Seguridad Integral

3 tipos de pentesting

Alfonso Orrantia
Webmaster


Publicado May 2020



La prueba de penetración (Pen-testing) es un componente crítico e indispensable que toda organización debe tener en su arsenal de ciberseguridad. Las pruebas de penetración permiten a las organizaciones evaluar la fuerza y ​​la eficacia de sus medidas de seguridad donde los evaluadores de confianza simulan ciberataques en condiciones seguras y presentan un informe con el estado y las sugerencias de contramedidas para minimizar los riesgos y mejorar la postura de seguridad.

No es prudente ni financieramente viable realizar pruebas de pluma al azar / a ciegas o para todos sus activos digitales y componentes del sitio web / aplicación web / red. El alcance y el nivel de intrusión de cualquier prueba de lápiz depende de sus resultados, necesidades y contexto esperados. Un profesional de seguridad confiable y experto, como Indusface, siempre elegirá la combinación correcta de herramientas, métodos y técnicas de prueba de penetración basadas en estos parámetros.

En este artículo, analizaremos las pruebas de penetración clasificadas en función de cómo se realizan las pruebas / métodos, así como los componentes / activos / áreas a los que se dirige.

Tipos de prueba de pluma basados ​​en los métodos utilizados


Prueba de caja negra


Black Box Pen-testing , también conocido como prueba externa o prueba y prueba de error, es donde los activos externos de la empresa / activos visibles en Internet. Este tipo de pruebas emulan un ataque del mundo real en el que el probador no conoce los entresijos de la aplicación / red / sistema y lanzará un ataque de fuerza bruta o un ataque ciego en la infraestructura de TI.
El probador extrae información sobre los objetivos y evalúa su funcionalidad en función de las entradas de bots u otros procesos y herramientas automatizados que descubren vulnerabilidades y lagunas en el sistema / red / aplicación objetivo.

Prueba de caja blanca


White Box Pen-testing , también conocido como Internal Testing o Structural / Clear / Glass Box Testing, es donde el probador tiene acceso a nivel raíz / administrador y completa información sobre los sistemas / redes / aplicaciones que se van a probar, incluyendo el código fuente, esquema de dirección IP, detalles del sistema operativo, etc. El objetivo es probar la estructura interna y la fuerza de los sistemas / redes / aplicaciones contra personas maliciosas o un extraño que ha robado las credenciales mediante un ataque de phishing.

Con White Box Testing, puede comprender si las operaciones internas y los módulos se ejecutan correctamente según las especificaciones, y detectar errores lógicos, de diseño, tipográficos y de sintaxis, así como configuraciones incorrectas dentro de la infraestructura o el entorno. Estos requieren herramientas de prueba de penetración mucho más sofisticadas.

Prueba de caja gris


Gray Box Pen-testing es donde el probador recibe información parcial sobre los sistemas / redes / aplicaciones, como el acceso al código de software, diagramas de arquitectura del sistema, etc. para simular un ataque. Este tipo de prueba emula un escenario en el que una entidad externa ha obtenido acceso ilegítimo a documentos de infraestructura y rastrea cómo el acceso parcial a la información afecta al objetivo.

Tipos de prueba de pluma basados ​​en componentes / activos / áreas dirigidos


Pruebas de servicios de red

El tipo de prueba de lápiz más común y en demanda, la prueba de servicios de red, busca descubrir vulnerabilidades y brechas en la infraestructura de red y combina pruebas internas / del lado del cliente y externas / remotas. No es un tipo de prueba de pluma profunda. Aquí, las áreas de red objetivo incluyen la configuración de firewall, análisis de estado, SQL Server, servidores de correo SMTP, DNS, evasión de IPS, etc.

Prueba de aplicaciones web

Web Application Testing es un tipo de prueba de lápiz mucho más intenso, profundo, detallado y específico para descubrir vulnerabilidades, brechas y configuraciones erróneas en la aplicación web. Es un tipo de prueba complejo que requiere mucho tiempo y donde la planificación y la estrategia son esenciales para una mayor efectividad. Las áreas seleccionadas aquí incluyen API, ActiveX, complementos, applets, scriptlets, etc.

Pruebas del lado del cliente

Este tipo de prueba busca identificar vulnerabilidades en el software que surgen localmente y pueden explotarse desde el extremo del cliente. Por ejemplo, navegador web, software de creación de contenido (MS Office Suite, Photoshop, Adobe Page Maker), reproductores multimedia, etc.

Pruebas de ingeniería social

Aquí, el probador intenta simular un ataque engañando a empleados / usuarios para obtener información confidencial o de propiedad exclusiva. El objetivo es poner a prueba la conciencia y la fuerza de la red humana en la organización. Hay dos subcategorías en las pruebas de ingeniería social:

  • Pruebas remotas donde se utilizan técnicas de phishing para robar información confidencial a través de medios electrónicos.
  • Pruebas físicas en las que el probador utiliza medios físicos o presencia mediante suplantación, inmersión en contenedores, amenazas, llamadas telefónicas convincentes, etc. para obtener acceso a información confidencial.


Prueba de red inalámbrica

Este tipo de prueba de lápiz busca identificar vulnerabilidades y debilidades en los dispositivos inalámbricos utilizados en el lado del cliente. Por ejemplo, tabletas, teléfonos inteligentes, computadoras portátiles, etc. Estas pruebas también incluyen protocolos inalámbricos, puntos de acceso inalámbrico y credenciales de administrador.


Déjanos un comentario: