La industria de la ciberseguridad está protagonizando un increíble aumento exponencial. Según el informe de Digital Trust Survey , elaborado por PwC a partir de la opinión de más de 3,000 directivos y responsables de tecnología en compañías de todo el mundo, el 55% tienen previsto incrementar sus presupuestos en ciberseguridad y el 51% espera reforzar sus equipos con nuevas contrataciones a tiempo completo. Aunque hace falta mucho por hacer, poco a poco las organizaciones tienen más conciencia de la importancia de contar con una estrategia de seguridad informática que incluya tanto la inversión en plataformas, desarrollo de procesos, normatividad y, sobre todo, cultura de la información. Una estrategia de seguridad informática, debe enfocarse en anticipar, prevenir, detectar, responder y recuperarse de las amenazas, y uno de los primeros pasos que cualquier empresa debe hacer es tener visibilidad de qué tan vulnerable es hoy en día ante alguna amenaza de seguridad informática, y para esto, las organizaciones se basan en la ejecución de pentesting.
El Pentesting es una abreviatura formada por dos palabras “penetration” y “testing”, y es una práctica o técnica que consiste en atacar diferentes entornos o sistemas con la finalidad de encontrar y prevenir posibles fallos en el mismo. En otras palabras, es una prueba basada en ataques simulados que determina a qué peligros está expuesto el negocio, las repercusiones en los fallos de seguridad y cuál es el nivel de eficiencia de sus defensas a todas horas. Asimismo, obliga a la creación de una serie de protocolos y un simulacro de actuación que, en caso de un ataque real, permita saber cómo actuar.
Para realizar un pentesting, se colecta información del negocio desde la perspectiva del hacker, después se identifican puntos de entrada vulnerables y, finalmente, abren una brecha en el sistema y reportan cómo lo hicieron. Esta técnica se divide en tres tipos:
En conclusión, la importancia del pentesting radica en probar, de forma controlada, las mismas herramientas que emplearían los ciberdelincuentes en un ataque informático contra la empresa. Su finalidad es encontrar potenciales vulnerabilidades en un sistema, servidor o, en general, en una estructura de red. De esta forma, analistas de tecnología tendrán la posibilidad de conocer más a fondo sus debilidades y dónde necesitan mejorar. Los esfuerzos e inversiones en seguridad de la información se centrarán en las debilidades de la corporación, blindando la estructura contra cualquier potencial cuello de botella de seguridad