0% encontró este documento útil (0 votos)
115 vistas3 páginas

PENTEST

Descargar como docx, pdf o txt
Descargar como docx, pdf o txt
Descargar como docx, pdf o txt
Está en la página 1/ 3

PENTEST

El pentest es una la palabra compuesta que se refiere a pen proviene de


penetración y test refiere a prueba, es decir, esta palabra refiere a una prueba de
penetración en un sistema informático. Hay que resaltar que estas pruebas de
testeo se realizan con autorización del personal de la empresa como una forma de
buscar y corregir vulnerabilidades dentro del mismo. Para evitar los ciberataques y
proteger los sistemas, es clave que la ciberseguridad avance a la misma velocidad
que lo hacen las nuevas tecnologías y aquí es donde entra en juego el Pentesting
y el trabajo del Pentester. Este consiste en atacar diferentes entornos o sistemas
con la finalidad de encontrar y prevenir posibles fallos en el mismo.   el “Pentester”
o Auditor de ciberseguridad es una de las profesiones más demandas dentro del
mundo de la Seguridad Informática, lo que los convierte en uno de los
profesionales más solicitados del momento, al igual que las escuelas donde se
imparte esta especialización. Este procedimiento se considera legal debido a que
es previamente consultado con el cliente es quien busca mejorar la seguridad
dentro de la organización buscando salvaguardar y proteger la información como
el recurso más valido en el siglo XXI.

TIPOS DE PENTESTING

Existen varios tipos de Pentesting que se clasifican según el tipo de información


que se tenga a la hora de realizar los test:

1. Pentesting de caja blanca “Black Box”

Encontramos el Pentesting de caja blanca “White Box”, que hace referencia a un


auditor que tiene conocimiento detallado de cómo funciona el sistema: esturctura,
ips, contraseñas, firewalls y por lo general este hace parte de la empresa, es decir,
es del departamento de sistemas o tecnología de la información y las
comunicaciones. Gracias a toda esta información preliminar es relativamente fácil
saber qué puede ser modificado o mejorado dentro de la arquitectura del sistema.

2. Pentesting de caja negra “Black Box”


Es el tipo de pentesting más se asemeja a la realidad ya que, el Pentester no tiene
apenas datos sobre la organización y actúa como un ciberdelincuente más. Por
eso, como si fuera una prueba “a ciegas” se debe descubrir las vulnerabilidades y
amenazas en la estructura de la red. Es decir este a va sin un previo conocimiento
de los sistemas e intentara atacar para encontrar todas las vulnerabilidades que le
sea posible.

3. Pentesting de caja gris “Grey Box”

Puede definirse como la mezcla de los dos anteriores, el auditor posee cierta
información a la hora de realizar el test, la suficiente para no partir de cero. Es el
tipo de pentest más recomendado ya que se necesitará tiempo y medios para
poder realizar este test de penetración en su totalidad.

FASES DE UN PENTESTER

El trabajo que realiza un Pentester consiste en seguir varios procesos o pasos


determinados que garanticen un buen examen y que pueda realizar así todas las
averiguaciones posibles sobre fallos o vulnerabilidades en el sistema, entre los
que se encuentra:

 Determinar una auditoría

Se debe conocer el alcance de las pruebas, entorno, información adicional, etc.


Esta fase se comienza con algo sencillo.

 Recoger información

Para que el pentesting o Pentester tenga éxito, hay que descubrir las posibles
fugas de datos, publicación de servicios, el software o los protocolos empleados,
etc. Es importante realizar varias veces pruebas para verificar que la información
obtenida es correcta.
 Acceso al sistema

Una vez se han identificado los elementos y las características de estos, se


diseñan diferentes vectores de ataque y se intenta verificar la posibilidad de atacar
las vulnerabilidades.
Existen herramientas automatizadas que facilitan el trabajo como Metasploit.
 Mantener el acceso

Dependiendo de las características de la auditoría, esta fase puede tener más o


menos importancia, pero para los ciberdelincuente es fundamental mantener el
acceso al objetivo atacado, por muy mínimo que sea.
 Generar un informe

Una vez se obtengan todos los datos, la auditoría de seguridad, debe generar un
informe sobre el pentesting donde figuren las vulnerabilidades encontradas,
alcance o el impacto si estas fueran atacadas y las posibles medidas para poder
eliminar o minimizar las vulnerabilidades.
Estas fases deben estar siempre presentes en una auditoría de seguridad
informática para poder realizar un pentester o pentesting con éxito.

También podría gustarte