Las pruebas de penetración fortalecen la ciberseguridad gubernamental. También conocida como hacking ético o pentesting, son realizadas por un hacker o grupo de hackers, quienes simulan ciberataques a la red de una organización o un departamento individual, tales como aplicaciones o dispositivos móviles, imitando las tácticas usadas por verdaderos criminales. Se utilizan para detectar las fallas o debilidades de un sistema y determinar la probabilidad de que sean explotadas por un hacker.

Suelen formar parte del arsenal de herramientas de seguridad de la información y se realizan por varios motivos, incluyendo:

• Responder a una falla de seguridad en una organización similar.
• Cumplir con regulaciones o normatividad.
• Garantizar la seguridad de nuevas aplicaciones o cambios significativos a procedimientos de negocio.
• Manejar los riesgos de usar un mayor número y variedad de servicios tercerizados.
• Evaluar el riesgo de que los datos o sistemas críticos se vean comprometidos.

Pruebas de penetración: sus tipos

• Externas de red, que incluyen todos los servicios de red, servidores, hosts y dispositivos que conectan a Internet o a sistemas externos.
• Internas de red para asegurar que la red esté segura tanto contra usuarios internos como de ataques no autorizados.
• Aplicaciones web para identificar vulnerabilidades de seguridad que resulten de un desarrollo inseguro de software.
• Penetración de red inalámbrica para detectar puntos de acceso o dispositivos no autorizados dentro del entorno de la organización.
• Ingeniería social, cuya meta es evaluar la factibilidad de que los empleados rompan reglamentos de seguridad o den acceso involuntario a información.

Algunos gobiernos alrededor del mundo han utilizado esta táctica para probar sus sistemas de seguridad de la información, entre los cuales destacan Estados Unidos y Suiza.

Pentesting para la seguridad nacional estadounidense

El Departamento de la Defensa (DoD, por sus siglas en inglés) de Estados Unidos es una de las organizaciones de gobierno precursoras del uso de pentesting para probar de manera continúa sus sistemas de información, tanto públicos como privados. El DoD ha organizado diversas competencias de hackeo, con premios en efectivo para las empresas o individuos que detecten vulnerabilidades en sus sistemas. Destacan las utilizadas por los siguientes organismos:

El Pentágono. Fue un programa de recompensa para detectar errores en los sitios web públicos del DoD. De los miles de informes recibidos, 150 calificaron para recompensas por un total de 75,000 dólares

El ejército. Estaba dirigido a los sitios web operativamente significativos del DoD. En poco menos de un mes se recibieron más de 400 informes de errores y se pagaron 100,000 dólares en recompensas.

La fuerza aérea. Se enfocó en servicios en línea. En 24 días los hackers detectaron más de 200 vulnerabilidades y las recompensas totalizaron 130,000 dólares.

“Hackea a la Fuerza Aérea 2.0” reunió a aviadores y hackers que trabajaron de manera conjunta para encontrar más de 100 vulnerabilidades. Las recompensas llegaron a 103,000 dólares.

Sistema de Viajes de la Defensa. Conocido como DTS, por sus siglas en inglés, está compuesto por 9,500 sitios web globales utilizados por millones de personas. En menos de un mes, los hackers encontraron más de 100 vulnerabilidades y ganaron $80,000 dólares.

Pruebas de penetración para votaciones seguras

El Servicio Postal Suizo abrió su sistema de votación en línea durante un mes, del 25 de febrero al 24 de marzo de 2019, e invitó a hackers alrededor del mundo a penetrarlo y detectar sus vulnerabilidades. De manera simultánea, el sistema está experimentando pruebas de penetración por parte de una organización acreditada. Los hackers podrán manipular votos, ver los votos que han sido emitidos y deshabitar o eludir las medidas de seguridad utilizadas para proteger los sufragios.

La votación en línea ha sido probada en los cantones desde 2004 y el Servicio Postal Suizo ya cuenta con un sistema totalmente verificable. Sin embargo, la Confederación y los cantones decidieron que los sistemas de votación electrónica deberían pasar una prueba de intrusión antes de ser utilizados por primera vez. De esta manera, se podría asegurar que cualquier error de software, humano o intento de manipulación pudiese ser detectado, permitiendo que la votación electrónica esté disponible de manera más amplia.