¿Qué es una prueba de penetración?
Una prueba de penetración es un tipo de evaluación de seguridad realizada en un sistema informático en el que la persona que realiza la evaluación intenta piratear el sistema. El objetivo de la prueba es determinar si alguien con intenciones maliciosas puede o no ingresar al sistema, y a qué puede acceder una vez que el sistema ha sido penetrado. Varias empresas que se especializan en la seguridad de los sistemas informáticos ofrecen pruebas de penetración, y con frecuencia se recomiendan para sistemas y empresas de todos los tamaños, ya que el daño a un sistema informático causado por un ataque hostil puede ser costoso y vergonzoso.
Hay varios enfoques diferentes para la prueba de penetración. En un enfoque de recuadro negro, no se proporciona información sobre el sistema a la persona que realiza la prueba. Él o ella comienza desde cero para buscar posibles hazañas y entrar en el sistema. En una prueba de recuadro blanco, se proporciona toda la información, lo que permite al probador simular un trabajo interno o una fuga de información. Algunas compañías eligen un enfoque híbrido, en el que se proporciona cierta información y se debe buscar otra información.
En el curso de una prueba de penetración, el experto en seguridad puede simular la eliminación o alteración de datos, el robo de archivos, la inserción de código malicioso y una variedad de otras actividades. La prueba de penetración puede ralentizar el sistema, lo que hace que el momento de la prueba sea importante; las empresas desean evitar interferir con sus propias operaciones cuando realizan evaluaciones de seguridad.
Las personas que realizan pruebas de penetración tienen una amplia biblioteca de habilidades informáticas, y algunos tienen una historia como piratas informáticos que los ha familiarizado con las numerosas formas en que se pueden explotar los sistemas informáticos. Contratar piratas informáticos calificados como consultores de seguridad en realidad puede ser un movimiento comercial muy inteligente para una empresa que se especializa en seguridad informática y de redes, ya que los piratas informáticos a menudo tienen el conocimiento y la información más actualizados, y están acostumbrados a abordar los sistemas informáticos desde el papel de alguien con malicia, en lugar del papel de un experto en seguridad preocupado.
Para pruebas simples, es posible utilizar un sistema automatizado para realizar una prueba de penetración. Esto reduce los gastos y permite a las empresas realizar fácilmente pruebas aleatorias cuando creen que podría ser necesario. Las pruebas manuales son más exhaustivas y requieren más tiempo, pero pueden arrojar resultados más completos. Un ser humano creativo y determinado puede detectar posibles vulnerabilidades que un programa automatizado puede perder.
Una vez que se concluye una prueba de penetración, los resultados se escriben y se presentan al cliente. Junto con los hallazgos, se genera una lista de recomendaciones, con la firma de seguridad indicando áreas en las que se podría mejorar la seguridad y haciendo sugerencias para mejorar.