{"id":5853,"date":"2018-06-07T15:33:50","date_gmt":"2018-06-07T18:33:50","guid":{"rendered":"https:\/\/ostec.blog\/seguridad-perimetral\/pentest-conceito-tipos"},"modified":"2020-08-31T12:02:06","modified_gmt":"2020-08-31T15:02:06","slug":"pentest-concepto-tipos","status":"publish","type":"post","link":"https:\/\/ostec.blog\/es\/seguridad-perimetral\/pentest-concepto-tipos\/","title":{"rendered":"Pentest: \u00bfqu\u00e9 es y cu\u00e1les son los principales tipos?"},"content":{"rendered":"

La creciente incidencia de ataques virtuales asombra a empresas y personas por todo el mundo. En un estudio realizado por la (ISC)\u00b2, se concluy\u00f3 que el 44% de los profesionales de TI apuntan a ransomware como el mayor miedo a la seguridad corporativa en 2018.<\/p>\n

Como prevenci\u00f3n, algunas medidas deben tomarse. La gran duda de analistas y gestores de tecnolog\u00eda, sin embargo, es: \u00bfd\u00f3nde est\u00e1n las fragilidades y vulnerabilidades? Al tener esta informaci\u00f3n, ciertamente el proceso de perfeccionamiento de las defensas es m\u00e1s efectivo y certero.<\/p>\n

El Pentest es una gran opci\u00f3n para alcanzar ese objetivo y es exactamente sobre \u00e9l que vamos a hablar en este blog post. Si tienes inter\u00e9s, basta con seguir leyendo para comprender su concepto, tipos y beneficios.<\/p>\n

\u00bfQu\u00e9 es el Pentest?<\/h2>\n

Pentest es la abreviatura de Penetration Test<\/em>(Prueba de Penetraci\u00f3n, en traducci\u00f3n literal). Es tambi\u00e9n conocido como Prueba de Intrusi\u00f3n, pues hace la detecci\u00f3n minuciosa con t\u00e9cnicas utilizadas por hackers \u00e9ticos – especialistas en seguridad de la informaci\u00f3n contratados por corporaciones para realizar tales pruebas, sin ejercer actividades que perjudiquen a la empresa o tengan efecto criminal.<\/p>\n

La prueba de intrusi\u00f3n tiene como objetivo encontrar potenciales vulnerabilidades en un sistema, servidor o, en general, en una estructura de red. Pero, m\u00e1s que eso, el Pentest utiliza herramientas espec\u00edficas para realizar la intrusi\u00f3n que muestra qu\u00e9 informaci\u00f3n o datos corporativos pueden ser robados por medio de la acci\u00f3n.<\/p>\n

De esta forma, analistas de tecnolog\u00eda tendr\u00e1n la posibilidad de conocer m\u00e1s a fondo sus debilidades y donde necesitan mejorar. Los esfuerzos e inversiones en Seguridad de la Informaci\u00f3n<\/strong><\/a>se centrar\u00e1n en las debilidades de la corporaci\u00f3n, blindando la estructura contra cualquier potencial cuello de botella de seguridad.<\/p>\n

Pentests de Caja Blanca, Negra y Gris<\/h2>\n

Hay algunas maneras de realizar pruebas de intrusi\u00f3n, cada una de ellas tendr\u00e1 una eficiencia diferenciada. Entre ellas, podemos destacar la White Box, la Black Box y la Gray Box.<\/p>\n

White Box<\/h3>\n

La prueba White Box, o de \u00abCaja Blanca\u00bb, es el Pentest m\u00e1s completo. Esto es porque parte de un an\u00e1lisis integral, que eval\u00faa toda la infraestructura de red. En el caso de que se produzca un error en el sistema, es posible que, al iniciar el Pentest, el hacker \u00e9tico (o pentester, nombre dado a los profesionales que act\u00faan con esas pruebas) ya posee conocimiento de todas las informaciones esenciales de la empresa, como topograf\u00eda, contrase\u00f1as, IPs, logins y todos los dem\u00e1s datos que se refieren a la red, servidores, estructura, posibles medidas de seguridad, firewalls<\/strong><\/a>, etc.<\/p>\n

Con estas informaciones preliminares, la prueba puede dirigir certero su ataque y descubrir lo que necesita ser mejorado y reorientado. Por ser un volumen alto de informaci\u00f3n preliminar, generalmente este tipo de Pentest es realizado por miembros del propio equipo de TI de la empresa.<\/p>\n

Black Box<\/h3>\n

La prueba Black Box, o \u00abCaja Negra\u00bb, es casi como una prueba a ciegas, pues sigue la premisa de no poseer gran cantidad de informaci\u00f3n disponible sobre la corporaci\u00f3n. Aunque sea dirigido, pues alcanzar\u00e1 a la empresa contratante y descubrir\u00e1 sus vulnerabilidades, el Pentest de Caja Negra es el m\u00e1s cercano a seguir las caracter\u00edsticas de un ataque externo.<\/p>\n

Dadas estas caracter\u00edsticas, sin gran mapeo de informaciones, actuar\u00e1 de forma extremadamente similar a la de cibercriminales – lo que es una gran experiencia, si no parte de forma maliciosa y sirve apenas como un m\u00e9todo de reconocer fragilidades en la estructura de red.<\/p>\n

Gray Box<\/h3>\n

Definido como una mezcla de los dos tipos anteriores, el Gray Box – o \u00abCaja Gris\u00bb – ya posee cierta informaci\u00f3n espec\u00edfica para realizar la prueba de intrusi\u00f3n. Sin embargo, esta cantidad de informaci\u00f3n es baja y no se compara a la cantidad de datos disponibles en un Pentest de Caja Blanca.<\/p>\n

Dada esta forma, la prueba de Caja Gris invertir\u00e1 tiempo y recursos para identificar tales vulnerabilidades y amenazas, bas\u00e1ndose en la cantidad de informaci\u00f3n espec\u00edfica que tiene. Es el tipo de Pentest m\u00e1s recomendado, si existe la necesidad de contratar alguno de estos servicios.<\/p>\n

Los tipos de Pentest<\/h2>\n

Ahora que ya sabes las maneras en que se pueden realizar las pruebas de intrusi\u00f3n, adem\u00e1s de la cantidad de informaci\u00f3n que cada uno de ellos requiere para alcanzar cierta eficiencia, haremos un r\u00e1pido abordaje en los tipos de Pentest disponibles.<\/p>\n