Esta es la tercera entrega de nuestra serie en pruebas de penetración. En esta ocasión les escribiré sobre las pruebas de penetración externas.  

Las pruebas de penetración externas son las que realizan desde “afuera” de la red interna con el objetivo de simular el accionar de un atacante que no tiene acceso a la red interna y busca obtener acceso a ella por medio de los servicios publicados por la compañía de la víctima.

El problema de hacer una prueba de penetración desde “afuera” es que “afuera” en 2021 es difícil de definir gracias a todos los servicios nube que estamos utilizando y al hecho que nuestros usuarios están trabajando la mayoría desde sus casas por medio de un VPN.

Prueba de Penetración Externa Tradicional

Características que tradicionalmente se encuentran dentro de una prueba de penetración externa:

1. Alcance compuesto por listado de IPs publicados en Internet.
2. Luego de la aprobación del cliente, el listado de IPs ofrecido por el cliente es complementado por el proceso de OSINT (obtención de información relevante abiertamente disponible en la Internet) para identificar otros activos que están publicados en la Internet sin conocimiento del cliente.
3. A partir de la información obtenida en los dos puntos anteriores empieza un ciclo de escaneo, análisis de vulnerabilidades, ataque, post ataque.

Recientemente, las pruebas de penetración externas han sido complementadas con los siguientes servicios: ataque de ingeniería social, ataques a usuarios VIP y escaneos de la Deep Web.

Ataques de Ingeniería Social

Utilizando diversos métodos de ingeniería social como phishing (por correo electrónico) o vishing (por llamada telefónica) se busca identificar a personas que son susceptibles a ataques que tengan como resultado la divulgación de información sensitiva o la ejecución de código malicioso en sus equipos empresariales.

Ataques a Usuarios VIP

Es el ataque a los “peces gordos” de una empresa en base a su presencia en redes sociales.  Igual a como lo haría un actor malicioso, el consultor analizará a profundidad los perfiles de redes sociales, cuentas de correo electrónico y demás información disponible por OSINT para de ahí buscar tratar de obtener acceso a información sensitiva de la empresa.

Escaneos de la Deep Web

Es el servicio donde el proveedor, a través de las cuentas infiltradas en foros de delincuentes en la Deep/Dark Web busca saber si hay información a la venta sobre la compañía que compró el servicio.  Ejemplo de información que puede ser encontrada a la venta:

• Cuentas de correo electrónico con credenciales probadas.
• Servicios de acceso remoto como RDP o VPN comprometidos.

Recomendaciones de Greenfence Security para Pruebas de Penetración Externa

1. Complementar una prueba de penetración externa con herramientas como Shodan que permitirán evaluar permanentemente los IPs de la empresa por nuevos servicios.
2. Realizar pruebas de ingeniería social permanentemente. Estas herramientas pueden ser encontradas a precios muy económicos de tal manera que en vez de realizar pruebas de phishing una vez al año se hagan por lo menos una vez al mes.
3. Realizar pruebas de penetración a servicios nube como Azure, GCP y AWS.

Si usted sabe que su nube Microsoft (Azure o Microsoft 365) no ha pasado por un proceso de endurecimiento de su configuración les recomendamos que antes de hacerle una prueba de penetración se realice una Evaluación de Seguridad por Greenfence Security.  Puede cotizar este servicio haciendo click aquí.

Las pruebas de penetración externas que realiza Greenfence Security siguen nuestras recomendaciones y le permiten tener una visión bastante completa de:

• La superficie de ataque que tiene su empresa debido a los servicios que publica en Internet.
• El riesgo de ingeniería social para sus colaboradores.
• Las vulnerabilidades relacionadas al uso de la nube.

¿Qué opinas sobre este tema? ¿Crees que necesitas realizar una prueba de penetración externa en tu empresa?

Si deseas más información sobre nuestro servicio de prueba de penetración puedes contactarte con nosotros y cotizar una cotización personalizada aquí. 

Importante: No olvides que puedes REGISTRARTE GRATIS en nuestro próximo Webinar sobre Pruebas de Penetración que se va a realizar el jueves 8-abr-21 a la 1:00pm haciendo click aquí. Con tu registro tendrás un DESCUENTO ESPECIAL en cualquiera de nuestros servicios.

Imagen de JanBaby vía Pixabay.com bajo licencia creative commons.