Tecnología

Pentesting contra los ataques informáticos

Test de Penetración

Alfio Saglimbeni
08-01-2020
Tecnología
Pentesting para asegurar la información
Tecnología

“…La felicidad es cuestión de ignorancia…”

Alguien que era feliz.

 
El ser humano es muy feliz hasta que inicia su proceso de aprendizaje. Cuando el niño empieza a develar las verdades de su entorno inicia su proceso de dejar de ser feliz; para muestra una pregunta de ejemplo ¿A quién se le movió su mundo cuando le contaron la verdad de los regalos debajo del árbol de navidad?
 
Un administrador de sistemas debe ser la persona más infeliz de la faz de la tierra, ya que conoce o por lo menos sospecha que sus sistemas pueden ser objeto de ataques informáticos. Para minimizar este estrés existen opciones que le permiten conocer la realidad de su entorno informático y de una forma u otra reducir posibles brechas de seguridad.
 
Un "Test de Penetración" o  Pentesting, es un ataque controlado a un sistema de información, cuyo estricto objetivo es el de encontrar las debilidades o vulnerabilidades de seguridad de éste, además de los posibles accesos a las funcionalidades y datos de estos sistemas.
 
Este tipo de ataques es de suma importancia, ya que le permite conocer al responsable de los sistemas de forma veraz la posibilidad cierta del éxito de una ofensiva de este tipo. De existir esta posibilidad, se puede identificar las vulnerabilidades de alto riesgo y a la vez, conocer las debilidades de menor riesgo que posiblemente siendo “explotadas” en un patrón determinado puedan romper la seguridad del sistema.
 
Si bien el administrador de sistemas cuenta con herramientas o software para detectar o analizar vulnerabilidades, algunas podrían ser difíciles o sencillamente imposibles de detectar. Por último y no menos importante este tipo de examen permite comprobar qué nivel de experiencia, competencias y aptitudes tienen las personas responsables de la defensa de los sistemas de información.
 
En Venezuela, por ejemplo las instituciones sometidas a las normativas emanadas por la SUDEBAN, se encuentran obligadas a realizar este tipo de pruebas por lo menos una vez al año.
 
Toda empresa que posea servicios informáticos, sin importar su tamaño, debería prestarle mucha atención al grado de seguridad que se le presta a su información. El hecho de que la empresa no posea servicios en la Internet no la excluye de un posible ataque, ya que los atacantes poseen diversos medios para encontrar accesos a la red interna de la compañía, por lo que ninguna empresa se encuentra exenta de ser víctima de un ciber ataque y alejarse de esa felicidad que nos regala la ignorancia.
 
En próximas entregas más información.