SUSCRÍBETE
Jaime Martinez
Jaime Martinez

Egresado de la carrera de Ingeniería Cibernética de la Universidad La Salle, cuenta con una Maestría en Tecnologías de la Información en la Dirección de Empresas por parte de la Universidad La Salle, así como un Diplomado en Líderes de Operación por parte del ICAMI Universidad Panamericana. Cuenta con certificaciones en ITIL, CCNA, y en +10 productos de ManageEngine a nivel Expert.

El “pentesting” o “test de penetración” consiste en atacar un sistema informático para identificar fallos, vulnerabilidades y demás errores de seguridad existentes, para así poder prevenir los ataques externos.

Todas las empresas se enfrentan a riesgos, cada vez más frecuentes, que pueden afectar a su sistema. Ser conscientes de estos riesgos es fundamental, pero no todas las empresas lo son.
Existen herramientas para comprender la gravedad de los peligros a los que una organización se enfrenta en el día a día. Esto les permite detectar las brechas de seguridad existentes en su compañía y así estar prevenidos ante los riesgos que pueden surgir.

A causa de los importantes ataques y filtraciones sufridos por varias empresas en los últimos años, el pentesting es algo reciente pero que está en auge. Por ello, no hay a penas certificaciones oficiales que acrediten como “Pentester” o Expertos en Seguridad Informática. Sin embargo, al ser tan escasas las certificaciones existentes en este campo, hace que estas se revaloricen en los puestos de trabajo.

El pentesting realmente es una forma de hacking, solo que esta práctica es totalmente legal, ya que cuenta con el consentimiento de los propietarios de los equipos que se van a testear, además de tener la intención de causar un daño real.

Estos test están diseñados para clasificar y determinar el alcance y la repercusión de los fallos de seguridad. Gracias a estos test, se obtiene conocimiento y consciencia del peligro que existe en el sistema testeado, de las defensas de las que dispone y de su eficiencia.

Además, también proporciona datos de probabilidades de éxito de un ataque al sistema y otras vulnerabilidades existentes en este que no se pueden hallar de otra forma.

Tipos de Pentesting


Según el tipo de información que se tenga sobre el sistema para su testeo, hay diferentes formas de realizar estas pruebas:

  • Pentesting de caja blanca: en este tipo de test sabemos todo a cerca del sistema, la aplicación o la arquitectura. Es el Pentest más completo. Este método parte de un análisis integral, que evalúa toda la infraestructura de red. Al disponer de un volumen tan alto de información, suele realizarse por miembros del propio equipo de TI de la empresa.
  • Pentesting de caja negra: en este, sin embargo, no disponemos de ningún tipo de información sobre el objetivo. Es casi como una prueba a ciegas y el más cercano a seguir las características de un ataque externo. Su actuación es la más similar a la de los cibercriminales.
  • Pentesting de caja gris: este sería una mezcla entre los dos anteriores, es decir, se posee ya cierta información, pero no la suficiente, por lo que se invertirá tiempo y recursos para identificar las vulnerabilidades y amenazas en base a la cantidad de información que se tenga. Es el pentest más recomendado.


Se deben tener en cuenta estos tipos de pentesting ya que, muchas veces, las condiciones del test irán determinadas en base a lo que establece el cliente.

Fases o métodos de pentesting


Una vez se ha determinado el tipo de prueba a realizar, el siguiente paso es elegir el método. Esta elección se basa en las necesidades existentes y en función de las características del sistema, o de los requerimientos de la empresa.

Estos son algunos de los métodos de pentesting:

  • ISSAF (Information Systems Security Assessment Framework): organiza la información alrededor de los criterios de evaluación, escritos y revisados por expertos.
  • PCI DSS (Payment Card Industry Data Security Standard): este método fue desarrollado por las compañías de tarjetas de débito y de crédito más importantes y sirve como guía para las organizaciones que procesan, almacenan y transmiten datos de los titulares de las tarjetas.
  • PTES (Penetration Testing Execution Standard): es puesto en práctica por muchos profesionales altamente reconocidos del sector, además de ser un modelo a seguir en libros de aprendizaje asociados al pentesting.
  • OSSTMM (Manual de la Metodología Abierta de Testeo de Seguridad): sus pruebas no son especialmente innovadoras, pero es uno de los primeros acercamientos a una estructura global de concepto de seguridad. Este modelo es referente en instituciones que precisan de un pentesting de calidad, ordenado y eficiente.

Estos métodos son extensos y densos de tratar, pero conocerlos en profundidad es una necesidad a la hora de aplicarlos.

En iDric disponemos de un servicio de pentesting, si necesitas una atención personalizada nuestro equipo de profesionales en ciberseguridad proporciona tranquilidad y calidad a nuestros clientes.

TE INVITAMOS A CONOCER MÁS DE NUESTROS SERVICIOS DE SEGURIDAD TI:

Pruebas de pentesting
Análisis de vulnerabilidades
Hacking ético

 

Visitas: 39

ARTICULOS RELACIONADOS

¿Qué es y cómo trabaja un CSIRT para dar respuesta a incidentes?

Principales características y los beneficios de contar con personal que integre estrategias en ciberseguridad.

concientización en ciberseguridad csirt cultura de seguridad Seguir leyendo keyboard_arrow_right
Jul 2021 Visitas: 46

México es el segundo país en América Latina con más negocios hackeados

En lo que va de 2021, el 22.8% de los ciberataques están dirigidos a empresas en México.

ciberataques kaspersky negocios cackeados Seguir leyendo keyboard_arrow_right
Jul 2021 Visitas: 39

¿Qué es un plan de concienciación de seguridad informática?

La única defensa conocida para los ataques de ingeniería social es un programa efectivo de concienciación de seguridad.

ciberseguridad concientización en ciberseguridad cultura de seguridad Seguir leyendo keyboard_arrow_right
Jul 2021 Visitas: 43

COMENTARIOS

SUSCRÍBETE

help_outline