¿Qué es el marco de ciberseguridad del NIST?
El almacenamiento de información en línea se ha convertido en la norma. Más organizaciones están remolcando esta parte para seguir siendo relevantes en esta era de interconectividad.
¿Qué son las pruebas de penetración y cómo mejoran la seguridad de la red?
Al configurar un nuevo sistema de seguridad, debe asegurarse de que funcione correctamente con la menor cantidad de vulnerabilidades posible. Cuando se trata de activos digitales por valor de miles de dólares, no puede darse el lujo de aprender de sus errores y solo llenar los vacíos en su seguridad que los piratas informáticos explotaron anteriormente.
La mejor manera de mejorar y garantizar la seguridad de su red es probándola continuamente, buscando fallas que corregir.
¿Qué son las pruebas de penetración?
Entonces, ¿qué es una prueba de penetración?
Las pruebas de penetración, también conocidas como pruebas de penetración, son un ataque de ciberseguridad por etapas que imita un incidente de seguridad real. El ataque simulado puede apuntar a una o varias partes de su sistema de seguridad, en busca de puntos débiles que un pirata informático malintencionado podría explotar.
Lo que lo distingue de un ataque cibernético real es que la persona que lo realiza es un pirata informático de sombrero blanco, o ético, que usted contrata. Tienen las habilidades para penetrar tus defensas sin la mala intención de sus contrapartes de sombrero negro.
Tipos de pentestas
Hay varios ejemplos de pentests según el tipo de ataque que lanza el hacker ético, la información que obtienen de antemano y las limitaciones establecidas por su empleado.
Un solo pentest puede ser uno, o una combinación, de los tipos de pentest primarios, que incluyen:
Insider Pentest
Un pentest interno o interno simula un ataque cibernético interno, en el que un pirata informático malintencionado se hace pasar por un empleado legítimo y obtiene acceso a la red interna de la empresa.
Esto se basa en encontrar fallas de seguridad internas como privilegios de acceso y monitoreo de red, en lugar de fallas externas como firewall, antivirus y protección de terminales.
Pentest de forastero
Como sugiere el nombre, este tipo de pentest no le da al pirata informático ningún acceso a la red interna de la empresa ni a los empleados. Les deja la opción de piratear a través de la tecnología externa de la compañía, como sitios web públicos y puertos de comunicación abiertos.
Los pentests externos pueden superponerse con pentests de ingeniería social, donde el pirata informático engaña y manipula a un empleado para que le otorgue acceso a la red interna de la empresa, más allá de su protección externa.
Pentest basado en datos
Con un pentest basado en datos, el pirata informático recibe información de seguridad y datos sobre su objetivo. Esto simula un ataque de un ex empleado o alguien que obtuvo datos de seguridad filtrados.
Pentest ciego
A diferencia de una prueba basada en datos, una prueba ciega significa que el pirata informático no obtiene información alguna sobre su objetivo que no sea su nombre y lo que está disponible públicamente.
Pentest doble ciego
Además de probar las medidas de seguridad digital de la empresa (hardware y software), esta prueba también incluye a su personal de seguridad y TI. En este ataque por etapas, nadie en la empresa es consciente del pentest, lo que los obliga a reaccionar como si se encontraran con un ciberataque malicioso.
Esto proporciona datos valiosos sobre la seguridad general de la empresa y la preparación del personal y cómo interactúan los dos.
Cómo funcionan las pruebas de penetración
Al igual que los ataques maliciosos, la piratería ética necesita una planificación cuidadosa. Hay varios pasos que el pirata informático ético debe seguir para garantizar un ensayo exitoso que arroje información valiosa. Aquí hay una idea de la metodología pentest.
1. Recopilación de información y planificación
Ya sea un pentest ciego o basado en datos, el hacker primero necesita recopilar información sobre su objetivo en una ubicación y planificar el punto de ataque a su alrededor.
2. Evaluación de la vulnerabilidad
El segundo paso es escanear su vía de ataque, buscando brechas y vulnerabilidades para explotar. El pirata informático busca puntos de acceso y luego ejecuta varias pruebas a pequeña escala para ver cómo reacciona el sistema de seguridad.
3. Explotación de vulnerabilidades
Después de encontrar los puntos de entrada correctos, el hacker intentará penetrar en su seguridad y acceder a la red.
