Pentesting

¿Qué es el pentesting?

Es una práctica/técnica que consiste en atacar diferentes entornos o sistemas con la finalidad de encontrar y prevenir posibles fallos en el mismo. Está diseñado para determinar el alcance de los fallos de seguridad de un sistema.

Conocimientos técnicos previos

  • Redes
  • Programación
  • Ciberseguridad
  • Arquitectura de computadoras
  • Sistemas operativos
  • Comandos de Linux
  • Comandos de Windows
  • Servidores
  • Herramientas necesarias

Alcance de un pentest

El alcance de un pentest llega hasta donde el cliente lo requiera. Como consultores, es importante reconocer que el cliente es el que requiere de una serie de servicios, por lo que es el mismo cliente quien decide hasta dónde desea que el pentest llegue, y puede ser: hasta obtener acceso, escalar privilegios, manipular archivos, etc.

¿Quieres conocer más sobre este tema? Te invito a ver el siguiente video.

8 Comentarios

  1. Knuez
    Knuez el 14 de octubre de 2021 a las 10:20 PM

    Hola, me interesaría saber mas acerca de
    ¿Cuáles son algunas de las técnicas de pentesting más empleadas?

    Responder
    • anrealba9
      anrealba9 el 15 de octubre de 2021 a las 8:24 AM

      Hola.

      No hay una técina en específico, el proceso es bien mecánico, es importante recordar que existen los pentest web, a aplicaciones móviles, a aplicaciones de escritorio, a una máquina como tal; pero el proceso es el mismo: reconocimiento, análisis, explotación, escalamiento de privilegios. Ahora, depende de la vulnerabilidad encontrada, se usa la «técnica» correspondiente, y la más común es el uso de exploits.

      Responder
  2. CARLOS DANIEL ZAMBRANO COLINDRES
    CARLOS DANIEL ZAMBRANO COLINDRES el 15 de octubre de 2021 a las 8:21 PM

    Muy buena presentación. Supongo que existen sistemas más vulnerables que otros, de ser así ¿cuáles son estos? ¿Implica el mismo proceso para dispositivos móviles?

    Responder
    • anrealba9
      anrealba9 el 17 de octubre de 2021 a las 8:51 PM

      Hola, gracias.

      Sí, los sistemas más vulnerables suelen ser aquellos desfasados, en los cuales ya no se hacen parches de seguridad, o bien, aquellos en los que el usuario no tiene una buena conciencia de seguridad, y suele navegar por sitios que descargan malware. Respecto a lo de los móviles, el proceso es el mismo, sin embargo, existe otro método en el que se analiza el código fuente de las apps móviles a atacar, para ver si tiene alguna vulnerabilidad.

      Responder
  3. Enoc Rivera
    Enoc Rivera el 16 de octubre de 2021 a las 12:12 AM

    ¿Qué campos abarca la certificación CISSP-ISSMP?

    Responder
    • anrealba9
      anrealba9 el 17 de octubre de 2021 a las 8:52 PM

      Hola.

      Dicha certificación abarca TODO lo que compete a la ciberseguridad, en términos generales, no profundiza, pero sí lo abarca todo.

      Responder
  4. Jose Napoleon Zelaya Lainez
    Jose Napoleon Zelaya Lainez el 20 de octubre de 2021 a las 6:23 PM

    ¿Cómo ha evolucionado el pentesting para eliminar las brechas de seguridad que violaban los SQL injection, existe algún protocolo de seguridad que facilite este proceso de protección?

    Responder
    • anrealba9
      anrealba9 el 20 de octubre de 2021 a las 9:09 PM

      Las técnicas son las mismas. Y no, no existe ningún protocolo que proteja ante SQLi, lo que sí existen son mejores prácticas en la programación, la más recomenda es evitar hacer consultas en bruto, y, en vez de estas, usar vistas, funciones o procedimientos almacenados para la obtención de información.

      Responder

Enviar comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *