting?

Tal y como recoge el INCIBE (Instituto Nacional de Ciberseguridad Español) en su página web, un “pentesting” es un conjunto de ataques simulados dirigidos a un sistema informático con la finalidad de detectar posibles vulnerabilidades para que sean corregidas y no puedan ser explotadas por cibercriminales. Como en muchos otros aspectos en el mundo cyber, las auditorías de Ciberseguridad también cuentan con algunas fases bien definidas (estas pueden variar dependiendo de múltiples factores).

Recopilación de Información / Enumeración
Análisis de Vulnerabilidades
Explotación
Post-Explotación
Reporte

Fases de Pentesting

(Estas fases se explicarán en otra entrada de blog diferente debido a la gran importancia de las mismas)

Tipos de pruebas de penetración según la información inicial con la que cuenta el pentester

BlackBox o Caja Negra. En un test black box el pentester no posee información sobre el objetivo, por lo que es la simulación más realista de un ataque externo. Esto ayuda a que la empresa pueda conocer de forma mucho más realista los vectores de ataque existentes los cuales pueden ser aprovechados por los ciberdelincuentes.
WhiteBox o Caja Blanca. En un test white box conocemos todo sobre el sistema, arquitectura o aplicación. En este tipo de pentesting el cliente proporciona credenciales para poder evaluar su infraestructura desde dentro, con el fin de evaluar si existen vulnerabilidades las cuales puedan ser aprovechadas por los cibercriminales al lograr acceso a la misma.
GrayBox o Caja Gris. Este método consiste en una mezcla de los dos anteriores, por lo que se tiene información parcial acerca del sistema. Se hará más o menos énfasis en la identificación de vulnerabilidades en función de la información de la que se disponga. Es el más recomendado, ya que abarca las distintas situaciones de compromiso que pueden darse.

¿Y los equipos de Ciberseguridad? ¿Los conoces?

Cuando hablamos de Seguridad Informática y protección de datos entran en juego dos equipos fundamentales: el Red Team y el Blue Team. Ambos realizan un trabajo complementario para detectar vulnerabilidades, prevenir ataques informáticos y simular escenarios de amenaza que consigan poner en riesgo nuestra infraestructura (o la de un cliente).

A estos dos equipos hay que añadirles un tercero: el Purple Team.

Vamos a describirlos.

Red Team

Los miembros del Red Team (Seguridad Ofensiva) se confunden habitualmente con los “pentesters”, pero no son lo mismo, aunque hay cierta superposición entre las funciones y habilidades de unos y otros.

Los Red Teams simulan ser los ciberdelincuentes, utilizando sus mismas herramientas o similares, explotando las vulnerabilidades de seguridad de los sistemas de la organización.

El Red Team realiza un proceso de simulación de escenarios de amenazas a los que se puede enfrentar una organización poniéndose en la piel de un equipo de ciberdelincuentes, para dar al Blue Team la posibilidad de defenderse de forma controlada.

Por lo tanto, el Red Team es un entrenamiento para el Blue Team, donde se evalúa la capacidad real que tiene una organización para proteger sus activos críticos y sus capacidades de detección y respuesta.

Blue Team

Es el equipo de seguridad que defiende a las organizaciones de los ataques de los ciberdelincuentes.

El Blue Team es el encargado de realizar una vigilancia constante, analizar patrones y comportamientos que se salen de lo común a nivel de sistemas y aplicaciones, además de las personas, en lo relativo a la seguridad de la información.

También trabajan en la mejora continua de la seguridad, rastreando incidentes de ciberseguridad, analizando los sistemas y aplicaciones para identificar fallos y/o vulnerabilidades, y verificando la efectividad de las medidas de seguridad de la organización.

En definitiva, el objetivo principal del Blue Team es monitorizar (red, sistemas, etc.) y recomendar planes de actuación para mitigar los riesgos, además de realizar respuestas ante incidentes, incluyendo el análisis forense de las máquinas afectadas, la trazabilidad de los vectores de ataque, la propuesta de soluciones y el establecimiento de medidas de detección para futuros casos.

Purple Team

Los equipos morados existen para asegurar y maximizar la efectividad de los equipos rojos y azul. Lo hacen integrando las tácticas y controles defensivos del Blue Team con las amenazas y vulnerabilidades encontradas por el Red Team. Idealmente, no debería ser un equipo, sino una dinámica de cooperación entre los equipos rojo y azul.

