El análisis pentester bajo la metodología PTES es una herramienta esencial para identificar y mitigar los riesgos de seguridad en las organizaciones. Al llevar a cabo pruebas de penetración de manera sistemática y estructurada, las empresas pueden descubrir posibles vulnerabilidades antes de que sean explotadas por atacantes malintencionados. Esto permite implementar medidas adecuadas para proteger los sistemas y datos sensibles, garantizando así la confidencialidad, integridad y disponibilidad de la información.

En este artículo, exploraremos en detalle la metodología PTES y cómo se aplica en el análisis pentester. Exploraremos cada una de las fases, bajo nuestra filosofía en Lazarus Venezuela, las técnicas y herramientas utilizadas, así como los desafíos y consideraciones clave a tener en cuenta, con el fin de entender cómo puede ayudar a las organizaciones a fortalecer su postura de seguridad.

¿Qué es la Metodología PTES?

La metodología PTES, es un marco de trabajo desarrollado para realizar pruebas de penetración de manera sistemática y exhaustiva. Esencialmente, las pruebas de penetración son simulaciones de ataques a sistemas informáticos con el objetivo de identificar y corregir vulnerabilidades antes de que un atacante real pueda explotarlas.

El Estándar conocido como PTES, se estructura en siete (7) secciones fundamentales que conforman la base de esta metodología para la realización de pruebas de penetración. A continuación, te explicaremos cada una de estas secciones con las consideraciones específicas que aplicamos en Lazarus:

1. Interacciones previas al compromiso: En esta fase se trata de establecer la comunicación entre el equipo de prueba y el cliente para definir y acordar los objetivos, expectativas, límites y requisitos legales del proyecto (tiempo, recursos, costos, tratamiento de la información, firma de contrato de servicio, entre otros), conocido como el alcance del proyecto.

2. La recogida de información: Se recopila la mayor cantidad de información posible sobre el objetivo. Esto puede incluir detalles del sistema, configuraciones de red, empleados y otra información que pueda ser útil para la prueba de penetración.

3. Modelado de amenazas: Durante esta fase, se identifican y clasifican las posibles amenazas para el sistema. Se consideran factores como la probabilidad de un ataque y el impacto potencial.

4. Análisis de vulnerabilidad y brechas de seguridad: Esta fase implica el uso de herramientas y técnicas para identificar y analizar las vulnerabilidades en el sistema objetivo.

4.1- Soluciones a los hallazgos encontrados: Una vez identificadas las vulnerabilidades y las brechas de seguridad, el siguiente paso es desarrollar e implementar soluciones para abordar estos problemas.

4.2- Reescaneo o retesting del sistema para confirmar cierre de vulnerabilidades y brechas de seguridad. Implementadas las soluciones, es importante realizar un reescaneo del sistema para confirmar que las vulnerabilidades y brechas de seguridad se han cerrado correctamente.

5. Explotación: En esta fase, el equipo de prueba intenta explotar las vulnerabilidades identificadas para ganar acceso al sistema o a los datos. La fase de explotación, si bien puede ser de interés necesario para verificar su existencia, (hoy en día puede ser confirmado a través de scripts basados en software libre en la fase análisis de vulnerabilidades), por ejemplo con herramientas como Nmap, Metasploit, además de la creación o desarrollo de un sinfín de scripts para la confirmación de vulnerabilidades que pueden ser hallados en portales como GitHub, somos del pensamiento que la explotación debe llevarse a cabo con extremo cuidado en condiciones técnicas y jurídicas especiales, y con especial énfasis de cuidado cuando se trata de empresas dentro del marco de seguridad de Estado en Venezuela. Estas son algunas recomendaciones que se toman en cuenta:

1. Consentimiento Informado: Antes de iniciar cualquier actividad de explotación, se debe obtener debida autorización de la organización. Este consentimiento debe ser explícito y detallado, cubriendo todos los aspectos de la prueba de penetración, incluyendo la explotación en el caso que así se requiera.

2. Marco Legal: Es importante asegurarse de que todas las actividades de prueba estén alineadas con las leyes y regulaciones locales. En el caso de Venezuela, esto puede requerir contratos jurídicos especiales que aborden las particularidades del marco de seguridad de Estado.

3. Minimizar el Daño: Durante la fase de explotación y por estar presente una red en producción, se debe tener cuidado para minimizar cualquier daño potencial al sistema o a los datos. Esto puede implicar limitar la explotación a horarios de baja actividad o utilizar copias de seguridad para garantizar el resguardo de los datos.

Nota: Es importante tener en cuenta que estas pruebas de intento de explotación de sistema se deben realizar solo en servidores espejos que claramente no estén en producción. Aun así, se debe tomar en consideración que la red a través de la cual se va a realizar el lanzamiento de estos códigos intrusivos a los servidores espejos, es la misma red en producción desde donde se encuentran los demás servidores sensibles, y que todo ello, puede estar dentro del marco de seguridad de Estado.

Aquí, estimado lector, se halla la explicación de la necesidad de adoptar con especial atención medidas técnicas, jurídicas al considerar la idiosincrasia única y los aspectos culturales de Venezuela. Este enfoque meticuloso subraya la importancia de una implementación cuidadosa y adaptada a las realidades locales para garantizar la eficacia y receptividad de dichas medidas.

4. Informe Detallado: Una vez completada la fase de explotación, se debe preparar un informe detallado que explique qué vulnerabilidades se explotaron, cómo se hicieron y qué impacto tuvieron. Este informe ayudará a la organización a entender las áreas que necesitan ser reforzadas tomando en cuenta los aspectos de inteligencia y contra inteligencia corporativas que puedan estar implícitas en operaciones no autorizadas.

En cuanto al alcance económico, estamos conscientes que llevar a cabo una prueba de penetración puede implicar costos iniciales. Sin embargo, estos costos pueden ser vistos como una inversión a largo plazo. Identificar y corregir vulnerabilidades puede evitar incidentes de seguridad costosos en el futuro, como violaciones de datos o ataques cibernéticos, que pueden tener un impacto financiero significativo, además del daño a un sector comunitario y comprometer la reputación de la organización. Por lo tanto, a pesar de los costos iniciales, las pruebas de penetración pueden resultar en ahorros significativos a largo plazo.

6. Post Explotación: La fase de post-explotación en la prueba es crítica y potencialmente peligrosa, ya que es el punto donde después de haber ganado acceso a los sistemas, se puede realizar diversas actividades maliciosas, como escalar privilegios, manipulación o alteración de sistemas, la instalación de software malicioso para mantener el acceso o incluso la utilización del sistema comprometido para lanzar ataques a otros.

Es importante destacar que estas actividades si no están debidamente autorizadas son ilegales y están fuertemente sancionadas por leyes en casi todos los países. En Venezuela, la Ley Especial Contra los Delitos Informáticos sanciona el acceso no autorizado a sistemas informáticos, así como la alteración, destrucción o robo de datos. Además, muchas jurisdicciones también sancionan el uso de sistemas comprometidos para perpetrar otros delitos, como la distribución de malware o la realización de ataques de denegación de servicio, por ello en Lazarus nos aseguramos que esta fase sea particularmente autorizada mediante contrato especial de servicio y confidencialidad.

7. Informes: La última fase involucra la creación de un informe detallado que incluye todos los hallazgos, las pruebas realizadas, las vulnerabilidades descubiertas, las recomendaciones para corregirlas y otros detalles relevantes.

Es importante enfatizar que, aunque el estándar PTES no proporciona ninguna normativa técnica específica sobre cómo llevar a cabo un pentest real, existen diversas directrices y recomendaciones que pueden ser adaptadas según el país en el que se realice el estudio. Estas pautas pueden ayudar a “tropicalizar” el proceso de análisis pentester para que se ajuste a las particularidades y regulaciones legales locales. Esto permite un enfoque más eficaz y relevante en el escenario específico en el que se lleva a cabo el pentest.

Fuente: http://www.pentest-standard.org/index.php/Main_Page.

