Una prueba de penetración, o pentest, es un ataque a un sistema informático con la intención de encontrar las debilidades de seguridad y todo lo que podría tener acceso a ella, su funcionalidad y datos.[1][2] El proceso consiste en identificar el o los sistemas del objetivo. Las pruebas de penetración pueden hacerse sobre una "caja blanca" (donde se ofrece toda la información de fondo y de sistema) o caja negra (donde no se proporciona información, excepto el nombre de la empresa). Una prueba de penetración puede ayudar a determinar si un sistema es vulnerable a los ataques, si las defensas (si las hay) son suficientes y no fueron vencidas.[3]
Los problemas de seguridad descubiertos a través de la prueba de penetración deben notificarse al propietario del sistema.[4] Con los resultados de las pruebas de penetración podremos evaluar los impactos potenciales a la organización y sugerir medidas para reducir los riesgos[5]
Las pruebas de penetración son valiosas por varias razones:
A mediados de la década de 1960, la creciente popularidad de los sistemas informáticos de tiempo compartido accesibles a través de líneas de comunicación telefónica creó nuevas preocupaciones de seguridad. En junio de 1965, por ejemplo, varios de los principales expertos en seguridad informática celebraron una de las primeras grandes conferencias sobre seguridad de sistemas, organizada por la System Development Corporation (SDC), contratista del gobierno de los Estados Unidos.[6] Durante la conferencia, se observó que un empleado de la SDC había sido capaz de evadir fácilmente las protecciones añadidas al sistema informático de tiempo compartido AN/FSQ-32 de la SDC. De este modelo de computadoras solo fueron manufacturadas dos unidades, la otra estaba en manos de la Agencia Central de Inteligencia de los Estados Unidos y evidentemente que era preocupante este suceso acontecido.[7]
Con la esperanza de que el estudio adicional sobre la seguridad de sistemas fuera de utilidad, los asistentes pidieron que "se realicen estudios en áreas tales como romper protecciones de seguridad en el sistema de tiempo compartido." En otras palabras, los participantes de la conferencia iniciaron una de las primeras peticiones formales para usar la penetración de computadoras como una herramienta para el estudio de la seguridad de sistemas.[8]
En la primavera de 1967 muchos de los especialistas en informática más importantes del país se reunieron de nuevo para discutir sus preocupaciones acerca de la seguridad de sistemas. Durante esta conferencia, los expertos en seguridad informática Willis Ware, Harold Petersen y Rein Tern, todos de la Corporación RAND, y Bernard Peters de la Agencia de Seguridad Nacional (NSA), utilzaron la frase "penetración" para describir un ataque contra un sistema informático. En un documento, Ware refiere a los sistemas de tiempo compartido de acceso remoto de los militares, y advirtió que "Es necesario realizar intentos deliberados sobre estos sistemas." Sus colegas Petersen y Gire compartieron las mismas preocupaciones, observando que los sistemas de comunicación en línea "... son vulnerables a las amenazas a la privacidad," incluyendo "penetración deliberada". Bernard Peters de la NSA hizo el mismo punto, insistiendo en que la entrada y salida de datos de las computadoras "podrían proporcionar grandes cantidades de información a un programa de penetración." [9]
La amenaza que la penetración de computadoras planteaba, fue delineada en un importante reporte organizado por el Departamento de Defensa de los Estados Unidos de América (DoD) a fines de 1967. En esencia, funcionarios del Departamento de Defensa recurrieron a Willis Ware para dirigir un grupo de trabajo de expertos de la NSA, la CIA, el DoD, la academia y la industria para evaluar formalmente la seguridad de los sistemas informáticos de tiempo compartido remotamente accesibles. Apoyándose en varios trabajos de investigación presentados durante la primavera de 1967 en la "Joint Computer Conference", el grupo de trabajo confirmó en gran medida la amenaza a la seguridad de los sistemas por medio de la penetración de computadoras. Aunque el informe de Ware fue inicialmente de carácter clasificado, muchos de los expertos en informática más importantes del país identificaron rápidamente el estudio como el documento definitivo sobre la seguridad informática.[9]
Para tener una mejor comprensión de las debilidades del sistema, el gobierno federal y sus contratistas pronto comenzaron a organizar equipos de penetradores, conocidos como equipo tigre,[10] para utilizar la penetración de computadoras "pentesting" como medio para la seguridad del sistema de prueba. Deborah Russell y GT Gangemi, declararon que durante la década de 1970 los equipos tigre aparecieron por primera vez.[11] Uno de los principales estudiosos de la historia de la seguridad informática, Donald MacKenzie, señala igualmente que "RAND había hecho algunos estudios de penetración de sistemas de tiempo compartido en nombre del gobierno ."[12] Jeffrey R. Yost del Instituto Charles Babbage, en su obra sobre la historia de la seguridad informática, también reconoce que tanto la Corporación RAND y COSUDE habían "participado en algunos de los primeros llamados 'estudios de penetración 'para tratar de infiltrarse en sistemas de tiempo compartido con el fin de poner a prueba su vulnerabilidad ".[13]
En los años siguientes, el uso de la penetración de las computadoras "Pentesting" como una herramienta para la evaluación de seguridad sólo se volvería más refinada y sofisticada. A principios de 1980, el periodista William Amplio resumió brevemente los esfuerzos de los 'equipos tigre' para evaluar la seguridad del sistema. El informe patrocinado por el Departamento de Defensa de Willis Ware había , mostrado cómo los espías podrían penetrar activamente computadoras, robar o copiar archivos electrónicos y subvertir los dispositivos que normalmente guardan información de alto secreto."[14]
La oficina de Revisión de Certificaciones de Seguridad Informática (IACRB) gestiona una certificación sobre pruebas de penetración conocida como Certified Penetration Tester (CPT). El CPT exige que el candidato apruebe un examen de opción múltiple tradicional, así como aprobar un examen práctico en la cual se requiere que el candidato lleve a cabo una prueba de penetración contra servidores en una máquina virtual[15]
Hay varias distribuciones de sistemas operativos, que están orientados a la realización de pruebas de penetración.[16] Estas distribuciones contienen un conjunto pre-instalado y preconfigurado de herramientas. Esto es útil porque el probador "tester" de penetración no tiene que buscar o instalar alguna herramienta.
Los sistemas populares son Kali Linux (sustituyendo BackTrack a partir de diciembre de 2012) basada en Debian Linux, Pentoo, basada en Gentoo Linux y WHAX basadas en Slackware Linux.[17][18] Hay muchos otros sistemas operativos especializados para pruebas de penetración, cada uno más o menos dedicados a un campo específico de pruebas de penetración.
Hoy en día, también hay una serie de distribuciones de Linux que incluyen deliberadamente una serie de sistemas operativos y de aplicaciones conocidas y pueden ser desplegados como "objetivos". Estos sistemas ayudan a los nuevos profesionales de la seguridad para tratar con las últimas herramientas de seguridad en un entorno de laboratorio. Algunos ejemplos incluyen linux (DVL), el OWASP Web Testing Environment (WTW) y Metasploit.
El proceso de pruebas de penetración, puede simplificarse en dos partes:
Algunas empresas mantienen grandes bases de datos de ataques conocidos y ofrecen productos para ver si tu sistema es vulnerable.
«Lista de software Pruebas de red Penetración». Archivado desde el original el 14 de julio de 2011. Consultado el 4 de agosto de 2016.