Inicio > Glosario de ciberseguridad > Pentest (pruebas de penetración)

Pentest (pruebas de penetración)

Un pentest es una prueba de intrusión realizada por un experto en ciberseguridad (denominado pentester o hacker ético) que intenta infiltrarse en el sistema informático de una organización para detectar fallos de seguridad explotables.

L’objectif est d’évaluer la robustesse des défenses et de corriger les vulnerabilidades avant qu’elles ne soient exploitées par de véritables pirates informatiques.

 

👉 Tipos de pentests

Existen varios tipos de pentest, en función del nivel de información de que disponga el pentester:

  • Pentest en una caja negra el pentester no dispone de información previa sobre el sistema de destino
  • Pentest en una caja gris el pentester dispone de información parcial sobre el sistema
  • Pentest en una caja blanca el pentester tiene pleno acceso a la información del sistema, incluido el código fuente

 

Hay tipos más específicos de pentests:

  • Pentesting de aplicaciones web
  • Pentesting de redes internas
  • Pentest API
  • Pentesting de objetos conectados (IoT)

 

Google - Noto Color Emoji 15.0 (Animado) Cómo funciona un pentest

Un pentest suele constar de los siguientes pasos:

  1. Reconocimiento recopilación de información sobre el objetivo.
  2. Cartografía Inventario de activos del sistema de información.
  3. Exploración de vulnerabilidades análisis de las posibles deficiencias.
  4. Funcionamiento un intento de explotar las vulnerabilidades detectadas
  5. Elevación de privilegios derechos de administrador
  6. Propagación extensión del ataque a otras partes del sistema
  7. Limpieza restauración del sistema a su estado inicial
  8. Informe documentación de resultados y recomendaciones

 

🛠️ Herramientas utilizadas

Los pentesters utilizan diversas herramientas especializadas, como :

  • Suite Eructo
  • Kali Linux
  • Metasploit
  • Nmap
  • Wireshark
  • Juan el Destripador
  • Hashcat
  • SQLmap...

👉 Ejemplos

He aquí algunos ejemplos de lo que podría probar un pentester:

  • Intentar saltarse la autenticación de una aplicación web
  • Explotación de fallos de configuración en un servidor
  • Llevar a cabo un ataque por denegación de servicio (DoS)
  • Comprobación de la seguridad de las contraseñas de los usuarios
  • Analizar la seguridad de la red Wi-Fi de la empresa

 

Tendencias 📈

  • Pentest as a Service (PtaaS) se perfila como una solución para las organizaciones que tienen que realizar un gran número de pruebas de penetración cada año.
  • El uso de la IA y el aprendizaje automático en los pentests
  • Aumento del pentesting en entornos de nube
  • Creciente interés por las pruebas de ingeniería social

 

 

📊 Cifras y estadísticas

🇫🇷 En Francia

  • Según laANSSIAlrededor del 80 % de las grandes empresas francesas realizan pentests con regularidad.
  • El coste medio de un pentest oscila entre 5.000 y 30.000 euros, dependiendo de su alcance
  • Los sectores con mayor demanda son las finanzas, la sanidad y la industria

 

🌍 En todo el mundo

  • El mercado mundial del pentest está valorado en unos 1.700 millones de dólares
  • Crecimiento anual estimado de 13 % a 16 %
  • Más del 50 % de las empresas realizan al menos un pentest al año
  • Las vulnerabilidades descubiertas con más frecuencia siguen siendo :
    • Mala gestión de la autenticación (casi 70 pruebas %)
    • Rifts XSS y inyecciones (aproximadamente 60 %)
    • Configuración incorrecta del servidor (55 %)

Fuentes: ANSSI, informe anual de HackerOne, estudios de Portswigger sobre vulnerabilidades web, informe de Pentest-standard.com.

 

 

Hacia la ORSYS Cyber Academy: un espacio gratuito dedicado a la ciberseguridad