Parte de nuestra serie Security & Cybersecurity
Leer la guía completaGuía de pruebas de penetración para empresas: alcance, métodos y solución
Una prueba de penetración (pentest) simula ataques del mundo real contra sus sistemas para encontrar vulnerabilidades antes de que lo hagan los atacantes. A diferencia del escaneo automatizado de vulnerabilidades, las pruebas de penetración involucran a profesionales de seguridad capacitados que piensan como atacantes, encadenan vulnerabilidades y prueban sus defensas de una manera que las herramientas automatizadas no pueden.
La investigación de Coalfire muestra que el 73 por ciento de las pruebas de penetración descubren al menos una vulnerabilidad crítica y el 42 por ciento encuentra un camino para comprometer completamente el sistema. Sin embargo, muchas organizaciones realizan pruebas de penetración de manera deficiente: tienen un alcance demasiado limitado, seleccionan al proveedor equivocado o no actúan según los hallazgos. Esta guía le garantiza obtener el máximo valor de su inversión en pruebas de penetración.
Tipos de pruebas de penetración
| Tipo | Alcance | Duración típica | Rango de costos |
|---|---|---|---|
| Red externa | Sistemas y servicios orientados a Internet | 3-5 días | $5K-$25K |
| Red interna | Sistemas accesibles desde el interior de la red | 3-7 días | $8 mil-$30 mil |
| Aplicación web | Aplicaciones web específicas | 3-10 días por aplicación | $5K-$20K por aplicación |
| Aplicación móvil | Aplicaciones iOS y/o Android | 3-7 días por plataforma | $5K-$15K por plataforma |
| Ingeniería social | Phishing, vishing, pruebas físicas | 5-10 días | $5 mil-$20 mil |
| Equipo rojo | Simulación completa del adversario (todos los métodos) | 2-4 semanas | $30K-$100K+ |
| Seguridad en la nube | Configuración y servicios de AWS/Azure/GCP | 3-7 días | $8 mil-$25 mil |
| Pruebas API | Puntos finales API y autenticación | 3-5 días | $5K-$15K |
Niveles de conocimiento
| Nivel | Descripción | Simula |
|---|---|---|
| Caja negra | El probador no tiene información sobre el objetivo | Atacante externo sin conocimiento interno |
| Caja gris | El probador tiene información (credenciales, documentos de arquitectura) | Atacante que obtuvo acceso inicial |
| Caja blanca | Tester tiene acceso completo al código fuente y la arquitectura | Amenaza interna, evaluación integral |
Determinación del alcance de su prueba de penetración
Paso 1: Definir objetivos
| Objetivo | Tipo de prueba | Prioridad |
|---|---|---|
| Cumplir con el requisito PCI DSS 11.3 | Red externa + interna | Regulatorio |
| Validar la seguridad de una nueva aplicación antes del lanzamiento | Aplicación web | Alto |
| Pruebe la susceptibilidad de los empleados al phishing | Ingeniería social | Medio |
| Simulación completa del adversario antes de la reunión de la junta directiva | Equipo rojo | Estratégico |
| Validar la postura de seguridad en la nube | Evaluación de seguridad en la nube | Alto |
Paso 2: Definir el alcance
Incluye:
- Todas las direcciones IP y dominios conectados a Internet
- Sistemas internos críticos (ERP, RRHH, financiero)
- Aplicaciones web (URL de producción)
- Puntos finales API
- Entornos y servicios en la nube.
- Mecanismos de autenticación
Excluir (con justificación):
- Servicios alojados por terceros que no son de su propiedad
- Sistemas en desarrollo activo (en su lugar, puesta en escena de pruebas)
- Sistemas de producción en horas punta (programar horas libres)
- Pruebas destructivas (DoS, destrucción de datos) a menos que se autorice específicamente
Paso 3: Establecer reglas de compromiso
Documente esto antes de que comience la prueba:
| Regla | Especificación |
|---|---|
| Ventana de prueba | De lunes a viernes de 6 p. m. a 6 a. m., fines de semana en cualquier momento |
| Contacto de emergencia | [Nombre, Teléfono] si las pruebas causan interrupciones |
| Sistemas prohibidos | [Lista de sistemas que nunca se probarán] |
| Manejo de datos | El evaluador puede acceder pero no filtrar datos reales |
| Alcance de la ingeniería social | Solo phishing por correo electrónico, sin pruebas de acceso físico |
| Profundidad de explotación | Acreditar acceso pero no modificar datos de producción |
| Frecuencia de comunicación | Actualización de estado diaria, notificación inmediata de hallazgos críticos |
Seleccionar un proveedor de pruebas de penetración
Criterios de evaluación
| Criterio | Peso | Preguntas para hacer |
|---|---|---|
| Certificaciones | 20% | ¿OSCP, CREST, GPEN, CEH entre los miembros del equipo? |
| Experiencia | 25% | ¿Años en el negocio? ¿Experiencia en la industria? ¿Compromisos similares? |
| Metodología | 20% | ¿Qué metodología (OWASP, PTES, NIST)? ¿Cómo prueban? |
| Calidad de los informes | 15% | ¿Puedes ver un informe de muestra? ¿Se incluye guía de remediación? |
| Referencias | 10% | ¿Puedes hablar con 3 clientes anteriores? |
| Seguros | 10% | ¿Responsabilidad profesional y seguro cibernético vigentes? |
Banderas rojas
- El proveedor propone únicamente escaneo automatizado (no pruebas de penetración reales)
- No hay probadores nombrados con certificaciones reconocidas.
