Opiniones | Opinions | Editoriales | Editorials

De zombis y pentesters

 
Picture of System Administrator
De zombis y pentesters
by System Administrator - Sunday, 27 December 2015, 4:04 PM
Group Colaboradores y Partners

De zombis y pentesters

por Fausto Cepeda González

Cuando un pentest no ofrece conclusiones claras, ni revela debilidades, siempre queda la duda de si tenemos una buena defensa o si la prueba se hizo mal.

En la película World War Z, hay una escena donde el protagonista está en la ciudad de Jerusalén, que es un sitio libre de zombis. Se puede apreciar una muralla, lo bastante sólida y alta como para contener a los muertos vivientes fuera de la ciudad, que al parecer llevan un tiempo intentando entrar sin éxito. En este punto, uno piensa que la seguridad de la muralla es fuerte y que los zombis serán incapaces de penetrarla con éxito porque no tienen las habilidades para lograrlo. Sin un ataque exitoso, nos queda la duda de si la seguridad es alta porque la muralla realmente es muy resistente, o si el ataque es débil porque los zombis son ineptos.

Unos minutos después, un ruido excesivo dentro de la ciudad pone a los zombis en un estado de excitación y se empiezan a juntar en un solo punto de la muralla; uno sobre otro empiezan a apilarse formando una especie de escalera de muertos vivientes que se vuelve cada vez más alta. Hasta que sucede lo inevitable: los monstruos son capaces de "subirse" uno sobre el otro para llegar a lo alto de la muralla y entrar en la ciudad. En este punto el éxito del ataque  es claro, así como su efectividad contra una defensa que no los detuvo y que ahora ya no parece alta y sólida, sino harto vulnerable.

Una evaluación de seguridad tipo pentest es similar al ataque de los zombis de la película. Hay un caso donde los pentesters entregan los resultados de su análisis y no hay hallazgos críticos, ni medios. Son solo resultados tipo "para su información" y qué se "recomienda" para darles solución. Allí es cuando viene la duda: ¿Los pentesters son ineptos? ¿No tienen habilidades, son ineficientes o no tienen las técnicas necesarias? O, por otro lado, ¿la infraestructura es sólida como roca y por eso no hay hallazgos graves? Es decir, ¿nos debemos alegrar por la fortaleza de nuestra muralla o nos debemos preocupar porque realmente el ataque fue débil y sin habilidades ni técnicas?

En el segundo caso, los pentesters entregan resultados. La muralla ha sido penetrada, y el interior está invadido y controlado por el enemigo. No sabemos si encontraron todos los puntos débiles, es cierto, pero al menos sabemos que hay debilidades y que pueden ser explotadas exitosamente; por lo tanto, sabemos lo que hay que tapar y arreglar. Hay un alivio, porque definitivamente fortaleceremos las defensas, y quedarán mejor que como estaban. Habrá mejoría.

Si un pentest no arroja vulnerabilidades explotables, debería ser motivo de alegría y satisfacción porque hemos tenido la habilidad de construir una muralla resistente. Pero, en el fondo, al ir a dormir, quizás cruce por nuestros pensamientos si quienes estuvieron a cargo del simulacro de penetración eran buenos, o realmente ineptos. Entonces, al tratar de conciliar el sueño, se filtrarán imágenes de muertos vivientes apilándose fuera de nuestra muralla tecnológica y llegando hasta lo alto para dejarse caer dentro y, bueno, comernos el cerebro.

Link: http://searchdatacenter.techtarget.com

 

540 words