La Utilidad de los Penetration Test

Los penetration test son uno de los servicios de seguridad más populares, pero…* *¿hasta qué punto son útiles? ¿qué es necesario tener en cuenta para sacarles el máximo beneficio?**

Muchas veces por moda o por requerimientos normativos, las organizaciones se ven contratando un servicio que tiene un costo elevado y no siempre aporta valor para mejorar la seguridad.

Después de haber realizado varios penetration test, puedo asegurar que es un proceso muy divertido y entiendo que varias personas quieran ser “penetration testers”. Lo que hay que tener en cuenta, tanto a la hora de realizarlo como a la hora de contratarlo (ya sea que nuestro rol sea el de penetration tester o el del contratante), es que este servicio no debe quedarse únicamente en “encontrar vulnerabilidades e intentar explotarlas”.

En varios de los artículos y documentación al respecto, se habla de la parte técnica y las herramientas a utilizar para intentar vulnerar la seguridad de las organizaciones, pero se habla poco de cómo aconsejar los mejores pasos a seguir para mejorar la seguridad en base a las vulnerabilidades encontradas.

A continuación se detallarán varias de las vulnerabilidades habitualmente encontradas en las infraestructuras tecnológicas y cuáles son algunos de los mejores consejos para no solamente solucionar las vulnerabilidades existentes si no para también evitar la aparición de más vulnerabilidades a futuro.

Vulnerabilidades Web

Uno de los componentes críticos más habituales en la organizaciones son sus aplicaciones web, en las que se pueden encontrar diversos tipos de vulnerabilidades.

Independientemente de los problemas que puedan ser encontrados en las aplicaciones web, es importante que las medidas de seguridad a recomendar incluyan técnicas de desarrollo seguro y auditoría de código. No basta con simplemente reparar las vulnerabilidades puntuales encontradas, si no también identificar cualquier mala práctica de programación, para garantizar que los problemas de seguridad no se vuelvan a repetir.

Componentes Desactualizados

Las herramientas para análisis de vulnerabilidades, como OpenVAS (www.openvas.org), Nexposé (www.rapid7.com), Nessus (www.tenable.com) y Qualys (www.qualys.com) basan gran parte de su funcionamiento en encontrar componentes desactualizados, que cuenten con vulnerabilidades conocidas y explotables.

Es por eso que, si se encuentran vulnerabilidades asociadas con componentes desactualizados, lo que debemos hacer es, lejos de simplemente instalar los parches correspondientes, implementar un proceso contínuo de gestión de parches, que nos garantice que a futuro estas cosas no van a volver a suceder.

Servicios Expuestos a Internet

Si bien todas las organizaciones exponen servicios a través de internet, en ciertas situaciones puede darse que algunos de esos servicios deberían ser únicamente accesibles de forma privada, por lo que deben ser permitidos únicamente desde las redes internas y/o a través de redes privadas virtuales (VPN).

Lo que hay que analizar en estos casos es la correcta gestión de los dispositivos de filtrado (que también suelen soportar conexiones VPN), para realizar un mantenimiento adecuado de las reglas que permitan tráfico, a fin de que no puedan existir errores que expongan componentes privados de la organización.

Software Mal Configurado

Otra de las vulnerabilidades habituales está relacionada con la mala configuración de las soluciones instaladas. Aquí muchas veces se comente el error de, simplemente, recomendar el cambio de las configuraciones puntuales que se encuentran exponiendo la seguridad de la organización.

Lo que verdaderamente habría que hacer es promover que los administradores de sistemas configuren todos sus componentes de acuerdo a las mejores prácticas y recomendaciones de seguridad, tanto de los fabricantes como de otras fuentes de información respetadas (como el SANS, www.sans.org).

Palabras Finales

En resumen, hemos hecho un repaso de algunas de las vulnerabilidades habitualmente presentes en las infraestructuras tecnológicas de las organizaciones. Pero, lo más importante, es recordar que los procesos de penetration test deben ser utilizados para implementar medidas de seguridad que perduren en el tiempo y que eviten la aparición de nuevas vulnerabilidades a futuro.

Escrito por: Fabian Martínez Portantier