Las pruebas de penetración fortalecen la ciberseguridad en las universidades. También conocida como hacking ético o pentesting, son realizadas por un hacker o grupo de hackers, quienes simulan ciberataques a la red de una organización o un departamento individual, tales como aplicaciones o dispositivos móviles. Para ello, imitan las tácticas usadas por verdaderos criminales. Se utilizan para detectar las fallas o debilidades de un sistema. Eso permite determinar la probabilidad de que sean explotadas por un hacker.
Suelen formar parte del arsenal de herramientas de seguridad de la información y se realizan por varios motivos, incluyendo:
- Responder a una falla de seguridad en una organización similar.
- Cumplir con regulaciones o normatividad.
- Garantizar la seguridad de nuevas aplicaciones o cambios significativos a procedimientos de negocio.
- Manejar los riesgos de usar un mayor número y variedad de servicios tercerizados.
- Evaluar el riesgo de que los datos o sistemas críticos se vean comprometidos.
Pruebas de penetración: sus tipos
- Externas de red, que incluyen todos los servicios de red, servidores, hosts y dispositivos que conectan a Internet o a sistemas externos.
- Internas de red para asegurar que la red esté segura tanto contra usuarios internos como de ataques no autorizados.
- Aplicaciones web para identificar vulnerabilidades de seguridad que resulten de un desarrollo inseguro de software.
- Penetración de red inalámbrica para detectar puntos de acceso o dispositivos no autorizados dentro del entorno de la organización.
- Ingeniería social, cuya meta es evaluar la factibilidad de que los empleados rompan reglamentos de seguridad o den acceso involuntario a información.
Pruebas de penetración en universidades: su conveniencia
Las universidades de Estados Unidos organizan competencias entre sus estudiantes para medir su ciberseguridad. Dos ejemplos son la Competencia Nacional Universitaria de Pruebas de Penetración (CPTC) y la Competencia Nacional Universidatria de Ciber Defensa (NCDDC).
Otras instituciones, en cambio, las realizan periódicamente como parte de sus programas de seguridad. Una de ellas es la Universidad Aston, en Reino Unido, que las programa sobre todo en ocasiones bien determinadas:
- Al probar nuevas aplicaciones en el momento del go live.
- En un momento de actualización mayor.
- Cada tres años, para probar el software de todas sus aplicaciones.
Consideraciones para implementarlas
¿La institución está lista? Es aconsejable fortalecer primero la seguridad de la información. El objetivo de una prueba de penetración es evaluar y mejorar las estrategias y tácticas implementadas, no crearlas.
Establecer límites para la prueba. Esto resulta especialmente importante si hay dispositivos, sistemas o infraestructura que no deben ser atacados.
Conocimiento de la institución. Las instituciones educativas suelen contar con equipo muy heterogéneo. Cambian de usuarios constantemente y éstos suelen conectar sus equipos con el esquema BYOD. Asimismo, las universidades gestionan una cantidad considerable de datos delicados y confidenciales. Por lo tanto, es importante que el proveedor esté familiarizado con las realidades de cada institución. También es aconsejable que se tenga la suficiente disponibilidad y flexibilidad para trabajar con el equipo interno de TIC.
Tomar en cuenta los hallazgos para realizar mejoras. Hay veces que los descubrimientos de las pruebas de penetración no resultan en cambios a los planes de seguridad informática. Es necesario realizar un inventario de los hallazgos, priorizarlos e implementar mejoras.