Diez herramientas de pentesting con los que poner a prueba la seguridad de tu empresa

El pentesting (conocido habitualmente también como test de penetración) es una de las tareas preferidas para los profesionales de la seguridad informática. Básicamente, consiste en atacar un sistema o una red, con el objetivo de identificar posibles errores, fallos de configuración o vulnerabilidades, de modo que al corregirlos, se puedan prevenir ataques externos.

Los pentatesters también cono conocidos como «hackers éticos» ya que habitualmente ponen sus conocimientos al servicio de las empresas, que cada vez más, demandan este tipo de perfiles profesionales. Para desarrollar su trabajo, utilizan todo tipo de herramientas: analizadores de puertos, interceptadores de tráfico web, inyectores de código, etc. En este artículo especial os hablamos de diez de las más conocidas y populares.

Kali Linux

No es la primera vez que hablamos de Kali Linux en MuySeguridad. Ya os contamos que más que una herramienta de intrusión, lo que Kali Linux nos ofrece es una distribución de Linux completa orientada a la auditoría de seguridad informática y el hacking ético. No es la única por supuesto (ahí están ejemplos como el de Parrot OS) pero sin duda es la más conocida.

En su última versión, Kali Linux incluye novedades como la actualización del kernel Linux 4.19 y la suite de pentesting Metasploit 5.0, además de mejoras específicas de la edición ARM y dispositivos concretos como Raspberry Pi. Más allá de lo anterior, el conjunto de herramientas que ofrece es realmente completo.

En su versión «out of the box», Kali Linux ofrece a los usuarios más de 300 herramientas de pentatesting y seguridad, si bien está más pensado para atacar antes que defender una red informática.

nmap

nmap (network mapper) es una de las grandes veteranas del sector. Este escáner de puertos es una de esas herramientas que forman parte del ABC de cualquier auditor de sistemas.  Algunas de las respuestas que proporciona son las siguientes: ¿qué puerto están abiertos en una máquina? ¿qué es lo que hay detrás de esos puertos?

Acceder a esa información es clave en las primeras fases de trabajo de cualquier pentatester. Utilizarla equivale a llamar a la puerta de una máquina que nos interesa y preguntar…¿hay alguien ahí? ¿quién es? En este sentido, tiene soporte para llamadas ping, es capaz de detectar protocolos de servicio y las versiones de las aplicaciones que se encuentran detrás de cada puerto o acceder al ID de un dispositivo.

Metasploit

Metaploit es otra de esas navajas suizas que tiene que tener a mano cualquier pentatester que se precie de serlo. Su objetivo no puede ser más sencillo: encontrar agujeros de seguridad en todo tipo de redes, aplicaciones y dispositivos.

Para ello la herramienta permite en primer lugar cargar el código (o el destino) que se quiere «explotar» para a continuación, someterlo a uno o varios de los más de 900 exploits conocidos que hay registrado en su base de datos.

El uso de Metasploit suele seguir al de nmap (o similar), una vez el investigador ha accedido a más información sobre tipo de sistema operativo, aplicación o dispositivo de hardware que se encuentra «al otro lado». En caso de querer defender una red corporativa, el uso de Metasploit puede ser fundamental a la hora de entender dónde se encuentran los eslabones más débiles.

Wireshark

Wireshark es probablemente, en analizador de protocolos y tráfico de red más utilizado en el mundo. La herramienta captura tráfico en tiempo real y analiza a nivel «microscópico» qué es lo que está pasando.

Aunque los pentatesters lo utilizan fundamentalmente para analizar el tráfico a nivel TCP/IP, la herramienta es capaz de analizar cientos de protocolos, de modo que el investigador pueda conocer qué es exactamente lo que se está moviendo dentro de una red.

sqlmap

No hay nada que le «siente mejor» a una base de datos que una inyección de código SQL. Y para demostrar que estamos en lo cierto, nada mejor que utilizar sqlmap. Si esta herramienta es tan interesante es porque automatiza el proceso de detectar y explotar fallos y brechas de seguridad en servidores  BBDD basados en SQL. Es decir, casi todos.

En este sentido, sqlmap tiene soporte para MySQL, Oracle, PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird, Sybase, SAP MaxDB, Informix, HSQLDB y H2.

John the Ripper

Si quieres desencriptar ese archivo que «misteriosamente» ha llegado a tus manos, una buena forma de empezar es con John the Ripper.

Aunque siempre dependerá de la potencia de tu GPU, este proyecto open-source no debería de tener demasiados problemas a la hora de «reventar» la mayoría de las «contraseñas populares», realizando un ataque de «fuerza bruta» que se puede prolongar hasta el infinito si tienes paciencia. Evidentemente, no es lo ideal para contraseñas complejas o si el archivo ha sido encriptado con una buena herramienta.

Hydra

Mientras que John de Ripper intenta averiguar la contraseña de ese archivo que de alguna forma has obtenido, Hydra hace lo propio con cualquier servicio on-line. Para ello tiene soporte para protocolos como SSH, FTP, IMAP, IRC entre otros.

Para conseguir que funcione correctamente deberemos seleccionar el servicio que queremos «crackear», poner el nombre de usuario y subir un archivo que contenga las contraseñas que queremos probar.

aircrack-ng

¿Sabes cómo es de segura la red inalámbrica de la empresa? Si quieres descubrirlo y detectar si tiene alguna vulnerabilidad, nada mejor que probar con la herramienta aircrack-ng.

En muchos casos descubrirás que las principales vulnerabilidades se encuentran en una mala configuración de la red, el uso de contraseñas débiles o la falta de actualización del firmware de los dispositivos.

Burp Suite

Ninguna colección de herramientas de pentatesting está completa si no contamos con Burp Suite, uno de los analizadores de vulnerabilidades web más completo. A diferencia de las herramientas de las que hemos hablado hasta ahora, Burp Suite ni es un proyecto open source ni es gratuito.

Más bien todo lo contrario. Hablamos de una herramienta cara (3.999 euros) al año, y que se encuentra solo al alcance de aquellos que hacen de la auditoría de seguridad, su medio de vida. Es cierto que existe también una versión gratuita de la suite (la conocida como community edition), pero carece de la mayoría de los servicios que convierten a Burp Suite en un producto realmente interesante.

Si resulta tan caro es que existe una razón realmente válida. Basta apuntar una página web, para al soltar la «artillería» descubrir en unos segundos si resulta vulnerable ante alguno de los ataques que han sido reportados.

Zed Attack Proxy

Aquellos que no tengan o no quieran invertir 4.000 dólares anuales en Burp Suite, pueden «conformarse» con el gratuito Zed Attack Proxy (ZAP). No es ni tan completo ni tan fácil de utilizar, pero dispone de herramientas que lo convierten en un arma de intrusión igualmente efectiva.

ZAP se configura como un «man in the middle» que se sitúa entre nuestro navegador y la web que nos interesa inspeccionar, capturando el tráfico, para que a continuación podamos inspeccionarlo o modificarlo si descubrimos que reporta alguna vulnerabilidad.