Este es el paso real de 'piratería' en el que utilizan todas las formas posibles para eludir los protocolos de seguridad, los firewalls y los sistemas de monitoreo. Podrían usar métodos como inyecciones de SQL, ataques de ingeniería social o secuencias de comandos entre sitios.
4. Mantener el acceso encubierto
La mayoría de los sistemas de defensa de ciberseguridad modernos se basan tanto en la detección como en la protección. Para que el ataque tenga éxito, el pirata informático debe permanecer dentro de la red sin ser detectado el tiempo suficiente para lograr su objetivo, ya sea filtrar datos, corromper sistemas o archivos o instalar malware.
5. Informar, analizar y reparar
Una vez que el ataque concluye, exitoso o no, el pirata informático informará a su empleador con sus hallazgos. Luego, los profesionales de seguridad analizan los datos del ataque, los comparan con lo que informan sus sistemas de monitoreo e implementan las modificaciones adecuadas para mejorar su seguridad.
6. Enjuague y repita
A menudo hay un sexto paso en el que las empresas prueban las mejoras que realizaron en su sistema de seguridad mediante la realización de otra prueba de penetración. Pueden contratar al mismo hacker ético si quieren probar ataques basados en datos u otro para un pentest ciego.
El kit de herramientas del Ethical Hacker
El hackeo ético no es una profesión exclusiva de habilidades. La mayoría de los piratas informáticos éticos utilizan sistemas operativos y software especializados para facilitar su trabajo y evitar errores manuales, dándole todo a cada intento.
Entonces, ¿qué usan los piratas informáticos de pruebas de penetración? Aquí están algunos ejemplos.
Sistema operativo Parrot Security
Parrot Security es un sistema operativo basado en Linux que fue diseñado para pruebas de penetración y evaluaciones de vulnerabilidad. Es compatible con la nube, fácil de usar y admite varios software pentest de código abierto.
Live Hacking OS
Live Hacking, que también es un sistema operativo Linux, es la opción preferida de un pentester, ya que es liviano y no tiene altos requisitos de hardware. También viene empaquetado con herramientas y software para pruebas de penetración y piratería ética.
Nmap
Nmap es una herramienta de inteligencia de código abierto (OSINT) que monitorea una red y recopila y analiza datos sobre los hosts y servidores de los dispositivos, lo que la hace valiosa para los piratas informáticos de sombrero negro, gris y blanco por igual.
También es multiplataforma y funciona con Linux, Windows y macOS, por lo que es ideal para el hacker ético principiante.
WebShag
WebShag también es una herramienta OSINT. Es una herramienta de auditoría del sistema que escanea los protocolos HTTPS y HTTP y recopila datos e información relativa. Es utilizado por piratas informáticos éticos que realizan pruebas externas a través de sitios web públicos.
Dónde acudir para las pruebas de penetración
La prueba de lápiz de su propia red no es su mejor opción, ya que es probable que tenga un amplio conocimiento de ella, lo que hace que sea más difícil pensar fuera de la caja y encontrar vulnerabilidades ocultas. Debe contratar a un pirata informático ético independiente o los servicios de una empresa que ofrezca pruebas de penetración.
Aún así, contratar a un extraño para piratear su red puede ser muy arriesgado, especialmente si les está proporcionando información de seguridad o acceso interno. Es por eso que debe atenerse a proveedores externos confiables. Aquí hay una pequeña muestra de los disponibles.
HackerOne
HackerOne es una empresa con sede en San Francisco que ofrece servicios de pruebas de penetración, evaluación de vulnerabilidades y pruebas de cumplimiento de protocolos.
ScienceSoft
Ubicado en Texas, ScienceSoft ofrece evaluaciones de vulnerabilidad, pruebas de penetración, pruebas de cumplimiento y servicios de auditoría de infraestructura.
Raxis
Con sede en Atlanta, Georgia, Raxis ofrece valiosos servicios desde pruebas de penetración y revisión de códigos de seguridad hasta capacitación en respuesta a incidentes, evaluaciones de vulnerabilidad y capacitación preventiva en ingeniería social.
Aprovechar al máximo las pruebas de penetración
Si bien todavía es relativamente nuevo, las pruebas de lápiz ofrecen información única sobre el funcionamiento del cerebro de un pirata informático cuando ataca. Es información valiosa que incluso los profesionales de ciberseguridad más capacitados no pueden proporcionar trabajando en la superficie.
