TECNOLOGÍA
Compártelo
Todo lo que debes saber del pentesting

Todo lo que debes saber del pentesting

El pentesting o también conocido como pruebas de penetración es una forma de probar vulnerabilidades en el campo de la ciberseguridad de una organización, empresa o compañía, ya sea privada o pública. Se realiza desde la perspectiva de un atacante potencial y puede incluir el uso activo de vulnerabilidades del sistema.

Pentesting

Las pruebas de penetración (también conocidas como pruebas de lápiz) permiten a los expertos en ciberseguridad (en este caso, los pentesters) identificar vulnerabilidades y debilidades en el sistema de seguridad que un atacante puede usar, tanto a nivel virtual como físico.

pruebas-de-pentest

Contenido de pentest

Prueba de penetración de red:

  1. Identificación de vulnerabilidades de la red y el nivel del sistema
  2. Identificación de configuraciones y ajustes incorrectos
  3. Identificación de vulnerabilidades en una red inalámbrica
  4. Servicios fraudulentos
  5. Falta de contraseñas seguras y protocolos débiles

Prueba de penetración de aplicación:

  1. Identificación de deficiencias en el nivel de aplicación
  2. Falsificación de solicitudes
  3. El uso de scripts maliciosos
  4. Gestión de sesiones interrumpidas, etc.

Prueba de penetración física:

  1. Piratería de barreras físicas
  2. Revisar y romper cerraduras
  3. Mal funcionamiento y sensores de derivación
  4. falla de las cámaras de CCTV, etc.

Prueba de penetración del dispositivo (IoT):

  1. Identificación de defectos de hardware y software de dispositivos
  2. Fuerza bruta contraseñas débiles
  3. Definición de protocolos inseguros, API y canales de comunicación
  4. Violación de la configuración y mucho más

Tipos de pentesting (pruebas de penetración)

  • Pentest de "caja blanca" (o white box): en esta prueba de penetración, se proporcionará al Pentester información sobre la estructura de seguridad implementada de la organización. Además, este método se puede implementar junto con el equipo de TI de la organización y el equipo de pruebas de penetración.
  • Pentest de "caja negra" (o "black box"): en este caso, las acciones de un atacante real son simuladas, ya que no proporcionan ninguna información relevante a un especialista o equipo, excepto el nombre y los datos básicos para una idea general del trabajo de la empresa.
  • Pentest de “caja gris” (o " gray box "): en esta situación, solo una pequeña parte de los empleados de la organización (1 - 2 personas), incluidos los profesionales de TI y seguridad que responderán a los ataques no tienen información sobre el escaneo existente. Para este tipo de prueba, es muy importante que el pentester o el equipo tengan el documento apropiado para evitar problemas con las agencias de aplicación de la ley, si el servicio de seguridad responde adecuadamente.
  • Pentest externo: un ataque de un hacker "ético" que se lleva a cabo contra servidores o dispositivos externos de la organización, como su sitio web y servidores de red. El objetivo es determinar si un atacante puede penetrar el sistema de forma remota y hasta dónde puede hacerlo.
  • Pentest interno: un usuario autorizado con derechos de acceso estándar realiza una imitación de un ataque, lo que le permite determinar qué daño puede causar un empleado que tiene algunas cuentas personales con respecto a la administración.

 Etapas de un pentesting

  • Recopilación de información: en una búsqueda datos sobre la organización y los empleados en fuentes abiertas, redes sociales, foros y blogs.
  • Búsqueda de una base técnica: la definición de recursos existentes, aplicaciones y medios técnicos de la una empresa.
  • Análisis de vulnerabilidades y amenazas: detección de vulnerabilidades en sistemas y aplicaciones de seguridad mediante un conjunto de herramientas y desechos, tanto comerciales como desarrolladas directamente en la empresa Pentester.
  • Operación y procesamiento de datos: imitación de un ciberataque real para obtener información sobre cualquier vulnerabilidad con un análisis posterior.
  • Generación de informes: ejecución y presentación de los resultados del pentest completado con propuestas para mejorar el sistema de seguridad.

etapas-de-un-pentesting

La importancia de realizar un pentesting

Las pruebas de penetración muestran la imagen real de la amenaza existente en el sistema de seguridad y determina la vulnerabilidad de la organización a los ataques manuales. La realización de un pentest de forma regular determinará los recursos técnicos, la infraestructura, el arsenal físico y de personal que contienen aspectos débiles que requieren desarrollo y mejora.

