Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

Pen testing e ingeniería social, ¿sí o no?

Incidentes como el de WannaCry demuestran que es necesario ejecutar pruebas de ingeniería social en las organizaciones, ya sea como parte de un pentest o como proyectos separados.

Hace unas semanas discutía con un amigo del trabajo sobre si era correcto o no ejecutar pruebas de ingeniería social durante los proyectos de pruebas de penetración (pen testing). Mi amigo defendió el que no es correcto realizarles, basándose en que ejecutar pruebas de ingeniería social es atacar a las personas directamente, lo cual les afecta de forma directa, al mismo tiempo que lo convierte en riesgoso y poco ético para quién las ejecuta. Sin embargo, yo defendí el que es necesario ejecutarlas debido a que considero que las pruebas de ingeniería social ayudan a evaluar que los procesos de una organización se ejecuten de forma correcta, más allá del cumplimiento y el papel.

Los recientes sucesos del ransomware WannaCry y sus afectaciones a nivel mundial me han llevado a defender aún más mi punto, y detallar por qué es necesario ejecutar pruebas de ingeniería social en las organizaciones, ya sea como parte de una prueba de penetración o como proyectos separados, incluso como pruebas relacionadas a los programas de concientización de la seguridad que muchas organizaciones llevan a cabo para alinearse a los estándares de la serie ISO 27000 y otras normas.

Las pruebas de penetración, desde sus diferentes enfoques, ayudan a evaluar de forma real los riesgos inherentes en los controles de seguridad implementados en las organizaciones, ya sea que estos hayan sido implementados de forma correcta o incorrecta.

Sin embargo, a un nivel más alto, estos controles no son esfuerzos aislados a fin de aumentar la seguridad de una organización, sino que derivan de políticas, procesos y procedimientos, desarrollados en las organizaciones a fin de reducir esas brechas de seguridad.

Dichas políticas y procesos pueden ser realmente implementados a un nivel muy global. Probablemente el ejemplo más claro y sencillo para mencionar es la Política de Contraseñas.

La política de contraseñas usualmente se aplica a nivel global dentro de las organizaciones, permeando todos los procesos y procedimientos, y por ende afectando a todos los miembros. Esta política se refleja en todos los accesos, desde firmarnos en nuestra computadora para poder revisar el correo diariamente, hasta los más especializados, como las community strings en los dispositivos de red, consolas web de dispositivos, contraseñas de redes inalámbricas, y un largo etcétera.

Al ser una política tan importante, su evaluación y control resulta complicado. Podría decirse que es sencillo controlar su implementación dentro de un entorno Windows, en donde a través de establecer una configuración especifica en el Dominio Windows, es posible forzar su uso entre los usuarios, servicios y aplicaciones que se autentiquen por este medio; sin embargo no es lo mismo cuando se refiere a dispositivos, incluso aquellos de uso tan común como impresoras y teléfonos VoIP.

Si este sencillo ejemplo hace evidente la complejidad para evaluar controles tan importantes y tangibles, imaginemos ahora el dilema de evaluar controles implementados a nivel política y proceso que no necesariamente derivan en un control tecnológico, que pueda ser tangible para un pentester.

Tal vez es el caso de los ransomware, como WannaCry o cualquier otro. Este y otros malwares explotan debilidades humanas, como el navegar por sitios que algunas veces escapan hasta a las más estrictas políticas de navegación, o que simplemente las organizaciones no cuentan con los recursos para comprar el número de licencias necesario para bloquear sitios potencialmente maliciosos. O que explotan vulnerabilidades comunes presentes en servidores, como podría ser un open relay en un servidor de correo para saltarse cualquier lista negra establecida en los filtros de correo y hacer llegar binarios infectados hacia los usuarios dentro de las organizaciones; incluso podría ser enviado desde los servidores expuestos a internet de la propia organización.

A pesar de que el pentester en muchos escenarios puede crear escenarios válidos en los cuales evaluar estos controles sea posible, existe una estrecha pero importante línea en donde las debilidades siguen cayendo en la gente, y con la gente no quiero decir la mal llamada “Capa 8”, sino que al final la gente se resume a políticas, procesos y procedimientos que no están siendo llevados de forma correcta y que hacen susceptible a la organización a tener debilidades que afecten a todos los activos de la organización.

De esta forma creo que es más que justificable la necesidad de ejecutar pruebas de ingeniería social, que mezclen las evaluaciones técnicas para simular ataques dentro de la infraestructura y aplicaciones de las organizaciones; pero también pruebas que evalúen la forma en que los miembros de las organizaciones ejecutan sus tareas diarias, que al final derivan de las políticas, procesos y procedimientos.

Sin duda es un riesgo para el pentester salir de la zona segura, detrás de una pantalla en donde lo máximo que puede suceder, en la mayoría de los casos es que su IP sea bloqueada, a pararse frente a una persona que puede terminar llamando a un guardia de seguridad y pasar un mal rato mientras se escala el asunto a la persona pertinente para verificar la autorización de las pruebas. Pero en mi opinión, los C-level de las organizaciones estarán muy agradecidos de haber agregado ese valor extra a un proyecto –que les ayudará a redefinir su estrategia de seguridad de una forma más integral– que únicamente resumiéndose a integrar más software y hardware.

¿Cuál es su opinión acerca de este tipo de pruebas? Sin duda considero que es un tema muy debatible.

Este artículo se actualizó por última vez en mayo 2017

PRO+

Contenido

Encuentre más contenido PRO+ y otras ofertas exclusivas para miembros, aquí.

Guía Esencial

Guía Esencial: WannaCry y lo que aprendimos de este ataque de ransomware

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Enviando esta solicitud usted acepta recibir correos electrónicos de TechTarget y sus socios. Si usted reside afuera de Estados Unidos, esta dando autorización para que transfiramos y procesemos su información personal en Estados Unidos.Privacidad

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close