¿Tienes dudas? ¡Escríbenos!
SUSCRÍBETE
Jaime Martinez
Jaime Martinez

Egresado de la carrera de Ingeniería Cibernética de la Universidad La Salle, cuenta con una Maestría en Tecnologías de la Información en la Dirección de Empresas por parte de la Universidad La Salle, así como un Diplomado en Líderes de Operación por parte del ICAMI Universidad Panamericana. Cuenta con certificaciones en ITIL, CCNA, y en +10 productos de ManageEngine a nivel Expert.

El “pentesting” o “test de penetración” consiste en atacar un sistema informático para identificar fallos, vulnerabilidades y demás errores de seguridad existentes, para así poder prevenir los ataques externos.

Todas las empresas se enfrentan a riesgos, cada vez más frecuentes, que pueden afectar a su sistema. Ser conscientes de estos riesgos es fundamental, pero no todas las empresas lo son.

Existen herramientas para comprender la gravedad de los peligros a los que una organización se enfrenta en el día a día. Esto les permite detectar las brechas de seguridad existentes en su compañía y así estar prevenidos ante los riesgos que pueden surgir.

A causa de los importantes ataques y filtraciones sufridos por varias empresas en los últimos años, el pentesting es algo reciente pero que está en auge. Por ello, no hay a penas certificaciones oficiales que acrediten como “Pentester” o Expertos en Seguridad Informática. Sin embargo, al ser tan escasas las certificaciones existentes en este campo, hace que estas se revaloricen en los puestos de trabajo.

El pentesting realmente es una forma de hacking, solo que esta práctica es totalmente legal, ya que cuenta con el consentimiento de los propietarios de los equipos que se van a testear, además de tener la intención de causar un daño real.

Estos test están diseñados para clasificar y determinar el alcance y la repercusión de los fallos de seguridad. Gracias a estos test, se obtiene conocimiento y consciencia del peligro que existe en el sistema testeado, de las defensas de las que dispone y de su eficiencia.

Además, también proporciona datos de probabilidades de éxito de un ataque al sistema y otras vulnerabilidades existentes en este que no se pueden hallar de otra forma.

Tipos de Pentesting

Según el tipo de información que se tenga sobre el sistema para su testeo, hay diferentes formas de realizar estas pruebas:

  • Pentesting de caja blanca: en este tipo de test sabemos todo a cerca del sistema, la aplicación o la arquitectura. Es el Pentest más completo. Este método parte de un análisis integral, que evalúa toda la infraestructura de red. Al disponer de un volumen tan alto de información, suele realizarse por miembros del propio equipo de TI de la empresa.
  • Pentesting de caja negra: en este, sin embargo, no disponemos de ningún tipo de información sobre el objetivo. Es casi como una prueba a ciegas y el más cercano a seguir las características de un ataque externo. Su actuación es la más similar a la de los cibercriminales.
  • Pentesting de caja gris: este sería una mezcla entre los dos anteriores, es decir, se posee ya cierta información, pero no la suficiente, por lo que se invertirá tiempo y recursos para identificar las vulnerabilidades y amenazas en base a la cantidad de información que se tenga. Es el pentest más recomendado.


Se deben tener en cuenta estos tipos de pentesting ya que, muchas veces, las condiciones del test irán determinadas en base a lo que establece el cliente.

Fases o métodos de pentesting

Una vez se ha determinado el tipo de prueba a realizar, el siguiente paso es elegir el método. Esta elección se basa en las necesidades existentes y en función de las características del sistema, o de los requerimientos de la empresa.

Estos son algunos de los métodos de pentesting:

  • ISSAF (Information Systems Security Assessment Framework): organiza la información alrededor de los criterios de evaluación, escritos y revisados por expertos.
  • PCI DSS (Payment Card Industry Data Security Standard): este método fue desarrollado por las compañías de tarjetas de débito y de crédito más importantes y sirve como guía para las organizaciones que procesan, almacenan y transmiten datos de los titulares de las tarjetas.
  • PTES (Penetration Testing Execution Standard): es puesto en práctica por muchos profesionales altamente reconocidos del sector, además de ser un modelo a seguir en libros de aprendizaje asociados al pentesting.
  • OSSTMM (Manual de la Metodología Abierta de Testeo de Seguridad): sus pruebas no son especialmente innovadoras, pero es uno de los primeros acercamientos a una estructura global de concepto de seguridad. Este modelo es referente en instituciones que precisan de un pentesting de calidad, ordenado y eficiente.


Estos métodos son extensos y densos de tratar, pero conocerlos en profundidad es una necesidad a la hora de aplicarlos.

En iDric disponemos de un servicio de pentesting, si necesitas una atención personalizada nuestro equipo de profesionales en ciberseguridad proporciona tranquilidad y calidad a nuestros clientes.

TE INVITAMOS A CONOCER MÁS DE NUESTROS SERVICIOS DE SEGURIDAD TI:

Pruebas de pentesting
Análisis de vulnerabilidades
Hacking ético

 

Visitas: 105

ARTICULOS RELACIONADOS

Hacking ético: qué es y para que sirve

El hacking ético es la persona encargada de fortalecer y mejorar la seguridad.

Seguir leyendo keyboard_arrow_right
Oct 2021 Visitas: 18

Obtén protección contra phishing basada en IA con Sophos Email

Sophos Email incluye varias capas de tecnología para mantener tu correo electrónico libre de phishing.

Seguir leyendo keyboard_arrow_right
Oct 2021 Visitas: 92

Mes de la concienciación sobre ciberseguridad

Mes de la Concienciación sobre la Ciberseguridad 2021, el tema de la semana: Lucha contra el phishing.

Seguir leyendo keyboard_arrow_right
Oct 2021 Visitas: 91

SUSCRÍBETE

attach_money