Las pruebas de penetración son beneficiosas para mejorar la seguridad antes de que se convierta en un problema. Sin embargo, muchas personas cometen errores que limitan su utilidad. Puedes evitar riesgos de seguridad y optimizar la efectividad de las pruebas de penetración siempre y cuando evites estos errores comunes.
1. Probar solo en respuesta a violaciones
Mantener la información segura debe ser tu prioridad, considerando que alrededor del 55% de las personas están menos dispuestas a hacer negocios con una empresa después de una violación. Es posible que desees realizar pruebas de penetración después de tales incidentes para asegurarte de que no vuelvan a ocurrir, pero sería un error esperar hasta que seas violentado.
Si bien aún debes parchar esas vulnerabilidades, no ayudará aprender sobre los exploits que los hackers ya aprovecharon. Es vital recordar que los ciberdelincuentes no anuncian su presencia. Si solo pruebas en respuesta a violaciones, esencialmente les estás dando libre acceso, lo que pone en riesgo tus sistemas e información hasta que alguien finalmente note el problema.
Las pruebas de penetración regulares pueden parecer costosas, pero cuesta más dejar que un hacker tenga acceso no supervisado; el costo promedio de una violación de seguridad es de $9.44 millones en los Estados Unidos. Se tarda tiempo en reconocer una violación, arreglar el exploit y lidiar con las consecuencias, lo que se suma rápidamente.
2. No tener prioridad
Contratar a un tester de penetración solo para mejorar tu sentido de seguridad no debería ser el objetivo. Muchas organizaciones lo hacen y terminan perdiendo vulnerabilidades críticas. De hecho, alrededor del 57% de las organizaciones sufrieron un ciberataque solo en 2022.
Los ciberdelincuentes no dejan de intentar obtener acceso una vez que han marcado todas las casillas de una lista, y tú tampoco deberías hacerlo. Para evitar este error común, identifica cuáles sistemas son más valiosos y usa enfoques variados para encontrar problemas relevantes.
3. Realizar pruebas infrecuentes
Las pruebas regulares ayudan a garantizar la seguridad del sistema porque mantienen todo actualizado. Las pruebas frecuentes también mantienen a las empresas cumpliendo con las regulaciones y pueden proteger contra multas. Por ejemplo, un hacker accedió a 235 millones de cuentas de Twitter en 2021 en una vulnerabilidad que no se corrigió hasta 2022.
Aunque los ciberdelincuentes lo explotaron varias veces, la compañía no tomó ninguna acción durante meses. Debido a la violación, los organismos reguladores están investigando y puede que tenga que pagar multas. Las pruebas frecuentes no protegen contra todo, pero pueden ayudar a evitar que los ciberdelincuentes usen repetidamente el mismo método para acceder a sistemas sensibles.
4. Hacer informes insuficientes
Si bien las pruebas son críticas, la presentación de informes adecuada es casi más importante. Como mínimo, un informe completo debe contener detalles sobre los métodos utilizados, éxitos, número de intentos y marcas de tiempo.
A pesar de pruebas adecuadas, aún existe una amenaza de ciberseguridad porque los ciberdelincuentes determinados eventualmente pueden vulnerar casi cualquier sistema. Sabiendo esto, debes catalogar cada acción y reacción en todo tu proceso para asegurar mejoras sustanciales y anticipar lo que un hacker podría explotar.
5. Utilizar técnicas irrelevantes
Los hackers no confían en métodos desactualizados o estándar al apuntar a alguien. Por ejemplo, a pesar de enfocarse en empleados de alto nivel en 2022, un engaño común ahora se basa en tácticas de ingeniería social y suplantación de correo electrónico para engañar a empleados de nivel medio. Las herramientas y el objetivo cambiaron en un tiempo relativamente corto.
Muchos cometen el error de no cambiar su enfoque para alinearse con los ciberdelincuentes modernos. Debes conocer las herramientas y técnicas modernas para proteger mejor tus sistemas.
6. Tomar un informe tal como está
Si bien una empresa podría recibir un informe, parchar las vulnerabilidades y seguir adelante, estarían cometiendo un error crítico, aunque muy común. Todos los puntos débiles tienen fuentes, por lo que debes abordarlos.
Por ejemplo, si la causa fue un empleado remoto en una red no segura, debes solucionarlo en lugar de simplemente mejorar la seguridad general de la red. Considera el contexto detrás de cada informe para determinar la fuente de cada vulnerabilidad.
7. Comunicar mal
Una empresa podría asumir que los probadores de penetración saben el alcance de su trabajo porque son profesionales, pero es mejor comunicarse. Antes de comenzar las pruebas, debes establecer los parámetros y objetivos.
Además, los probadores deben operar con poco impacto, ya sea que estén trabajando durante una fase de desarrollo o en un entorno en vivo, al igual que lo haría un hacker regular. Debe discutir un plazo, el alcance, qué acciones están permitidas y si algo necesita priorizarse. Establecer expectativas garantiza que el resultado sea relevante para las necesidades comerciales.
Cómo prevenir errores comunes en las pruebas de penetración
Las pruebas de penetración pueden utilizar aplicaciones de aprendizaje automático ya que se están volviendo más prevalentes en la industria de la ciberseguridad. En lugar de simplemente cumplir funciones específicas, el objetivo de un modelo de aprendizaje automático es optimizar continuamente la precisión a través de experimentación. Los probadores de penetración a veces utilizan inteligencia artificial para mejorar su enfoque y optimizar su proceso, pero la integración de aprendizaje automático disminuye significativamente la dependencia humana y puede aumentar la eficacia de las pruebas.
Además, las pruebas automatizadas pueden verificar vulnerabilidades y generar informes relevantes sin mucha supervisión humana. RidgeBot es una herramienta automatizada de pruebas de penetración capaz de ejecutar una validación de seguridad mensual, semanal o diaria si una organización necesita más protección. Estos procesos resuelven muchos de los errores más comunes en las pruebas de penetración.
Evitar errores comunes con pruebas automatizadas
Las personas cometen muchos errores comunes durante las pruebas de penetración, pero pueden evitarlos con el conocimiento y los recursos adecuados. Las pruebas automatizadas combinadas con el aprendizaje automático pueden asegurar sistemas e información mientras se evita el error humano, que es justo lo que una empresa necesita para reducir los errores en las pruebas de penetración.
Sobre el autor
Zachary Amos es el Editor de Funciones en ReHack, donde cubre temas de ciberseguridad, inteligencia artificial y otras tendencias tecnológicas. Para más de su trabajo, síguelo en Twitter o LinkedIn.