Cómo Seleccionar a una Empresa de Pentesting

¿Quieres contratar los servicios de pentesting (pruebas de seguridad) y no sabes por dónde empezar? No eres el único. Al menos en México (y creo que es una realidad en otros países) para contratar estos servicios te basas en “renombre” o “prestigio” de una empresa, o porque la googleaste y su página se ve “profesional” o bien porque el primo del amigo te la recomendó: “Esos dudes están re-picudos!”.

No te sientas mal. Seleccionar a una buena empresa de pentesting es un arte (así como el mismo pentest). No hay un catálogo; un comparativo completo de un tercero que haya hecho un análisis y te haga una recomendación medianamente objetiva.

¿Cómo seleccionas a una empresa de pentest para que te venga a hacer una prueba de seguridad? ¿La que te cobre más? ¿Una gran consultora con presencia internacional? ¿La que tenga una bonita página web? ¿La que tenga a su personal certificado CEH? ¿La que tenga consultores de traje y corbata o bien de jeans y con playera del BlackHat? ¿La que diga que tiene una “amplia experiencia en este tipo de servicios”?

A continuación me di a la tarea de enlistar algunos parámetros que te pueden ser de utilidad al momento de contratar estos servicios. Varios de ellos pueden aplicar también para buscar servicios de consultoría de seguridad (risk assessment, threat modeling, etc.). 

a. Prueba en Vivo: un examen, pa’ pronto. Arma un ambiente de pruebas, crea algunos pequeños retos de hacking (o unos de miedo) y que vengan a demostrar sus habilidades “en sitio”. Quédate y ve cómo se desenvuelven, la manera en que resuelven los retos, las herramientas usadas y qué platican entre ellos. Antes de la prueba platícales sólo las generalidades de lo que se va a evaluar. 

Tal vez te dé pena pedir este examen sobre todo si la empresa tiene candidatos con N credenciales o dicen tener una amplia experiencia, pero si eres el cliente creo que tienes del derecho de llevarlo a cabo porque es una forma de evaluar sus competencias.

La prueba en vivo te permitirá tener el “feeling” de los pentesters y no sólo de los vendedores  que vinieron a ofrecerte el servicio en PowerPoint. Yo en las pruebas me he llevado un par de sorpresas con “grandes consultoras”.

Y claro, se espera que pasen la prueba.

b. Empresa Dedicada a Pentesting: ¿es una empresa “milusos” o está dedicada 100% (o mayormente) al pentest? Yo prefiero una empresa lo más dedicada al pentest que sea posible (y no “integradores” o vendedores de productos que claro que lo harán si les pagas).

c. Libros Publicados por los Pentesters: oiga señor, y qué tan involucrado está usted en seguridad informática y pentest? Si el personal de la empresa ha publicado un libro de algún tema de seguridad, pues ya de entrada habla bien de ellos y de la empresa, no?

d. Años de Experiencia: pídele que te diga cuántos años lleva dedicado a esto del pentest. No te puedo decir cuántos años son suficientes, eso lo decidirás tú. Para mí serían adecuados un mínimo de 3 años.

e. Blogs, Artículos, Papers: hablaría bien de los pentesters si escriben seguido en su blog de seguridad, o mejor aún si han publicado artículos tipo paper. Digamos que esta sería otra manera de demostrar su interés  e involucramiento en temas de hackeo ético y demás temas de la SegInfo.

f. Participación en Conferencias: si me dices que tus pentesters han dado dos que tres pláticas en BlackHat o DefCon ya de entrada me tienes comiendo de tu mano. Es correcto decir que no son las únicas conferencias de seguridad y hackeo; hay varias más a nivel mundial y también nacionales. Revisa en cuáles han dado sus charlas y evalúalo. 

g. Certificaciones Relevantes de Seguridad: ok, una certificación no lo es todo y conozco muy buenos pentesters que NO tienen NINGUNA certificación de seguridad o de hackeo. Sin embargo y por otro lado, si son buenos pentesters no tendrán problema en pasar exitosamente una que otra certificación, cierto? Además si pasa exitosamente la “Prueba en Vivo” ya mencionada, esto de las certificaciones puede resultar secundario. 

Como nota personal, si me enseñan una CEH lo pondría como un logro realmente menor; tomé el curso y pasé el examen por lo que puedo decir que eso de la opción múltiple y el hecho de evaluar habilidades de hackeo no se llevan muy bien…sin mencionar lo desactualizado de varios de los temas (versión 6) entre otros “peros” del curso y su temario. 

Ahora bien, ciérrame la boca y oblígame a hacerte una reverencia si me muestras tu OSCE (Offensive Security Certified Expert) o  tu OSEE (Offensive Security Exploitation Expert) o alguna otra certificación de nivel (como varias del SANS).

h. Reporte Muestra: pide tanto el técnico como el ejecutivo de un pentest realizado. En el técnico te darás cuenta de qué tipo de debilidades reportan, screenshots y herramientas usadas; así como las evidencias presentadas. 

En el ejecutivo te darás cuenta de su capacidad de reportar tecnicismos a la alta dirección y te percatarás de su criterio para priorizar acciones de solución. Asimismo, el reporte y presentaciones muestra te podrán ayudar a tener una idea de qué tipo de documentación te estarán entregando a ti.

Es probable que te den estos documentos “editados” sin el nombre del cliente o las direcciones IP por ejemplo; y esto es normal y hasta deseable (no querrás que en el futuro den el reporte de TU empresa a cada fulano que lo pida). Tal vez te digan que tienen acuerdos de confidencialidad con sus clientes y que no pueden entregar nada…ok, al menos lo intentaste.

i. Objetivos: diles el objetivo del pentest a ver si se sienten cómodos con las metas a cumplir y que te platiquen un poco de cómo lo harían o cuál sería su enfoque; y hazles preguntas (ya pre-hechas) para que durante la junta evalúes sus respuestas. Obvio tienes que saber un poco de SegInfo y hacking, si no todas las respuestas de las diferentes empresas te parecerán igual. 

j. Ingeniería social: algunos pentesters hacen ingeniería social. Tal vez tú no desees incluir este tipo de enfoque y lo debes de especificar. Pero si requieres de ingeniería social sugiero que te asegures de que no sólo pueden explotar debilidades de TI sino que van a poder aplicar esta técnica con los empleados y te será de utilidad preguntar qué y cómo lo han hecho en anteriores ocasiones junto con los resultados obtenidos.

k. Especialización: tal vez desees pentesting del web, de tus smartphones, de los tablets, red inalámbrica, red interna o servidores Linux. La compañía de pentest debe de tener en su portafolio a personal capacitado para lograr los objetivos del pentest. Tal vez los pentesters se enfocan en aplicaciones web y tienen poca idea/experiencia de cómo penetrar una BlackBerry.

l. Referencias de Clientes Pasados: sería buena idea poder llamarles a algunos clientes que hayan recibido los servicios de esta empresa y preguntarles sobre su experiencia con ellos.

m. Investigación Relacionada con Vulnerabilidades: han descubierto alguna vulnerabilidad de software? Eso para mí da un plus punkt. Sería otra forma de demostrar sus habilidades e involucramiento en el pentest y mundo del hacking.

n. Sin Registros Criminales: una buena idea sería revisar que el personal que hará el pentest no tenga antecedentes penales; o al menos como dicen en los contratos “bajo protesta de decir verdad”.

Digo, si lo vas a dejar entrar hasta la cocina y que te pegue, pues al menos tener una certeza razonable respecto a que está limpio desde el punto de vista legal. Claro, no es ninguna garantía, pero es una palomita más en tu checklist…o un tache que para mí significaría que se quedó sin contrato.

ñ. Tercerización: el personal del pentest es de la empresa o van a “tercerizar” (outsourcing)? Sería ideal que fueran de la propia empresa y que no subcontraten estos servicios (yo así lo buscaría). De otra forma estaríamos tratando con “integradores” que recolectan por ahí a quienes realmente harán el trabajo. En fin, tal vez tú tengas otra opinión. 

o. Servicios similares en el sector de tu empresa: si laboras en una central nuclear pues qué mejor que los pentesters hayan hecho trabajos en otras centrales. Este punto lo pongo todavía más con la bandera de “opcional”; si nunca antes hicieron un pentest en una empresa de comercio electrónico no se traduce automáticamente en incapacidad para llevarlo a cabo. Es simplemente otra “palomita” que puede inclinar la balanza ante un empate, por ejemplo.

Conclusión

Te presenté una serie de puntos que puedes buscar en una empresa de pentest; difícilmente todas las empresas cumplirían todos los criterios mencionados. Tu labor será seleccionar aquéllos que te parezcan razonables y ver qué empresa cumple con la mayoría de ellos.

Al final tú tienes la mejor decisión para tu empresa y no existe un checklist válido para todo mundo y en el que todos estemos de acuerdo. Estas son sólo unas ideas. 

Inclusive las puedes examinar si eres pentester y ver qué podría llegar a pedir un cliente (como yo).

Les dejo otros tips interesantes sobre este tema.

Palabras clave: pentest pentesting evaluar empresas compañías habilidades competencias seleccionar