La prueba de lápiz puede ser la única forma de evitar ser atacado por piratas informáticos de sombrero negro y sufrir las consecuencias.
Crédito de la imagen: Unsplash.
NordVPN vs. ExpressVPN: ¿Qué VPN debería usar en 2021?
Si desea invertir en una VPN, NordVPN y ExpressVPN son opciones obvias. Ambos ofrecen altas velocidades y ambos tienen un largo historial de comentarios positivos de los clientes.
¿Qué es el cifrado homomórfico?
Una palabra que ha estado apareciendo mucho últimamente es cifrado homomórfico. Muchas empresas y servicios en línea están cambiando su modelo de cifrado a un tipo de cifrado homomórfico, anunciando que es para una mejor privacidad y seguridad del usuario.
Psst! 1Password ahora te permite compartir contraseñas con solo un enlace
Un administrador de contraseñas es una excelente manera de lidiar con la cantidad desbordante de información de inicio de sesión con la que todos tenemos que lidiar como parte de la vida moderna de Internet.
Revisión de ZenMate VPN: meditando en su privacidad
ZenMate VPN es una opción popular entre los usuarios, que anuncia una política de no registro y una funcionalidad adicional a través de las extensiones del navegador. Si desea saber si vale la pena su tiempo, asegúrese de leer la revisión completa de ZenMate VPN para ver nuestro veredicto.
¿Qué es Endpoint Security y por qué es importante?
Los ataques de malware están aumentando y se están volviendo más avanzados últimamente. Las organizaciones enfrentan el desafío de proteger constantemente sus redes de TI contra las amenazas cibernéticas.
¿TikTok está prohibido en los Estados Unidos?
La aplicación para compartir videos TikTok es un fenómeno. Desde su inicio en 2017, la red social tiene casi 90 millones de usuarios activos en los EE. UU. Y la aplicación se ha descargado aproximadamente dos mil millones de veces.
Norton y Avast Merge: ¿Qué significa esto para la seguridad en línea?
En agosto de 2021, se anunció una fusión entre NortonLifeLock y Avast.
¿Cuál fue el impacto del hack de SolarWinds?
Los incidentes de piratería siempre dominan las noticias, y con razón. Son una prueba de que nadie está a salvo, especialmente cuando la víctima es una gran corporación con un sofisticado sistema de ciberseguridad. Un hack que tuvo un impacto sustancial en el panorama de la ciberseguridad fue el hack de SolarWinds.
¿Qué es la seguridad basada en virtualización en Windows?
La seguridad basada en virtualización ha sido una característica de Windows 10 durante años. Pasó desapercibido para muchas personas porque Microsoft no lo estaba haciendo cumplir; sin embargo, esto va a cambiar con Windows 11.
¿Qué VPN admiten WireGuard?
WireGuard es un protocolo VPN relativamente nuevo que protege sus actividades en línea utilizando criptografía de última generación. Su objetivo es ofrecer más privacidad, velocidades de conexión más rápidas y ahorrar más energía que los protocolos existentes.
4 tipos de intermediarios de datos que debe conocer
Todo el mundo parece querer sus datos personales. Siempre con la intención de venderle algo, las empresas se apresuran a que compruebe sus productos. Pero con Internet lleno de un flujo interminable de opciones, brindar una experiencia personalizada al cliente es la única forma de diferenciarlos.
Microsoft mitigó uno de los ataques DDoS más grandes jamás registrados: esto es lo que sucedió
El 11 de octubre de 2021, Microsoft anunció que a fines de agosto, casualmente se defendió de un DDoS masivo de 2.4Tbps en su servicio Azure, sin apenas tiempo de inactividad para sus millones de usuarios en todo el mundo.
DNS sobre HTTPS: ¿el DNS cifrado es más lento?
Al elegir la conexión a Internet y el protocolo de seguridad correctos, muchos factores pueden influir en su decisión, desde qué tan fácil y conveniente es implementarlo, qué tan seguro mantiene sus datos y la velocidad de conexión general.
iOS 15 incluye una VPN oculta para suscriptores de iCloud (más o menos)
Apple tiene como objetivo cambiar la forma en que navega por la web en su iPhone con su nueva actualización de software iOS 15. Su iPhone ahora puede enmascarar su dirección IP y garantizar el anonimato completo con una función llamada Retransmisión privada. Por lo tanto, si estaba pagando por una VPN únicamente por una navegación segura, puede cancelar su suscripción ahora.
