SUSCRÍBETE
Alfonso Orrantia
Alfonso Orrantia

Especialista en Marketing Digital, egresado de la carrera de Ingeniería en Sistemas Computacionales por el Instituto Tecnológico de Chihuahua II, apasionado por el campo de las tecnologías de la Información.

Las pruebas de penetración permiten a las organizaciones evaluar la fuerza y ​​la eficacia de sus medidas de seguridad donde los evaluadores de confianza simulan ciberataques en condiciones seguras y presentan un informe con el estado y las sugerencias de contramedidas para minimizar los riesgos y mejorar la postura de seguridad.

No es prudente ni financieramente viable realizar pruebas de pluma al azar / a ciegas o para todos sus activos digitales y componentes del sitio web / aplicación web / red. El alcance y el nivel de intrusión de cualquier prueba de lápiz depende de sus resultados, necesidades y contexto esperados. Un profesional de seguridad confiable y experto, como Indusface, siempre elegirá la combinación correcta de herramientas, métodos y técnicas de prueba de penetración basadas en estos parámetros.

En este artículo, analizaremos las pruebas de penetración clasificadas en función de cómo se realizan las pruebas / métodos, así como los componentes / activos / áreas a los que se dirige.

Tipos de prueba de pentesting basados ​​en los métodos utilizados:

1. Prueba de caja negra - Black Box Pen-testing: conocido como prueba externa o prueba y prueba de error, es donde los activos externos de la empresa / activos visibles en Internet. Este tipo de pruebas emulan un ataque del mundo real en el que el probador no conoce los entresijos de la aplicación / red / sistema y lanzará un ataque de fuerza bruta o un ataque ciego en la infraestructura de TI. El probador extrae información sobre los objetivos y evalúa su funcionalidad en función de las entradas de bots u otros procesos y herramientas automatizados que descubren vulnerabilidades y lagunas en el sistema / red / aplicación objetivo.

2. Prueba de caja blanca - White Box Pen-testing: conocido como Internal Testing o Structural / Clear / Glass Box Testing, es donde el probador tiene acceso a nivel raíz / administrador y completa información sobre los sistemas / redes / aplicaciones que se van a probar, incluyendo el código fuente, esquema de dirección IP, detalles del sistema operativo, etc. El objetivo es probar la estructura interna y la fuerza de los sistemas / redes / aplicaciones contra personas maliciosas o un extraño que ha robado las credenciales mediante un ataque de phishing. Con White Box Testing, puede comprender si las operaciones internas y los módulos se ejecutan correctamente según las especificaciones, y detectar errores lógicos, de diseño, tipográficos y de sintaxis, así como configuraciones incorrectas dentro de la infraestructura o el entorno. Estos requieren herramientas de prueba de penetración mucho más sofisticadas.

3. Prueba de caja gris - Gray Box Pen-testing: es donde el probador recibe información parcial sobre los sistemas / redes / aplicaciones, como el acceso al código de software, diagramas de arquitectura del sistema, etc. para simular un ataque. Este tipo de prueba emula un escenario en el que una entidad externa ha obtenido acceso ilegítimo a documentos de infraestructura y rastrea cómo el acceso parcial a la información afecta al objetivo.

Tipos de prueba de pentesting basados ​​en componentes / activos / áreas dirigidos

1.Pruebas de servicios de red: El tipo de prueba de lápiz más común y en demanda, la prueba de servicios de red, busca descubrir vulnerabilidades y brechas en la infraestructura de red y combina pruebas internas / del lado del cliente y externas / remotas. No es un tipo de prueba de pluma profunda. Aquí, las áreas de red objetivo incluyen la configuración de firewall, análisis de estado, SQL Server, servidores de correo SMTP, DNS, evasión de IPS, etc.

2.Prueba de aplicaciones web: Web Application Testing es un tipo de prueba de lápiz mucho más intenso, profundo, detallado y específico para descubrir vulnerabilidades, brechas y configuraciones erróneas en la aplicación web. Es un tipo de prueba complejo que requiere mucho tiempo y donde la planificación y la estrategia son esenciales para una mayor efectividad. Las áreas seleccionadas aquí incluyen API, ActiveX, complementos, applets, scriptlets, etc.

3.Pruebas del lado del cliente: Este tipo de prueba busca identificar vulnerabilidades en el software que surgen localmente y pueden explotarse desde el extremo del cliente. Por ejemplo, navegador web, software de creación de contenido (MS Office Suite, Photoshop, Adobe Page Maker), reproductores multimedia, etc.

4. Pruebas de ingeniería social: Aquí, el probador intenta simular un ataque engañando a empleados / usuarios para obtener información confidencial o de propiedad exclusiva. El objetivo es poner a prueba la conciencia y la fuerza de la red humana en la organización. Hay dos subcategorías en las pruebas de ingeniería social:

  • Pruebas remotas donde se utilizan técnicas de phishing para robar información confidencial a través de medios electrónicos.
  • Pruebas físicas en las que el probador utiliza medios físicos o presencia mediante suplantación, inmersión en contenedores, amenazas, llamadas telefónicas convincentes, etc. para obtener acceso a información confidencial.

5.Prueba de red inalámbrica: Este tipo de prueba de lápiz busca identificar vulnerabilidades y debilidades en los dispositivos inalámbricos utilizados en el lado del cliente. Por ejemplo, tabletas, teléfonos inteligentes, computadoras portátiles, etc. Estas pruebas también incluyen protocolos inalámbricos, puntos de acceso inalámbrico y credenciales de administrador.

Te invitamos a conocer nuestro servicio de pentesting.

Visitas: 483

ARTICULOS RELACIONADOS

2021 Pico histórico en la cantidad de sitios de phishing

Pico máximo histórico en la cantidad de URL únicas de sitios de phishing a nivel mundial.

malware phishing ransomware Seguir leyendo keyboard_arrow_right
Jul 2021 Visitas: 7

¿Eres tú en este video? Campaña de phishing a través de Facebook Messenger

Nueva campaña de phishing en Facebook Messenger intenta engañar a usuarios para robar su acceso a la red social.

phishing robo de contraseñas seguridad en la nube Seguir leyendo keyboard_arrow_right
Jul 2021 Visitas: 4

México es el segundo país en América Latina con más negocios hackeados

En lo que va de 2021, el 22.8% de los ciberataques están dirigidos a empresas en México.

ciberataques kaspersky negocios cackeados Seguir leyendo keyboard_arrow_right
Jul 2021 Visitas: 39

COMENTARIOS

SUSCRÍBETE

help_outline