Tipos de pentesting y sus procedimientos

Compartir esta publicacion

Share on facebook
Share on linkedin
Share on twitter
Share on email

El objetivo del Pentesting o también llamado Test de Penetración se diseñó para determinar los alcances de los fallos de seguridad de los sistemas dentro de una organización, asimismo, se cataloga como una de las prácticas con mayor demanda, pues gracias al test, la organización sabe a qué tipo de peligros se encuentra expuesta y puede llegar a saber cómo se encuentra su nivel de eficiencia para defenderse de ataques externos o internos [1].

El Pentester o auditor de ciberseguridad es una profesión de alta demanda dentro del campo de la seguridad informática, esto lo convierte en uno de los profesionales más solicitados el día de hoy [1].

Existen varias clases de Pentesting, pero estos se clasifican en tres, las cuales se usan de acuerdo a la información que se deba recolectar. Los tipos o clases de Pentesting son los siguientes [1].

Caja Negra o “Black Box” 

Se trata de un Pentesting más real que no posee los datos con respecto a la empresa, este debe actuar como un ciberdelincuente más. Por eso, al tratarse de un hipotético caso de prueba a ciegas, el pentester debe descubrir las vulnerabilidades y potenciales amenazas en las estructuras que conforman la red [1].

Caja Blanca “White Box”

El Pentester para este caso tiene toda la información a su disposición, como datos del sistema, IPs, Firewall, Estructura y contraseñas. Por lo general en este caso especial, el Pentester hace parte del equipo técnico de la empresa. De manera adicional, gracias a toda información que puede poseer, le es relativamente fácil al Pentester saber si puede modificar o mejorar cada una de las partes de la arquitectura del sistema [1].

Caja Gris “Gray Box”

Se puede definir de los dos anteriores, el auditor posee una limitada cantidad de información a la hora de realizar los test, es decir que cuenta con la suficiente información para no partir de cero. El Pentesting de caja gris es uno de los más recomendados, pues se necesitará más tiempo y medios para poder hacer el test de penetración en su totalidad [1]. 

Independientemente sea el tipo de Pentesting a realizar, el auditor debe seguir una serie de procesos o pasos determinados los cuales garanticen un buen examen, para que pueda realizar así todas las averiguaciones posibles sobre los potenciales fallos o brechas dentro del sistema [1].

Como primer paso o fase el Pentester hace la auditoría, dentro de ella debe evaluar con qué datos puede contar y cuál tipo de Pentesting va a realizar. De forma habitual el cliente o la organización determina la cantidad de la información que puede proveer al analista y así el cliente determina el tipo de test requerido [1].

En la recolección de información el Pentester debe hacer múltiples pruebas con el objetivo de analizar las vulnerabilidades, fugas de información entre otras. Esto lo obliga a hacer uso de varias herramientas las cuales le ayudarán a valorar aspectos clave; por ejemplo, la manera de proceder de los empleados o el entorno de la organización [1].

Una vez haya recabado la información y tomar la decisión de qué forma va a actuar, el Pentester organiza los ataques, y de manera adicional mantiene el acceso al objetivo, para después realizar los ataques [1].

Como punto final el Pentester debe elaborar un informe de acuerdo al alcance e impacto de los fallos de seguridad atacados, al mismo tiempo en el informe va pasmada una serie de recomendaciones sobre los pasos para suprimir o minimizar los fallos del sistema [1].

Fuentes

www.campusciberseguridad.com

Suscríbete a nuestro Newsletter

Reciba actualizaciones y aprenda de los mejores

Más para explorar

Estamos para ayudarte

Déjanos tus datos, nuestro equipo se pondrá en contacto para brindarte la mejor solución.

We are here to help you

Leave us your information, our team will contact you to provide you with the best solution.