Esta charla, bajo mi humilde opinión, no fue tan técnica como otras que hemos tenido durante las Jornadas de Innosoft pero a su vez, se ha hecho desde una mejor perspectiva para los alumnos ya que ha sido impartida por Paula Garrido y Jesús Manuel Sánchez dos alumnos de 4º de Ingeniería de Tecnologías Informáticas que han finalizado las prácticas en la empresa BeOneSec, por lo que, pienso que ha sido una charla más productiva para los alumnos.
Primero nos contaron que era el pentesting o test de penetración, el uso de técnicas y herramientas con el objetivo de explotar vulnerabilidades de un sistema, empresa o red con el objetivo de poder analizarlo y solucionarlo para que no puedan ser explotados por ciberdelincuentes. Nos hablaron también de las distintas maneras de realizar pentesting dependiendo de la facilidad que nos de la empresa a auditar. Se denomina “caja blanca” cuando tenemos mucha información acerca de la empresa y en principio algún tipo de acceso a la empresa, los test de penetración de “caja gris” es un término intermedio y en los de “caja negra” la empresa no nos da ningún tipo de información o muy poca.
A continuación nos hablaron sobre tipos de pruebas que se realizan como las pruebas de Servicio en Red, pruebas en Aplicación Web, pruebas desde el lado del cliente (Client Side), pruebas en Redes Inalámbricas y un tipo de pruebas que no va tan relacionada con las máquinas y si con las personas, las pruebas en Ingeniería Social. Esta última es bastante interesante ya que se basa en la manipulación psicológica de las personas para, por ejemplo, realizar ataques de “phishing”.
Para acabar con esta primera parte de la charla, hablaron sobre las distintas fases que conlleva realizar un test de penetración, desde el reconocimiento y el análisis de vulnerabilidades usando herramientas como nmap, pasando por la fase de explotación con herramientas como Metasploit y la redacción de informes que expliquen como se ha accedido al sistema.
Para practicar los test de penetración existen plataformas como HackTheBox que te permite conectarte de manera remota a máquinas de muchos tipos (Linux, Windows, etc) que poseen vulnerabilidades para que intentes explotarla. El objetivo es encontrar una serie de caracteres que cuando lo pones en la web se te da un “reconocimiento”. Al final de esta charla nuestros invitados nos hicieron una demostración de cómo siguiendo las fases y herramientas que nos comentaron, consiguieron explotar una de las máquinas de la web.
Sin duda, para mi ha sido una de las charlas más útiles y creo que para mucha otra gente también ya que todos los presentes estamos acabando la carrera y que los ponentes fueran personas como nosotros ya metidas en el mundo laboral es una motivación extra.