Es decir, por la misma razón por la que se acude al médico para un control de salud anual, tiene sentido ponerse en contacto con consultores de seguridad altamente calificados para realizar una prueba de seguridad. Por supuesto, se puedes decir que se está absolutamente sano, sin embargo, un especialista puede realizar pruebas para detectar peligros de los que ni siquiera uno mismo puede darse cuenta.

En última instancia, las pruebas de penetración son un elemento necesario para garantizar la seguridad de las organizaciones. 

Conoce nuestro Máster en Ciberseguridad

Artículo Anterior Pasar el testigo en la empresa
Artículo Siguiente ¿Por qué emplear el marketing de afiliación?
Compártelo
 

Comentarios

No hay comentarios por el momento. Se el primero en enviar un comentario.
Invitado
Martes, 17 Mayo 2022
            

Síguenos

LinkedIn Youtube Twitter Instagram Facebook

Suscríbete a nuestro Magazine

Recibe Artículos, Conferencias
y Master Class

(*) He leído y acepto la Politica de Privacidad

Masterclass Tecnología

Tecnología

Caso Práctico - Protocolo MQTT

Tecnología

Brokers MQTT

Tecnología

Session Hijacking

Recibe tu
Pase Anual de
Conferencias
#conferenciaceupe
INSCRÍBETE

Noticias más populares

CEUPE Ecuador y el CIEEPI firman convenio de colaboración académica
CEUPE – Ecuador firma el pasado 26 de mayo de 2021 en Quito, Ecuador, el convenio de cooperación académica interinstitucional con el CIEEPI - Colegio de Ingenieros Eléctricos y Electrónicos de Pichinc...
Objetivos y beneficios de la externalización logística
👉Frente a la elevada competencia en el mercado y la tendencia a reducir costes y recortar gastos, los empresarios se centran en su actividad principal y subcontratan la gestión de actividades secundar...
Métodos de análisis de la inversión
El análisis de la inversión forma parte de la teoría de la inversión. La inversión como proceso de aumento del capital del inversor requiere comprender y evaluar la viabilidad de invertir en un proyec...
5 pasos para iniciar en el marketing de afiliación
El marketing de afiliación permite ganar dinero en línea, incluso si no se cuenta con un blog o un sitio web. Después de unos simples pasos se puede comenzar a trabajar e inmediatamente ganar las prim...

EMPRESAS

¿Qué es una Filial? Características y ejemplos
Las empresas filiales son entidades que están bajo la dirección de otras organizaciones llamadas matrices. Y a pesar de pertenecer a una entidad mayor...
Cómo usar la caja registradora: instrucciones para el cajero
Una caja en línea debe estar presente en cada punto de venta. Al mismo tiempo, también han cambiado las reglas de uso de la caja registradora, lo que ...
Características de una empresa: ¿Cuáles son?
Una empresa es una organización, cuyo objetivo esencial es cubrir una demanda, ofreciendo ciertos productos y/o servicios y percibir ganancias por ell...
Pequeña empresa: Qué es, ventajas y desventajas
Las pequeñas empresas, clasificadas de acuerdo a su tamaño, son las segundas entidades con menor magnitud empresarial, solo ubicadas por delante de la...

MARKETING

Cómo convertirse en un influencer en 5 pasos + consejos
El marketing de influencia (también conocido como marketing de influencers) está eclipsando rápidamente otros tipos de promoción de bienes y servicios...
Publicidad: Qué es, elementos e importancia
La publicidad es una técnica de comunicación para conseguir un objetivo en concreto. Representa una de las herramientas más importantes de las empresa...

CIENCIAS

Síguenos

LinkedIn Youtube Twitter Instagram Facebook

Masterclass Tecnología

Tecnología

Caso Práctico - Protocolo MQTT

Tecnología

Brokers MQTT

Tecnología

Session Hijacking

Recibe tu
Pase Anual de
Conferencias
#conferenciaceupe
INSCRÍBETE

Conferencias más vistas

Thumbail
Thumbail
Thumbail
Thumbail
Thumbail

LOGÍSTICA

RRHH

TURISMO

PSICOLOGÍA

TECNOLOGÍA

FINANZAS