Cómo efectuar un Pentesting

A raíz de los diferentes ataques cibernéticos perpetrados por grupos delincuenciales que afectan a diferentes organizaciones, se tiene disponible el Pentesting o test de penetración, que consiste en atacar diferentes entornos o sistemas con el objetivo de detectar, fallos o errores de seguridad, en este post te brindamos las información Cómo efectuar un Pentesting con la información más relevante.

El Pentesting es uno de los procesos sistemáticos ya que gracias a este tipo de exámenes las empresas pueden remediar sus vulnerabilidades antes que sus sistemas sean vulnerados por este tipo de delincuentes. Cómo efectuar un Pentesting

Índice

Cómo efectuar un Pentesting y sus diferentes metodologías

Para realizar un Pentest o Pentesting existen diferentes metodologías, entre ellas podemos mencionar las siguientes:

PCI DSS -- Es un método que sirve como apoyo a las organizaciones que procesan, almacenan y transmiten datos de los titulares de tarjetas de crédito.

OWASP - Un método enfocado a la auditoria de aplicaciones web.

ISSAF -- Permite organizar la información de acuerdo a los criterios de evaluación, escritos y revisados por los expertos.

Penetration Testing Framework de Vulnerability Assessment -- Nos enfoca en la metodología que se debe seguir y nos sugiere herramientas para realizar cada una de las etapas del Pentest.

Cómo efectuar un Pentesting y quienes lo realizan

Una prueba de Penetración o Pentesting es realizado por profesionales éticos al servicio de la empresa DragonJAR con amplia experiencia en el área de la Seguridad Informática, bien conocidos a nivel internacional, por la variedad de proyectos ejecutados a importantes empresas y por los buenos resultados que se han obtenido.

DragonJAR, internamente cuando presta los Servicios de Seguridad Informática, lo hace con una metodología propia, donde se integra lo mejor de las metodologías mencionadas y se fusionan para que el solo diagrama hable por si mismo y cuando una persona se enfrente a él, conozca claramente en detalle los pasos a realizar en cada una de las etapas del Pentesting.


Si deseas acceder a un curso gratuito de Introducción al Pentesting donde te explicamos esta metodología y el paso a paso de como se debe realizarlo de forma gráfica y fácil de entender, solo debes estar disponible y acceder por el enlace.

Tipos de Pentesting y métodos para realizarlos

Caja blanca -- Nuestro experto profesional que realiza el Pentesting conoce en su totalidad la información de su entorno informático, como:

  • Contraseñas
  • Códigos
  • IP
  • Logins
  • Firewall
  • Entre Otros

Caja negra -- Este tipo de Pentesting se efectúa desde cero, no tiene ningún conocimiento sobre el sistema.

Caja gris -- Es una técnica que combina las dos anteriores.

Para realizar este tipo de pruebas, se pueden realizar los siguientes dos métodos.

Pentesting manual : Aquí se destaca la experiencia del Pentester, en conjunto con herramientas, algunas de ellas automatizadas. Permite una mayor calidad de resultados.

Pentesting automatizado: Aquí la verificación es realizada en su totalidad por una máquina, que imita el ataque de un hacker garantizando una operación sin interrupción de la red.

Fases para ejecutar un Pentesting

Con nuestro equipo de profesionales se realizan cinco fases para ejecutar una prueba de penetración con los mejores resultados.

Recopilación de Información

Al inicio del proceso y en primer lugar se debe recopilar la información sobre el sistema que se va a evaluar, se debe tener conocimiento sobre lo que más se pueda y de esta manera poder realizar una auditoria bien completa, aquí lo que más debemos destacar es la información, cuanta más se tenga los pasos a seguir serán mucho más fáciles.

Búsqueda de vulnerabilidades

Teniendo suficiente información hay que buscar las vulnerabilidades, esta labor se recomienda hacerla de forma manual buscando a partir de la información que hemos recopilado.

Explotación de vulnerabilidades en Cómo efectuar un Pentesting

Una vez se han detectado las vulnerabilidades, se accede al sistema para obtener el mejor provecho de él. El Pentester puede comprobar que dichas vulnerabilidades son realmente explotables y, por lo tanto, suponen un riesgo real ante una amenaza.

Post-explotación

Esta fase no se da siempre, como su nombre lo indica es lo que se realiza después de la explotación y de haber obtenido acceso y haber encontrado una vulnerabilidad que permita realizar otras acciones en el sistema auditado o a su entorno.

Elaboración de informes

Una vez se ha finalizado el test de penetración, se realizan informes técnicos donde se detallan las vulnerabilidades y su criticidad, como se han explotado y las recomendaciones necesarias para su remediación.


Subir