pentesting globatika tech

¿Qué es pentesting?

Pentesting es también conocido como test de intrusión. Es un test de seguridad que realiza un perito informático o auditor de seguridad y consiste en atacar diversos entornos informáticos de la empresa, con la intención de descubrir fallos, vulnerabilidades u otros problemas de seguridad, para así poder prevenir ataques externos hacia esos equipos o sistemas .

Estos test están diseñados para clasificar y determinar la repercusión de los posibles fallos de seguridad. Además de ofrecer datos de las posibilidades de éxito de un ataque al sistema.

Existen 3 tipos de Pentesting :

  • Prueba de Penetración de Caja Negra:

Los analistas de seguridad no tienen conocimiento del funcionamiento interno del sistema. Trabaja con la información que puede conseguir por sus propios medios, igual que lo podría hacer un ciberdelincuente.

  • Prueba de Penetración de Caja Blanca:

En este tipo de pruebas los pentesters o peritos informáticos tienen total conocimiento del funcionamiento interno del sistema. Trabaja con información que puede tener acceso uno o varios empleados dentro de la organización. Es el pentesting más completo ya que parte de un análisis integral que evalúa toda la estructura de red.

  • Prueba de Penetración de Caja Gris:

Los analistas de seguridad o peritos informáticos pueden tener conocimiento sobre algunos aspectos aunque no de todos, y se necesita más tiempo para identificar vulnerabilidades.

Fases del pentesting

Una vez determinado el tipo de prueba toca elegir el método. La elección se basa en las necesidades o requerimientos de la empresa.

Algunos de estos métodos son:

  • ISSAF (Information Systems Security Assessment Framework): organiza la información alrededor de los criterios de evaluación, escritos y revisados por expertos.
  • PCI DSS (Payment Card Industry Data Security Standard): este método fue desarrollado por las compañías de tarjetas de débito y de crédito más importantes y sirve como guía para las organizaciones que procesan, almacenan y transmiten datos de los titulares de las tarjetas.
  • PTES (Penetration Testing Execution Standard): es puesto en práctica por muchos profesionales altamente reconocidos del sector, además de ser un modelo a seguir en libros de aprendizaje asociados al pentesting.
  • OSSTMM (Manual de la Metodología Abierta de Testeo de Seguridad) Es uno de los primeros acercamientos a una estructura global de concepto de seguridad. Este modelo es referente en instituciones que precisan de un pentesting de calidad, ordenado y eficiente.