Fases del PTES desde mi experiencia (parte III)

 

Threat Modeling (Modelado de Amenazas)

El modelado de amenazas representa la transición fundamental entre la recolección pasiva de información y la ejecución activa de un test de penetración. Es el proceso intelectual crítico que dota de contexto, dirección y relevancia empresarial a las actividades técnicas posteriores. Sin un modelado de amenazas robusto, un Pentest corre el riesgo de convertirse en un ejercicio genérico de búsqueda de vulnerabilidades, carente de una narrativa que conecte los hallazgos técnicos con el riesgo real para la organización.

El objetivo final es responder a tres preguntas esenciales:

1. ¿Qué estamos intentando proteger? (Activos)
2. ¿De quién nos estamos intentando proteger? (Amenazas)
3. ¿Cómo es más probable que ataquen? (Capacidades y vectores)

Este proceso se estructura en varios componentes que aparecen interconectados:

Identificación y categorización de activos de negocio

Un activo es, cualquier dato, dispositivo u otro componente del entorno que soporte las actividades de la organización y que, si es comprometido, cause un impacto negativo. La clave aquí es trascender la visión puramente tecnológica.

• Activos de Datos Primarios: Son el objetivo principal de un atacante. Incluyen:

- Propiedad intelectual y secretos comerciales: Planos, fórmulas, algoritmos, código fuente y roadmaps de los productos.

- Datos financieros: Estados de las cuentas, información de fusiones, ventas y adquisiciones, datos de cotización interna, etc.

- Datos de clientes y empleados: La pérdida de Información de Identificación Personal (PII) o Información de Salud Protegida (PHI) conlleva graves implicaciones legales (RGPD, LOPDGDD, HIPAA) y de reputación.

- Información operacional: Planes de marketing, estrategias de ventas, listas de proveedores y contratos, entre otros.

• Activos de soporte (Secundarios): Son los sistemas y credenciales que permiten el acceso a los activos primarios. Su compromiso es a menudo un paso intermedio necesario. Estos incluyen:

- Credenciales privilegiadas: Cuentas de administrador de dominio, claves de acceso a sistemas Cloud, certificados digitales de firma de código...

- Infraestructura crítica: Controladores de dominio, servidores de bases de datos, repositorios de código fuente y dispositivos de red centrales.

- Activos humanos: Personas con acceso privilegiado o que cuentan con "influencia", como administradores de sistemas, desarrolladores senior, ejecutivos y sus asistentes.

Perfilado de agentes de amenaza

Se debe construir un perfil realista de los potenciales atacantes, evitando la figura abstracta de un "hacker". Esto implica clasificarlos en comunidades con características comunes.

• Origen y Relación:

- Internos: Empleados descontentos, personal con acceso privilegiado (administradores), o contratistas. Su ventaja principal es el acceso inicial y el conocimiento interno.

- Externos: Competidores, crimen organizado, hacktivistas, estados-nación y "Script Kiddies". Su acceso es inicialmente nulo, pero su nivel de sofisticación podría ser muy elevado.

• Atributos específicos por comunidad:

- Empleado interno: Motivación típica por descontento laboral o beneficio personal. Capacidad técnica variable, pero con un conocimiento profundo de los procesos internos. Su ataque suele ser de bajo ruido.

- Crimen organizado: Motivación puramente económica, probablemente con alta capacidad técnica, acceso a exploits "Zero Days" y recursos logísticos. Su objetivo es el beneficio económico a través del robo de datos, el ransomware o el fraude.

- Hacktivistas: Principalmente, tienen motivación ideológica o política. Su capacidad técnica puede ser media-alta, pero su principal arma es la manipulación de la opinión pública. Buscan la filtración de datos o ataques de denegación de servicio (DoS o DDoS) para perjudicar la imagen de la organización.

- Estado-Nación: Motivación geopolítica o de inteligencia industrial. Máxima capacidad técnica, recursos ilimitados y gran paciencia. Sus campañas son persistentes y altamente sofisticadas APTs (Advanced Persistent Threats).

Análisis de capacidades y motivaciones

Una vez identificadas, es necesario analizar sus capacidades técnicas y operativas, así como sus motivaciones específicas.

• Análisis de capacidades:

- Herramientas: ¿Utilizan herramientas comerciales, de código abierto o personalizadas?

- Conocimiento de exploits: ¿Tienen capacidad para descubrir vulnerabilidades Zero Days o dependen de exploits públicos?

- Infraestructura: ¿Utilizan servidores proxy, redes botnets o hosting resistentes a takedowns?

- Persistencia y sigilo: ¿Cuál es su capacidad para mantener el acceso sin ser detectados?

- Accesibilidad: ¿Qué nivel de acceso inicial tienen? ¿Físico, remoto, o ninguno?

• Modelado de motivaciones:

- Beneficio Económico: Robo directo de fondos, extorsión mediante ransomware, venta de datos en el mercado negro.

- Ventaja Competitiva: Robo de propiedad intelectual para acelerar el desarrollo de un competidor.

- Activismo: Dañar la reputación de la organización para promover una causa.

- Espionaje: Recopilación de inteligencia para beneficio de un gobierno.

Asignación de Escenarios de Ataque y Vectorización

La fase final del modelado consiste en cruzar los activos identificados con las comunidades de amenazas probables y capacitadas. De este cruce surgen escenarios de ataque específicos y realistas.

• Ejemplo de Escenario: Un grupo de crimen organizado (agente externo, alta capacidad, motivación económica) busca obtener la base de datos de clientes (activo primario) para su venta. Para ello, identifican que el servidor de bases de datos (activo de soporte) es accesible a través de una aplicación web externa. Su vector de ataque inicial sería un ataque a una aplicación web, seguido de un movimiento lateral hacia el servidor interno de bases de datos.