En resumen, el Purple Team es una mezcla entre Red Team y Blue Team, cuya función principal es la de unir ambos equipos para lograr un mejor resultado. Es decir, son los coordinadores, los enlaces entre ambos equipos. Esto principalmente es debido a que los miembros que forman parte de un Red Team no quieren defender (ya que ese no es su trabajo), mientras que los miembros de un Blue Team no quieren atacar. Ahí es donde entra el Purple Team, cuya función es la de unir, o intentar hacer que colaboren dichos equipos.

Red Team vs. Blue Team vs. Purple Team

Consideraciones legales

Tal y como recoge el INCIBE en su página web, realizar accesos a estos equipos y a su información es completamente ilegal, y podría conllevar cuantiosas multas e incluso penas de cárcel, salvo que se realice con la debida autorización.

Por este motivo, en el contrato de auditorías de ciberseguridad debe incluir una autorización (por parte del titular de los equipos y sistemas) clara e inequívoca, que permita la vulneración de las medidas de seguridad de la organización en ciertos equipos perfectamente identificados, seleccionados para la ocasión.

También debemos tener en cuenta que toda la información a la que logremos tener acceso no debe ser divulgada, manteniéndose de forma confidencial en todos los sentidos, y en el caso de información personal, se ha de redactar un acuerdo específico en el que se contemple dicha protección de datos.

Solicitud del pentesting

Resumiendo, a la hora de solicitar que realicen un “pentesting” a nuestros sistemas que pueda permitir el acceso a información considerada como “secreto profesional” o datos personales, debemos tener en cuenta los siguientes aspectos:

Está terminantemente prohibido aprovecharse y/o causar perjuicio con la información descubierta
Destruir la información que no sea necesaria para llevar a cabo el test y guardar de forma segura la que sí lo sea
Está terminante prohibido divulgar cualquier tipo de información obtenida o a la que se ha tenido acceso

Contratación del pentesting

Por lo tanto, para contratar un servicio de “pentesting”, se deberá redactar un contrato específico para este servicio, además de definir la forma correcta que no dé lugar a ninguna duda. En el contrato debe especificarse los siguientes aspectos:

Las autorizaciones pertinentes
La información que está disponible
Las técnicas que se utilizarán para la intrusión
El tratamiento de la información que se pueda obtener, en particular si son datos personales o información confidencial.

Terminología en ciberseguridad

Es muy común (sobre todo para los medios de comunicación) confundir diversos términos relacionados con esta profesión, sobre todo cuando relacionamos el término “hacker” con “ciberdelincuente”.

Tipos de sombreros en Ciberseguridad

Por ello creemos necesario realizar una breve explicación desarrollando los diferentes tipos de “sombreros” en ciberseguridad existentes.

White Hat. Son aquellos expertos en ciberseguridad los cuales se dedican única y exclusivamente a hacer el bien, es decir, trabajan protegiendo sistemas. Suelen ocupar puestos en empresas de ciberseguridad, y su función principal es la de encontrar vulnerabilidades en los sistemas con el fin de reportarlas de forma responsable. Son los conocidos como “hackers”.
Black Hat. También conocido como “cracker” o “ciberdelincuente”, usa su habilidad para romper sistemas de seguridad y obtener acceso a zonas restringidas, infectar redes o simplemente hacerse con ellas. En resumen; son los malos de la película. En este caso, la ética brilla por su ausencia y lo hacen para beneficio personal o de terceros.
Grey Hat. Es una mezcla entre los dos anteriores, ya que irrumpen de forma ilegal en servicios, pero con el fin de reportarlas (a veces). Un claro ejemplo de grey hat son aquellos que irrumpen en los sistemas de seguridad de compañías para después postularse como los “solucionadores” y repararlos. Otra de las cosas que hacen frecuentemente es obtener información de gran importancia con el fin de hacérsela llegar a la opinión pública.
Red Hat. Es el “Robin Hood” de los hackers. Son aquellos cuya única finalidad es la de “cazar” a los black hat. Se infiltran en grupos cibercriminales con la intención de infectarles y/o doxearles y reportarlos a las autoridades competentes.
Blue Hat. Son aquellos que trabajan en consultoría informática, revisando si hay fallos en un software determinado antes de ser lanzado (entre otros).
WhistleBlower. Es aquel actor malicioso que no está satisfecho con su trabajo, o el cual ha sido contratado por la competencia para infiltrarse y revelar secretos comerciales. Al tener acceso muy fácil a la información, por estar dentro de la empresa, son los más peligrosos, ya que pueden colar malware sin necesidad de buscar vulnerabilidades. También son conocidos como “Insiders”.
Hacktivist. Son hackers con una posición social, ideológica o política determinada, los cuales utilizan la tecnología para su activismo (ej. Anonymous). Muchas veces son considerados Grey Hat o incluso Black Hat por las acciones que cometen.
Script-Kiddie. Son los hackers/crackers novatos. No tienen habilidades técnicas y quieren beneficiarse de un crackeo sin saber muy bien cómo hacerlo. También son conocidos como “noobs” o “newbies”.

