Según la definición del EC-Council, “Los penetration tests son un procedimiento legal y estructurado para evaluar la postura de seguridad de una organización. Esta práctica simula un ataque contra la infraestructura de seguridad de la empresa, como su red, aplicaciones y usuarios, para identificar las vulnerabilidades explotables. Determina la eficacia de las políticas, controles y estrategias de seguridad de la empresa”. Por tanto, podemos decir que el Penetration Test (en corto, “pentest”) es el procedimiento que utilizan los hackers éticos para evaluar la eficacia de la seguridad del cliente.
Existen varias metodologías que incluyen diferentes procedimientos de Penetration
Metodologías y Procedimientos Penetration Tests
- OSSTMM (manual de metodología de pruebas de seguridad de código abierto)
- OWASP (Proyecto de seguridad de aplicaciones web abiertas)
- ISSAF (Marco de evaluación de la seguridad de los sistemas de información)
- NIST (Instituto Nacional de Estándares y Tecnología USA)
- LPT (Licencia de Penetration Test del EC-Council)

Sin embargo, no existen grandes diferencias en cómo estas metodologías estructuran la Penetration tests. En general, podemos diferenciar diferentes fases.
Fases Penetration Tests
- Alcance y planificación: definir el objetivo del Penetration Test y la planificación de su ejecución.
- Reconocimiento: primera búsqueda de información sobre las organizaciones y sistemas en el ámbito del proyecto, normalmente basada en datos públicos.
- Escaneo: en base a la información recopilada en el reconocimiento, se utilizan escáneres para obtener detalles y descubrir vulnerabilidades.
- Obtener y escalar accesos: intentar aprovechar las vulnerabilidades detectadas, acceder al sistema y, una vez dentro, obtener tantos privilegios como sea posible.
- Mantener el acceso: mantener una puerta abierta para acceder a los sistemas de destino en la función. Implica borrar los rastros, para que no se detecte el acceso no autorizado.
- Documentación de los resultados: los resultados del Penetration Test deben estar debidamente documentados para que el cliente comprenda los problemas. No solo debe revelar las vulnerabilidades, sino también abordar las soluciones e incluir recomendaciones para mejorar la seguridad. Con frecuencia, el informe incluye un plan de acción, que incluso se verifica después de cierto tiempo.
No todos los Penetration Tests pasan por todas las fases: es posible que, dentro del alcance definido, no sea posible acceder a los sistemas, por lo que las fases 4 y 5 no aplican. Como cada fase se basa en los resultados de la anterior, los primeros pasos son realmente importantes.
El alcance es clave en el proceso, ya que determina la extensión del test así como delimita responsabilidades y protege legalmente tanto al cliente como al hacker. El reconocimiento y el escaneo están condicionados por el alcance acordado, y la obtención de acceso también depende en gran medida del alcance del tiempo, ya que muchas herramientas y procedimientos requieren mucho tiempo (por ejemplo, para un ataque de fuerza bruta, cuanto más tiempo, mejor).
Una parte importante del alcance es la decisión sobre el tipo de prueba Penetration test a realizar:
- Test externo: el hacker no tiene acceso normal a los sistemas, de modo que está en la misma situación de un black-hat no vinculado con el cliente.
- Test interno: el hacker tiene cierto nivel de acceso a los sistemas, como si fuera un empleado o trabajador externo.
- Test de caja negra: el cliente no proporciona ninguna información específica al hacker, por lo que debe obtener toda la inteligencia mediante los procesos de exploración y reconocimiento.
- Test de caja gris / caja blanca: el cliente proporciona alguna información o, en caso de prueba de caja blanca, documentación completa de los sistemas y procesos involucrados en el alcance.
En la imagen podemos ver un resumen del alcance de un informe de prueba de penetración real:

En este ejemplo, podemos ver el número de certificación del hacker ético que realizó la prueba, así como las herramientas que utilizó. En la metodología, se especifica que la prueba fue externa y de caja gris. También se detallan algunos detalles relevantes sobre la metodología y el contexto:
- El reconocimiento y el escaneo activos implican que el hacker interactuará con los sistemas para extraer información. Esa interacción podría impactar en el rendimiento y podría ser detectada por los sistemas de defensa. Como se explica en el contexto, el proveedor de hosting no está informado acerca de la prueba, por lo que el firewall perimetral permanecerá activo y se podrá detectar la intrusión.
- Sin ingeniería social, sesión hijacking o ataques de “man-in-the-middle” significa que los empleados no serán molestados ni involucrados en la prueba de ninguna manera. Eso es muy habitual en las pruebas de penetración regulares, a menos que exista un interés específico en evaluar estos riesgos.
- Sin ataque de denegación de servicio, para evitar un impacto en el negocio.
Puedes leer en el siguiente enlace el primer artículo que publicamos sobre hacking ético. En el próximo post, hablaremos sobre hacking ético y Penetration Tests para sistemas SAP, que como veremos, presenta algunas peculiaridades significativas.
NovisEuforia colabora con Santa Marta AB para ofrecer una ambiciosa iniciativa respecto a la mejora de la Ciberseguridad en entornos SAP.