Tropicalización del Pentest

Cuando nos referimos a la «tropicalización», estamos enfocándonos en factores que, en distintos grados, definen el proceso de ejecución de un pentest, más allá del alcance requerido por el cliente. A continuación, presentamos los factores que, según nuestra experiencia y juicio, derivados de trabajos realizados en Venezuela y en otros países latinos, consideramos necesarios para la adaptación general del proceso:

1.- Aspectos Jurídicos

Los aspectos jurídicos representan un factor crucial a considerar tanto en Venezuela como en cualquier otra nación durante la realización de un pentest. La normativa legal existente puede influir notablemente en la ejecución de estas pruebas, determinando lo que es permisible y lo que no. Por lo tanto, el conocimiento y la comprensión de estas leyes son esenciales para llevar a cabo un pentest efectivo y conforme a las regulaciones establecidas. Específicamente en Venezuela debemos tener en cuenta lo siguiente:

1.1- Ley Especial contra los Delitos Informáticos: En un pentest, o prueba de penetración, el objetivo es identificar y explorar vulnerabilidades en un sistema para evaluar su seguridad. Sin embargo, este proceso puede ser potencialmente disruptivo, especialmente cuando se trabaja en forma equivocada con servidores en producción, cuando el deber ser es servidores espejo.

En el caso de los servidores en producción, estos son los sistemas que están en uso activo y proporcionan servicios a los usuarios finales. Cualquier interrupción de estos sistemas puede tener un impacto directo en las operaciones del negocio y en la experiencia del usuario.

Por otro lado, los servidores espejo son réplicas exactas de los servidores de producción que se utilizan para pruebas y desarrollo. Aunque no están en uso activo, cualquier cambio o problema en estos servidores puede afectar su capacidad para replicar con precisión el entorno de producción.

1.2- Consecuencias jurídicas de la actividad Pentest en empresas que se encuentran en el marco de la Seguridad de Estado: El pentesting debe realizarse dentro de los límites precisamente definidos en las autorizaciones, respetando el marco legal que protege la información clasificada y la infraestructura crítica nacional. La violación de estos límites puede llevar a consecuencias legales graves, incluidas sanciones penales y civiles.

1.3- Importancia jurídica de la separación de las pruebas de explotación y post-explotación: Se deben establecer límites claros en las responsabilidades para facilitar la rendición de cuentas en el caso de que ocurran incidentes durante el proceso de prueba, ayudando a discernir entre actividades autorizadas y conductas potencialmente maliciosas.

2.- Aspectos culturales e idiosincrasia del país en la ejecución del análisis PTES.

La cultura y las peculiaridades idiosincráticas de una nación pueden tener un impacto significativo en una variedad de procesos y métodos, incluyendo la realización de análisis de penetración o Pentest. En el contexto venezolano, estas características nacionales pueden influir de forma notable en la ejecución de las pruebas de penetración, ya sea en términos de metodología, percepción de seguridad, o en la interpretación de los resultados. Así tenemos:

2.1- Malas prácticas falsamente perpetuadas como buenas a nivel nacional sin detallar sus consecuencias jurídicas.

2.2- Falta de cultura de los usuarios en general con respecto a seguridad de la información.

3.- Aspectos culturales e idiosincrasia de la empresa a la cual se le ejecuta el análisis PTES

Los aspectos culturales e idiosincráticos de la empresa son fundamentales en general por:

3.1-La poca importancia y entendimiento por parte de la alta gerencia de las consecuencias ante un incidente de ciberseguridad. Esta situación puede llevar a que la organización esté mal preparada para enfrentar ataques cibernéticos. La alta gerencia juega un papel fundamental en la prevención de estos riesgos, ya que su apoyo y compromiso son críticos para establecer una cultura de seguridad, asignar recursos adecuados para la protección cibernética y desarrollar estrategias efectivas de respuesta ante incidentes.

Lazarus, a través de su enfoque de Metodología PTES, comprende la importancia crítica de la ciberseguridad y actúa alineando todas sus actividades con las normativas legales y éticas. Esta filosofía garantiza que todas las pruebas de penetración se realicen con el pleno conocimiento y consentimiento de la organización cliente. Antes de cada prueba, Lazarus informa detalladamente a la alta gerencia sobre las acciones que se llevarán a cabo, asegurándose de exponer correctamente la importancia de las pruebas y las posibles implicaciones de las mismas.

En resumen, el enfoque Lazarus a la metodología PTES asegura que todas las pruebas de penetración se realicen de una manera que se respete tanto la importancia de la ciberseguridad como el marco legal y ético que rige estas actividades.

Para más contenido como este, únete a nuestra comunidad de Informática Forense, Pentester, Osint y Jurídico.

https://t.me/LAZARUS_VENEZUELA