Técnicas avanzadas de pruebas de intrusión

Abstract

RESUMEN En una era en donde los servicios disponibles a los consumidores son cada vez más y en donde la velocidad y el volumen de información es cada vez mayor, los ataques a los sistemas no se hacen esperar, ataques que aunque existan maquinas para proteger la información desde el perímetro empresarial siguen siendo llevados a cabo a causa de la inexperiencia y el desconocimiento por parte de los usuarios y los administradores que en su afán por hacer más ágil la prestación del servicio pasan por alto el aseguramiento de la información y los riesgos que esto conlleva. Aunque el grado de concientización por parte de las empresas se ha ido incrementando estos últimos años, aún es posible encontrar empresas que no emplean métodos seguros para el almacenamiento y monitoreo de la información lo que eventualmente los llevará a pérdidas considerables tanto económicas como de imagen e incluso humanas. Es por esto que las empresas deben conocer cuáles son los métodos más adecuados para el aseguramiento de su información, ya que aunque el nivel de seguridad a nivel empresarial ha incrementado, aún es visto como algo innecesario por lo que se subestima su valor. La realización de pruebas de intrusión es solo una forma de determinar el estado de seguridad de las plataformas tecnológicas, ya que el nivel de seguridad final será determinado por en gran medida por el nivel de conciencia de los usuarios y por la calidad y seguridad de sus prácticas laborales y sociales. Las empresas deben de conocer los riesgos derivados de la mala administración de la información para así tomar cartas en el asunto y generar soluciones que satisfagan los requerimientos de seguridad que implica la información hoy en día, el desarrollo de pruebas es uno de los métodos más efectivos y utilizados para la detección y revisión de problemas de seguridad pero que de no contar con una metodología clara, podría llevar a las empresas por caminos errados muchas veces incrementando el nivel de exposición al riesgo por falsas creencias de seguridad o por falta de completitud en su aplicación.

ABSTRACT

In an era where services available to customers are increasingly growing and where the speed and size of the information is growing day by day, the attacks that are being performed on systems are no longer being held back, attacks that even with the implementation of equipment that protects the information from the perimeter of the network are being successful due to the lack of knowledge that lead the systems administrators to think more about the agility of the service than the security of the information. Even when the degree of importance on the businesses side has increased on the last years, still is common to find businesses that do not implement safe ways for saving and monitoring their information that later on leads them to important loses. Is because of this that businesses should know which are the safest ways to store their information, because even when the level of security within businesses has been increasing lately it is still seen as something not necessary for the business there for underestimating its value. Penetration tests are only a way to determine the state of the system’s security in an specific time period, because the level of security will always be determined by the level of conscience of the users and the quality and security of their social practices. Businesses should know the risks derived of the bad administration of the information in order for them to solve the issues in a way that satisfies the security requirements that information demands nowadays, penetration tests are one of the most effective and used ways to detect and solve security issues but if these are not conducted following a specific methodology it could lead businesses through wrong paths most of the time increasing the level of insecurity.