Cuando la mejor defensa es un buen ataque: ¿cómo el pentesting logra proteger los sistemas informáticos al vulnerarlos?

Si bien existen muchos ataques dirigidos a usuarios particulares, para los delincuentes cibernéticos suele ser más atractivo atacar empresas. De acuerdo a Kaspersky, en estas buscan, principalmente, datos personales (de clientes y empleados). Además, intentan conseguir credenciales para tomar los sistemas. Pueden incluso alcanzar a apoderarse de aplicaciones financieras, lo que les ofrecen acceso directo a los fondos de los negocios.

MIRA: Meta condenaba el ‘raspado de web’ pero pagó en secreto por esta técnica durante años

Vulnerabilidades en los sistemas informáticos

Los cibercriminales pueden llegar a armar planes muy astutos para hacerse con los sistemas informáticos de las organizaciones que tienen en la mira. Mientras que un robo de información no solo expone a sus víctimas a demandas judiciales, sino también al menoscabo de su reputación, con las pérdidas monetarias que todo esto conlleva.

Existen, no obstante, medidas para tratar de prevenir las intrusiones, una de ellas es el pentesting. De acuerdo a César Possamai, gerente de unidad de negocios de software de Noventiq, se trata de una técnica que consiste en atacar diferentes entornos o sistemas de la empresa en un contexto controlado, con la finalidad de encontrar y prevenir posibles fallos en los mismos. Así, esta práctica está diseñada para determinar el alcance de los fallos de seguridad de un sistema y saber cómo mitigarlos o contrarrestarlos.

MIRA: “Tu dispositivo se encuentra en peligro”: alertan que estafadores se hacen pasar por “soporte técnico” para engañar a usuarios

“Las empresas expuestas a ataques informáticos o cibernéticos son conscientes de que no pueden evitarlos todos, pero pueden limitar sus consecuencias con una actuación rápida y coordinada. No se puede improvisar cuando se produce el ataque, hay que tener un plan de contingencia y actuación. Es por ello que se necesita tener estas actividades o practicas repetibles en el tiempo, como proceso de mejora continua”, señala el ejecutivo.

Pentesting es la unión de dos conceptos, ‘penetration’ (penetración) y ‘testing’ (prueba); es decir, consiste en una prueba de penetración de los sistemas con la finalidad de buscar vulnerabilidades.

El banco Santander define en su web vulnerabilidad como una debilidad existente en un sistema que puede ser utilizada por una persona malintencionada para comprometer su seguridad. Es por tanto un agujero de seguridad y las hay de varios tipos, por ejemplo, de hardware, software, procedimentales o humanas.

"Las empresas expuestas a ataques informáticos o cibernéticos son conscientes de que no pueden evitarlos todos, pero pueden limitar sus consecuencias"

Los sistemas informáticos son desarrollados por seres humanos y, como sus creadores, están expuesto a fallos o errores. Incluso, puede ser que en un primer momento no se distinga falla alguna en el sistema, pero posteriormente alguien descubra algún comando que podría usarse como puerta de acceso.

¿Cómo se ven afectadas las empresas con los ataques cibernéticos?

Possamai señala cuatro áreas en las que se ve afectada cualquier compañía al ser víctima de un ciberataque.

La primera tiene que ver con la parte informática, es decir, con la pérdida de información. Intentar dar solución luego de un ataque, implicará un análisis forense y la restauración y recuperación de la información. A veces las cosas se complican cuando las copias de seguridad también se han visto afectadas. También está el aspecto legal, la compañía podría ser demandada por haber expuesto información sensible de clientes y colaboradores. Además, la imagen y reputación de una empresa también pueden verse afectadas. Finalmente, todos estos factores repercutirán en las finanzas de la compañía.

¿Cómo se realiza un pentesting?

A diferencia de las soluciones de seguridad como antivirus, antimalwares u otros, que son considerados instrumentos de seguridad pasiva, el pentesting se enmarca dentro de la seguridad ofensiva. Ambos tipos de seguridad son importantes, aunque se diferencian en la intensión y en los procesos que siguen. El pentesting es la simulación de un ataque con la finalidad de encontrar los puntos débiles de los sistemas que analizan, para posteriormente –de requerirlo– tomar medidas. Este tipo de solución parte de la idea de que la mejor defensa es un buen ataque, ya que tiene como objeto identificar en tiempo real el grado de exposición que tiene una organización y cómo afectaría cualquier incidente que se produjera.

MIRA: Los cibercriminales no necesitan saber de programación ni informática, descargan los malwares de Google

“Es una de las practicas más demandadas actualmente, pues, gracias a estos test, una empresa puede llegar a saber a qué peligros está expuesta y cuál es el nivel de eficiencia de sus defensas”, dice el ejecutivo de Noventiq.

En todo proceso de pentesting se identifican algunas etapas claras. La primera, tiene que ver con el reconocimiento, que básicamente consiste en enumerar los principales componentes del sistema a ser examinado.

Luego viene un análisis de vulnerabilidades conocidas y no conocidas. Mediante un software automatizado y un equipo de ingenieros se realizan ataques simulados. De esta manera, se logra entender la arquitectura de la empresa, analizarla e interpretar ciertos resultados o comportamientos.

Tras esto, se hace una explotación de las vulnerabilidades identificadas en las etapas anteriores para, luego, recolectar evidencias y elaborar un informe con las recomendaciones para contrarrestarla o mitigarlas.

Finalmente, se desarrolla un plan de acción para estar al tanto de la evolución de las ciberamenazas y la madurez de la seguridad de la empresa.

"Si bien los ataques a entidades de gobierno no son una novedad, llama la atención la cantidad de organismos públicos de la región que se vieron afectados"

Instituciones públicas expuestas

Hay que tener en cuenta de que no solo las empresas están expuestas a ataques informáticos, las intrusiones a instituciones públicas son cada vez mayor.

De acuerdo a Possamai, en 2022 se registraron varios casos de ataques e incidentes de seguridad que afectaron principalmente a organismos gubernamentales de Latinoamérica.

“Si bien los ataques a entidades de gobierno no son una novedad, llama la atención la cantidad de organismos públicos de la región que se vieron afectados. Estos ataques muchas veces afectan a infraestructuras críticas que ofrecen servicios esenciales a la población y que en caso de sufrir una interrupción pueden generar consecuencias importantes. Además, las entidades de gobierno manejan un volumen muy grande de datos personales de la ciudadanía, con lo cual el acceso a sus sistemas por parte de los cibercriminales los expone a riesgos, como el robo de identidad o ataques de ingeniería social”, comenta.

Algunos de los ataques más sonados fueron lo que se llevaron a cabo con el ransomware Conti en Costa Rica y Perú, en los que se afectaron más de 37 organismo públicos. En agosto, el ransomware PLAY atacó al Poder Judicial de Córdoba en Argentina, mientras que el grupo Quantum atacó ese mismo mes a agencias de gobierno de República Dominicana.