Qué significa la unidad de cifrado E2E legislativa de la UE para las aplicaciones de mensajería cifrada
Si es uno de los 1.600 millones de usuarios de WhatsApp, ya está utilizando el cifrado de extremo a extremo (E2EE). Esta forma segura de comunicación significa que cualquier mensaje que envíe a alguien solo puede ser leído por el destinatario; dichos mensajes de chat no pueden ser interceptados por terceros, incluidos gobiernos y delincuentes.
Bitwarden vs. LastPass: ¿Cuál es el mejor administrador de contraseñas para usted?
Tanto LastPass como Bitwarden son excelentes administradores de contraseñas en términos de seguridad, características y planes. Sin embargo, si tuvieras que elegir entre los dos, ¿cuál saldría ganando?
Cómo configurar códigos de autenticación de respaldo para su cuenta de Google
Los códigos de respaldo brindan una manera fácil de volver a ingresar a su cuenta de Google. Actúan como la última línea de defensa para volver a iniciar sesión en su cuenta de Google si ha perdido su teléfono, no puede recibir mensajes de Google o no puede obtener un código de la aplicación Google Authenticator.
¿Es seguro su escáner de código de barras o oculta el malware de Android?
Los códigos de barras son una de las mejores formas de compartir datos en una superficie física. Todo lo que una persona interesada tiene que hacer es escanear el código directamente en su teléfono inteligente para acceder a un sitio web o aplicación.
¿Qué es el marco de ciberseguridad del NIST?
El almacenamiento de información en línea se ha convertido en la norma. Más organizaciones están remolcando esta parte para seguir siendo relevantes en esta era de interconectividad.
NordVPN vs. ExpressVPN: ¿Qué VPN debería usar en 2021?
Si desea invertir en una VPN, NordVPN y ExpressVPN son opciones obvias. Ambos ofrecen altas velocidades y ambos tienen un largo historial de comentarios positivos de los clientes.
Psst! 1Password ahora te permite compartir contraseñas con solo un enlace
Un administrador de contraseñas es una excelente manera de lidiar con la cantidad desbordante de información de inicio de sesión con la que todos tenemos que lidiar como parte de la vida moderna de Internet.
¿Qué son las pruebas de penetración y cómo mejoran la seguridad de la red?
Al configurar un nuevo sistema de seguridad, debe asegurarse de que funcione correctamente con la menor cantidad de vulnerabilidades posible. Cuando se trata de activos digitales por valor de miles de dólares, no puede darse el lujo de aprender de sus errores y solo llenar los vacíos en su seguridad que los piratas informáticos explotaron anteriormente.
Revisión de ZenMate VPN: meditando en su privacidad
ZenMate VPN es una opción popular entre los usuarios, que anuncia una política de no registro y una funcionalidad adicional a través de las extensiones del navegador. Si desea saber si vale la pena su tiempo, asegúrese de leer la revisión completa de ZenMate VPN para ver nuestro veredicto.
¿Qué es Endpoint Security y por qué es importante?
Los ataques de malware están aumentando y se están volviendo más avanzados últimamente. Las organizaciones enfrentan el desafío de proteger constantemente sus redes de TI contra las amenazas cibernéticas.
¿TikTok está prohibido en los Estados Unidos?
La aplicación para compartir videos TikTok es un fenómeno. Desde su inicio en 2017, la red social tiene casi 90 millones de usuarios activos en los EE. UU. Y la aplicación se ha descargado aproximadamente dos mil millones de veces.
Norton y Avast Merge: ¿Qué significa esto para la seguridad en línea?
En agosto de 2021, se anunció una fusión entre NortonLifeLock y Avast.
¿Cuál fue el impacto del hack de SolarWinds?
Los incidentes de piratería siempre dominan las noticias, y con razón. Son una prueba de que nadie está a salvo, especialmente cuando la víctima es una gran corporación con un sofisticado sistema de ciberseguridad. Un hack que tuvo un impacto sustancial en el panorama de la ciberseguridad fue el hack de SolarWinds.
¿Qué VPN admiten WireGuard?
WireGuard es un protocolo VPN relativamente nuevo que protege sus actividades en línea utilizando criptografía de última generación. Su objetivo es ofrecer más privacidad, velocidades de conexión más rápidas y ahorrar más energía que los protocolos existentes.