Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Pentesting
PENTESTING.
Protección de datos sensibles: Durante el pentesting, es importante Cumplimiento normativo: Muchas regulaciones y estándares de la industria
tener precauciones adecuadas para proteger la confidencialidad de los requieren pruebas de seguridad periódicas, como parte de los requisitos de
datos sensibles que puedan ser accesibles o descubiertos durante el cumplimiento. El pentesting ayuda a asegurar que una organización cumpla
proceso. Esto implica utilizar medidas de seguridad adecuadas para con estas obligaciones y demuestre su compromiso con la seguridad de la
evitar fugas o exposición no autorizada de información confidencial. información.
Colaboración con el equipo de seguridad interna: Trabajar en estrecha Concientización y educación en seguridad: El pentesting puede ser una
colaboración con el equipo de seguridad interna de la organización herramienta educativa para concienciar al personal sobre los riesgos de
puede ayudar a facilitar el proceso de pentesting. El intercambio de seguridad y fomentar buenas prácticas en el manejo de la información. Las
información, la comunicación constante y la colaboración activa pruebas de penetración pueden destacar las áreas donde se requiere una mayor
ayudan a garantizar una evaluación efectiva y una respuesta adecuada atención y capacitación.
a los hallazgos de seguridad.
Respuesta efectiva a incidentes: Al identificar las vulnerabilidades antes de un
Estos aspectos son fundamentales para llevar a cabo un pentesting ataque real, el pentesting permite a una organización estar preparada para
exitoso y efectivo, y deben tenerse en cuenta en cada etapa del responder de manera más efectiva a incidentes de seguridad. Se pueden
proceso, desde la planificación hasta la presentación de informes y la establecer planes de respuesta y mitigación adecuados para minimizar el
implementación de medidas correctivas.. impacto de un ataque.
2. NESSUS
Nessus posee una extensa base de datos de vulnerabilidades
conocidas en distintos servicios y, por cada una de éstas, posee
plugins que se ejecutan para identificar si la vulnerabilidad existe (o
El pentesting y la seguridad informática están estrechamente no) en determinado equipo objetivo. En resumen, al ejecutarse
relacionados. El pentesting es una actividad clave dentro del campo Nessus sin parámetros específicos, se probarán miles de
de la seguridad informática y se utiliza como una medida proactiva vulnerabilidades y se obtendrá como resultado un listado de las
para identificar vulnerabilidades y evaluar la efectividad de las vulnerabilidades que fueron identificadas.
defensas de seguridad.
Hay que indicar el objetivo, en este caso la o las direcciones IP y los
El objetivo principal del pentesting es evaluar la seguridad de los parámetros. Estos permiten limitar el campo de búsqueda,
sistemas, redes y aplicaciones simulando ataques reales. Al llevar a especialmente si en una etapa anterior se identificaron los servicios:
cabo pruebas de penetración, los profesionales de seguridad pueden no tiene sentido buscar vulnerabilidades conocidas en Linux en un
descubrir y explotar vulnerabilidades, lo que les permite comprender equipo que tiene instalado Windows.
la postura de seguridad de una organización y tomar medidas para
mitigar los riesgos identificados.
3. METASPLOIT FRAMEWORK.
El pentesting es una parte integral de un programa de seguridad
Una vez identificados los servicios y sus vulnerabilidades,
informática completo, ya que proporciona información valiosa sobre
el paso siguiente sería la explotación de las
las vulnerabilidades y debilidades existentes en una infraestructura.
vulnerabilidades. Es decir, primero se tiene que probar si
Estos hallazgos permiten a las organizaciones tomar decisiones
realmente las vulnerabilidades identificadas permiten a un
informadas para mejorar su seguridad, implementando controles y
atacante causar algún daño.
medidas de mitigación adecuadas.
4
4. DVL – DVWA
También es posible “construir” nuestro propio sistema de pruebas:
Para probar las tres herramientas anteriores, es necesario definir un tan solo instala cualquier sistema operativo (desactiva las
sistema objetivo, un sistema en el que se harán las pruebas. Una actualizaciones o instala una versión antigua) y sobre él comienza a
costumbre de quienes inician en este ámbito es realizar sus primeros instalar servicios en versiones anteriores a la última. De esta forma,
pasos y pruebas en sistemas públicos de Internet, en un entorno real. tendrás tu propio sistema vulnerable para hacer pruebas. Este entorno
Esto podría acarrear problemas legales y no es la forma correcta (ni es el correcto para dar tus primeros pasos en Penetration Testing.
ética) de realizarlo.
Kali Linux puede ser descargada como imagen ISO o directamente pueden obtener una serie de conclusiones importantes para la
para VMWare. Una vez que inicias un sistema Kali Linux, verás un seguridad de los sistemas de unaorganización.
menú muy extenso con más de 300 herramientas para pentesters. Nmap
y Metasploit Framework están incluidos en esta lista, entre otros. 1. A través del pentesting se pueden identificar las debilidades
en los sistemas de la organización y proponer soluciones
para mejorar la seguridad.
Los atacantes no solo ejecutan herramientas, sino que piensan cómo
atacar. Al momento de realizar un Pentest es fundamental no perder
de vista nuestra herramienta principal: pensar. Independientemente de 2. Evaluación de la respuesta de seguridad, permitiendo al
las herramientas de software que utilicemos, pensar constantemente pentesting evaluar la respuesta del equipo de seguridad de
como un atacante, es la clave principal para realizar un Penetration la organización ante un ataque simulado y proponer
Testing de forma exitosa. mejoras en este sentido.
Hay dos tipos de ethical hacker, aquel que solo lee y utiliza lo que
dicen las herramientas y aquel que interpreta y pone su inteligencia 3. Incremento de la conciencia de seguridad donde puede
para ofrecer un informe que realmente brinde valor a su cliente, ayudar a los miembros de la organización a comprender la
aquella empresa u organización que necesita conocer cómo mejorar importancia de la seguridad informática y los riesgos a los
la protección de la información y su infraestructura. que están expuestos.
https://revista.seguridad.unam.mx/numero-
18/pruebas-de-penetracion-para-
principiantes-5-herramientas-para-empezar