Este escenario prioriza entonces las actividades de las fases siguientes. La búsqueda de vulnerabilidades se centrará en la aplicación web y en los mecanismos de acceso al servidor de bases de datos, y las técnicas de post-explotación se orientarán a la extracción y exfiltración de los datos de clientes.

En resumen, el modelado de amenazas es el marco estratégico que asegura que un Pentest sea una simulación creíble y relevante de un ataque dirigido "real", permitiendo a la organización comprender no solo sus vulnerabilidades técnicas puntuales, sino su postura global de seguridad frente a atacantes reales.

Fases del PTES desde mi experiencia (parte II)

Continuando la serie que comencé la semana pasada sobre las fases del PTES, hoy os traigo la segunda parte. En este caso, la famosa Intelligence Gathering.

Intelligence Gathering (Recopilación de Inteligencia)

Esta fase es la base de todo pentest. Su objetivo es recopilar la máxima cantidad de información posible sobre el objetivo para identificar todos los vectores de ataque potenciales: físicos, electrónicos y humanos. La profundidad de esta recolección varía en función del tiempo y los objetivos del test, definiéndose comúnmente en tres niveles:

• Nivel 1 (referente al cumplimiento): Se basa principalmente en herramientas automatizadas. Es el mínimo indispensable para afirmar que se ha realizado una recolección de inteligencia.
• Nivel 2 (mejores prácticas): Combina herramientas automatizadas con análisis manual. Incluye una comprensión sólida del negocio, sus ubicaciones físicas, relaciones comerciales y organigrama.
• Nivel 3 (pruebas más avanzadas o Red Team): Incluye los niveles anteriores más un análisis manual intensivo. Puede implicar, por ejemplo, la creación de perfiles falsos en redes sociales para analizar conexiones, un profundo entendimiento de las relaciones comerciales y un gran número de horas de trabajo.

La recolección se divide en dos categorías principales:

OSINT (Open Source Intelligence)

Se trata de obtener información de fuentes públicamente disponibles, sin interactuar directamente con los sistemas del objetivo. Se subdivide en:

• Pasiva: No se envía tráfico alguno al objetivo. Se utiliza información archivada o almacenada por terceros (como resultados de motores de búsqueda en caché), por lo que la información puede estar desactualizada.
• Semi-pasiva: Se interactúa con el objetivo, pero con un comportamiento que se asemeja al de un usuario normal de Internet (consultando servidores DNS públicos, sin escaneos de puertos). El objetivo podría detectar la actividad posteriormente, pero no atribuirla fácilmente a un atacante.
• Activa: Implica un contacto directo y detectable con el objetivo, como escaneos de puertos completos y enumeración de servicios. Esta actividad es claramente identificable como “maliciosa”.

Las áreas de investigación en OSINT son muy amplias:

• Inteligencia corporativa: Ubicaciones físicas, relaciones comerciales (socios, proveedores, competidores…), ofertas de empleo (que revelan tecnologías usadas), informes financieros (como los EDGAR de la SEC), licitaciones públicas (RFP/RFQ), perfiles en redes sociales corporativas y fechas significativas para la empresa.
• Inteligencia electrónica: Metadatos de documentos públicos (que pueden revelar nombres de usuario, rutas internas o versiones de software, entre otras), bloques de red propiedad de la empresa, direcciones de correo electrónico (para listas de usuarios válidos), tecnologías utilizadas, métodos de acceso remoto y huella de infraestructura externa.
• Inteligencia sobre personas: Perfiles de empleados clave en redes sociales (frecuencia de publicación, tono, metadatos en fotos que filtran ubicación), direcciones de correo personal, números de teléfono, nombres de dominio personales y registros públicos, donaciones políticas, licencias profesionales, antecedentes penales.
• Información de pago: Servicios como LEXIS/NEXIS o funciones premium de LinkedIn que ofrecen datos más detallados.

Footprinting

Esta etapa implica una interacción más directa con el objetivo para obtener información técnica.

Footprinting Externo:

• Reconocimiento pasivo: Consultas WHOIS para identificar el propietario de dominios y rangos de IP, y búsquedas BGP para encontrar el Número de Sistema Autónomo (ASN) de la red.
• Reconocimiento activo: Escaneos de puertos (con herramientas como Nmap), captura de banners de servicios, transferencias de zona DNS (AXFR), barridos SNMP y descubrimiento de aplicaciones web y hosts virtuales. El objetivo es establecer una lista priorizada de objetivos externos.

Footprinting interno (si se tiene acceso a la red):

• Aquí las técnicas son similares, pero se amplían para incluir servicios internos como Directorio Activo, sitios de intranet, aplicaciones empresariales (ERP, CRM) y segmentos de red sensibles.

Identificación de mecanismos de protección

Es crucial identificar las defensas del objetivo para planificar evasiones futuras. Esto incluye:

• Protecciones a nivel de red: Firewalls, sistemas de prevención de intrusiones (IPS), sistemas de prevención de pérdida de datos (DLP).
• Protecciones a nivel de host: Antivirus, sistemas de detección de intrusiones basados en host (HIDS), listas blancas de aplicaciones (Whitelisting), protección de ejecución de datos (DEP).
• Protecciones a nivel de aplicación: Web Applications Firewalls (WAF) y opciones de codificación.

El resultado de esta fase debe ser un mapa detallado del objetivo, que incluya activos tecnológicos, relaciones humanas y comerciales, y un inventario de sus defensas, permitiendo así un enfoque de ataque preciso y realista en las fases siguientes.