Your IP: Unknown · Your Status: Unprotected Protected

Blog In Depth

¿Qué es un pentesting, o prueba de penetración?

Feb 06, 2020 · 3 min read

¿Qué es un pentesting, o prueba de penetración?

Si le interesa la ciberseguridad, es probable que haya oído hablar de los pentestings. A continuación vamos a ver en qué consisten y por qué pueden ayudar a proteger sus equipos o los de su empresa.

¿Qué es un pentesting?

Esencialmente, un pentesting (o pentest) es una prueba que se realiza a un dispositivo informático con el fin de detectar cuáles son sus potenciales vulnerabilidades o puntos débiles. Un pentesting, entonces, simula el ataque de diversas herramientas utilizadas habitualmente por los hackers para acceder a un equipo. Sin embargo, un pentesting nunca llegará a infectar realmente los dispositivos, por lo que es inocuo. Solamente le hará saber cuáles son sus vulnerabilidades para que puedan subsanarse y protegerse así de un potencial hackeo.

¿Cómo se realiza un pentesting?

Hay diversas formas de hacerlo. Una de las principales formas de clasificar los pentests se establece en función del conocimiento previo que se tiene del equipo que se debe testear. Los pentest de caja blanca dispondrán previamente de toda la información referente al equipo, sistema operativo, arquitectura, etc., mientras que los de caja negra partirán a ciegas para simular mejor la información que es capaz de obtener un hacker exterior.

¿Qué métodos hay para realizar un pentesting?

Existen numerosos métodos y herramientas, pero generalmente siempre será aconsejable dejarse guiar por el pentester que realizará la prueba. Algunos de los métodos más comunes son:

PTES y OWASP

Se trata de dos de los primeros estándares en materia de pentesting y cuentan con muchísimos años de recorrido ofreciendo grandes resultados, con lo que son de las primeras herramientas que se enseñan en los manuales de referencia.

OSSTMM

Más orientado a las empresas, el OSSTMM se ha abierto camino hasta consolidarse también como una de las herramientas más importantes y útiles en materia de pentesting, llegando casi al nivel de PTES y OWASP.

PCI

Dedicado específicamente a la protección de la información de las tarjetas de crédito, este sistema fue desarrollado por la ISSAF y es la principal herramienta a la hora de comprobar la seguridad de los equipos que trabajan con información relacionada con las tarjetas de crédito o débito.

¿Por qué realizar un pentesting?

Por muchas razones. Tanto si se trata de equipos personales como equipos de empresa, el pentesting permitirá conocer de primera mano las vulnerabilidades presentes para que puesan subsanarse antes de que sean aprovechadas por un hacker o por una infección de software malicioso. Los riesgos a los que se expone en caso de no hacerlo, son:

Pérdida de datos personales

Su nombre y apellidos, número de DNI, últimas nóminas, números de tarjeta de crédito y débito, contraseñas de correo y mucha más información personal están almacenados en su equipo, su teléfono y muchos otros dispositivos. El robo de estos datos puede convertirle en víctima de extorsiones o incluso conllevar graves pérdidas económicas a través de sus tarjetas.

Pérdida del acceso a sus dispositivos

Si un equipo es vulnerable, puede ser víctima de un ataque de ransomware que encriptará los archivos y los dejará inutilizables hasta que se pague una fianza fijada por el hacker que los esté manteniendo retenidos. En muchas ocasiones la fianza solicitada es tan alta que resulta imposible hacerle frente, con lo que pasado un determinado número de días, los archivos son destruidos y pueden conllevar graves pérdidas económicas para particulares y empresas.

Infección por diversos tipos de malware

Una vez que haya infectado su equipo con determinados tipos de malware, es probable que el siguiente paso del hacker sea infectar todos los dispositivos relacionados con el suyo: no solamente los de su casa o trabajo, sino los de su lista de contactos o los de las personas con quienes ha intercambiado correos en los últimos meses. Esto puede perjudicar sus equipos y deteriorar la imagen que tienen de usted o incluso puede afectar a los equipos de la empresa donde trabaja y destruir sus nóminas, cuentas y muchos otros datos laborales de primera necesidad.


Ilma Voigt
Ilma Voigt successVerified author

Ilma Voigt is a content creator passionate about technology and online security. In addition to her focus on tech, she also specializes in bringing cybersecurity insights to new markets.


Subscribe to NordVPN blog