¿Qué es el Pentesting?. Pruebas de intrusión

AUTOR: Mikel Hernández
Linkedin: https://www.linkedin.com/in/mikel-hernandez-alonso-a3975b205
Pentester en Bidaidea Ciberseguridad.

Cookie	Duración	Propiedad	Descripción
wordpress_logged_in_	Sesión	Wordpress	Después del login, WordPress activa la cookie wordpress_logged_in [hash], que indica cuando te has conectado y quién eres, siendo usado para la interfaz de WordPress.
wordpress_sec_	1 año	Wordpress	Estas cookies nos ayudan a mantenerte conectado a nuestro sitio.
wordpress_test_cookie	Sesión	Wordpress	Esta cookie se usa para que el gestor de contenidos WordPress compruebe si el navegador tiene las cookies activadas.
wfwaf-authcookie-	1 dia	Plugin Wordfence	Esta cookie es establecida por el plugin de seguridad de WordPress «Wordfence». Se utiliza para autenticar la solicitud de inicio de sesión del usuario.
woocommerce_recently_viewed	Sesión	WooCommerce	Para que funcione el widget de “visto recientemente”
woocommerce_cart_hash	Sesión	WooCommerce	Coookie que ayuda a detectar y guardar cambios en el carrito.
woocommerce_items_in_cart	Sesión	WooCommerce	Coookie que ayuda a detectar y guardar cambios en el carrito
wp_woocommerce_session_	2 días	WooCommerce	Añade un código único a cada cliente para poder identificar su carrito en la base de datos
cookielawinfo-checkbox-analytics	11 meses	Plugin GDPR /Webtofee	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. El propósito de esta cookie es verificar si el usuario ha dado su consentimiento para el uso de cookies en la categoría 'Analíticas'.
cookielawinfo-checkbox-necessary	11 meses	Plugin GDPR /Webtofee	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. El propósito de esta cookie es verificar si el usuario ha dado su consentimiento para el uso de cookies en la categoría 'Necesarias'.
cookielawinfo-checkbox-performance	11 meses	Plugin GDPR /Webtofee	Esta cookie está configurada por el complemento de consentimiento de cookies de GDPR. El propósito de esta cookie es verificar si el usuario ha dado su consentimiento para el uso de cookies en la categoría 'Rendimiento'.
cli_user_preference	Sesión	Plugin GDPR /Webtofee	Esta cookie es guardada por el plugin GDPR Cookie Consent y se utiliza para registrar si el usuario ha consentido o no el uso de cookies. No almacena ningún dato personal.
tk_ai	Sesión	WordPress Jetpack	Almacena un ID anónimo generado aleatoriamente. Esto solo se usa dentro del /wp-admin área del backoffice ( ) y se usa para el seguimiento del uso.
tinv_wishlistkey	1 mes	Worpress Woocomerce	Guadar los productos marcados como favoritos

Cookie	Tipo	Duración	Descripción
_ga	de terceros	2 años	La Web utiliza Google Analytics, un servicio analítico de Web prestado por Google, Inc., una compañía de Delaware cuya oficina principal está en 1600 Amphitheatre Parkway, Mountain View (California), CA 94043, Estados Unidos (“Google”). La información que genera la cookie acerca de su uso de la Web (incluyendo su dirección IP) será directamente transmitida y archivada por Google en los servidores de Estados Unidos. Google usará esta información por cuenta de Bidaidea con el propósito de seguir la pista de su uso de la Web, recopilando informes de actividad y prestando otros servicios relacionados con la actividad y el uso de Internet. Google no asociará su dirección IP con ningún otro dato del que disponga Google.
_gali	de terceros	30 segundos	Cookie instalada por Google Analytics, utilizada para obtener información acerca de la página que un usuario está visitando dentro del sitio web. Tiene una duración determinada por el tiempo que se pasa en una determinada entrada.
_gat	0	1 minuto	La cookie es instalada por Google Universal Analytics para acelerar la tasa de solicitud y limitar la recopilación de datos para webs con gran trafico. Se usa para limitar el porcentaje de solicitudes.
_gid	0	1 día	La Web utiliza Google Analytics, un servicio analítico de Web prestado por Google, Inc., una compañía de Delaware cuya oficina principal está en 1600 Amphitheatre Parkway, Mountain View (California), CA 94043, Estados Unidos (“Google”). La información que genera la cookie acerca de su uso de la Web (incluyendo su dirección IP) será directamente transmitida y archivada por Google en los servidores de Estados Unidos. Google usará esta información por cuenta de Bidaidea con el propósito de seguir la pista de su uso de la Web, recopilando informes de actividad y prestando otros servicios relacionados con la actividad y el uso de Internet. Google no asociará su dirección IP con ningún otro dato del que disponga Google.
audience	0	1 año
demdex	0	5 months	This cookie is set under the domain demdex.net and is used by Adobe Audience Manager to help identify a unique visitor across domains.
KRTBCOOKIE_188	0	5 months	Cookie de seguimiento basada en intereses de Pubmatic

Cookie	Tipo	Duración	Descripción
_cc_aud	0	8 months	The cookie is set by crwdcntrl.net. The purpose of the cookie is to collect statistical information in an anonymous form about the visitors of the website. The data collected include number of visits, average time spent on the website, and the what pages have been loaded. These data are then used to segment audiences based on the geographical location, demographic, and user interest provide relevant content and for advertisers for targeted advertising.
_cc_cc	0	8 months	The cookie is set by crwdcntrl.net. The purpose of the cookie is to collect statistical information in an anonymous form about the visitors of the website. The data collected include number of visits, average time spent on the website, and the what pages have been loaded. These data are then used to segment audiences based on the geographical location, demographic, and user interest provide relevant content and for advertisers for targeted advertising.
_cc_dc	0	8 months	The cookie is set by crwdcntrl.net. The purpose of the cookie is to collect statistical information in an anonymous form about the visitors of the website. The data collected include number of visits, average time spent on the website, and the what pages have been loaded. These data are then used to segment audiences based on the geographical location, demographic, and user interest provide relevant content and for advertisers for targeted advertising.
_cc_id	0	8 months	The cookie is set by crwdcntrl.net. The purpose of the cookie is to collect statistical information in an anonymous form about the visitors of the website. The data collected include number of visits, average time spent on the website, and the what pages have been loaded. These data are then used to segment audiences based on the geographical location, demographic, and user interest provide relevant content and for advertisers for targeted advertising.
_fbp	0	3 meses	Facebook configura esta cookie para enviar publicidad cuando están en Facebook o en una plataforma digital impulsada por publicidad de Facebook después de visitar este sitio web.
_kuid_	0	5 months	The cookie is set by Krux Digital under the domain krxd.net. The cookie stores a unique ID to identify a returning user for the purpose of targeted advertising.
dpm	0	5 months	The cookie is set by demdex.net. This cookie assigns a unique ID to each visiting user that allows third-party advertisers target that users with relevant ads.
fr	1	3 meses	Facebook configura la cookie para mostrar anuncios relevantes a los usuarios y medir y mejorar los anuncios. La cookie también rastrea el comportamiento del usuario en la web en sitios que tienen píxeles de Facebook o complementos sociales de Facebook.
IDE	1	2 años	Utilizado por Google DoubleClick y almacena información sobre cómo el usuario utiliza el sitio web y cualquier otro anuncio antes de visitar el sitio web. Se utiliza para presentar a los usuarios anuncios que son relevantes para ellos de acuerdo con el perfil del usuario.
PUBMDCID	0	3 months	This cookie is set by pubmatic.com. The cookie stores an ID that is used to display ads on the users' browser.
TapAd_DID	0	2 months	The cookie is set by tapad.com. The purpose of the cookie is to track users across devices to enable targeted advertising
TapAd_TS	0	2 months	The cookie is set by Tapad.com. The purpose of the cookie is to track users across devices to enable targeted advertising.
uid	0	2 months	This cookie is used to measure the number and behavior of the visitors to the website anonymously. The data includes the number of visits, average duration of the visit on the website, pages visited, etc. for the purpose of better understanding user preferences for targeted advertisments.
VISITOR_INFO1_LIVE	1	5 meses	Youtube establece esta cookie. Se utiliza para rastrear la información de los videos de YouTube incrustados en un sitio web.

¿Qué es el Pentesting? Tipos de pruebas de penetración

¿Qué es un pentester?

Definición de ¿Qué es el Pentesting?

Tipos de pruebas de penetración según la información inicial con la que cuenta el pentester

¿Y los equipos de Ciberseguridad? ¿Los conoces?

Red Team

Blue Team

Purple Team

Consideraciones legales

Solicitud del pentesting

Contratación del pentesting

Terminología en ciberseguridad

Tipos de sombreros en Ciberseguridad

Related Posts