- Precio extremadamente bajo (<$3K para un compromiso de varios días)
- No hay discusión sobre reglas de enfrentamiento.
- La plantilla de informe no tiene orientación sobre remediación.
- El proveedor no puede explicar su metodología.
Comprensión de su informe de prueba de penetración
Clasificaciones de gravedad de vulnerabilidad
| Gravedad | Puntuación CVSS | Descripción | Cronograma de remediación |
|---|---|---|---|
| Crítico | 9,0-10,0 | Posible compromiso inmediato del sistema | En 48 horas |
| Alto | 7,0-8,9 | Impacto significativo en la seguridad | Dentro de 2 semanas |
| Medio | 4,0-6,9 | Impacto moderado, puede requerir condiciones específicas | Dentro de 30 días |
| Bajo | 0,1-3,9 | Impacto menor, explotabilidad limitada | Dentro de 90 días |
| Informativo | 0 | Recomendaciones de mejores prácticas | Próximo mantenimiento programado |
Qué buen informe contiene
- Resumen ejecutivo --- Lenguaje de riesgo empresarial, no jerga técnica
- Metodología --- Qué se probó y cómo
- Hallazgos con gravedad, evidencia e impacto comercial
- Guía de remediación para cada hallazgo (específico, procesable)
- Hallazgos positivos --- Lo que estás haciendo bien
- Recomendaciones estratégicas para mejorar la seguridad
- Apéndices con datos brutos y evidencia técnica detallada
Proceso de remediación
Paso 1: Triaje (día 1-2)
- Revisar todos los hallazgos con el equipo de TI y seguridad.
- Validar los hallazgos (confirmar que sean reales, no falsos positivos)
- Asignar propietarios para cada hallazgo.
- Priorizar según la gravedad y el riesgo empresarial.
Paso 2: Planificar (Días 3-7)
| Encontrar | Propietario | Enfoque de remediación | Línea de tiempo | Dependencias |
|---|---|---|---|---|
| Inyección SQL al iniciar sesión | Líder de desarrollo | Validación de entradas + consultas parametrizadas | 48 horas | Ninguno |
| Contraseña de administrador predeterminada | Administrador de TI | Rotación de contraseñas + aplicación de políticas | 24 horas | Ninguno |
| Falta TLS en API interna | Equipo de plataforma | Implementación de certificados | 2 semanas | Adquisición de certificados |
| SO de servidor obsoleto | Operaciones de TI | Programación de parches | 30 días | Cambiar ventana |
Paso 3: Remediar (Varía)
- Corregir hallazgos críticos y altos de inmediato
- Agrupar los hallazgos medios en la siguiente ventana de mantenimiento.
- Programe resultados bajos para el próximo trimestre.
Paso 4: Verificar (posterior a la corrección)
- Solicitar una nueva prueba de hallazgos críticos y altos (la mayoría de los proveedores incluyen nuevas pruebas limitadas)
- Documentar evidencia de remediación.
- Actualizar registro de riesgos.
Calendario de pruebas de penetración
| Evaluación | Frecuencia | Gatillo |
|---|---|---|
| Red externa | Anualmente (mínimo) | También después de importantes cambios en la infraestructura |
| Aplicación web | Anualmente + antes de los principales lanzamientos | Lanzamiento de nueva aplicación, actualización importante |
| Red interna | Anualmente | También después de los cambios en la red de oficinas |
| Seguridad en la nube | Anualmente | También después de importantes cambios en la arquitectura de la nube |
| Ingeniería social | Semestralmente | Las simulaciones de phishing en curso complementan esto |
| Equipo rojo | Cada 2 años | Garantía a nivel de junta directiva, tras importantes inversiones en seguridad |
Recursos relacionados
- Plantilla de plan de respuesta a incidentes --- Qué hacer cuando se explotan las vulnerabilidades
- Guía de implementación de Zero Trust --- Defensas arquitectónicas
- Prácticas recomendadas de seguridad en la nube --- Seguridad específica de la nube
- Seguridad y autenticación de API --- Protección de las API a las que se dirigen las pruebas de penetración
Las pruebas de penetración son la prueba de la realidad para su programa de seguridad. Revela la brecha entre lo que usted cree que es su postura de seguridad y lo que encontraría un atacante. Comuníquese con ECOSIRE para la evaluación de seguridad y la coordinación de pruebas de penetración.
Escrito por
ECOSIRE Research and Development Team
Construyendo productos digitales de nivel empresarial en ECOSIRE. Compartiendo perspectivas sobre integraciones Odoo, automatización de eCommerce y soluciones empresariales impulsadas por IA.
Artículos relacionados
Seguridad a nivel de fila en Power BI: acceso a datos multiinquilino
Implemente seguridad a nivel de fila en Power BI para el control de acceso de múltiples inquilinos. RLS estático y dinámico, filtros DAX, OLS, DirectQuery y escenarios integrados.
Mejores prácticas de seguridad de agentes de IA: protección de sistemas autónomos
Guía completa para proteger a los agentes de IA que cubre defensa de inyección rápida, límites de permisos, protección de datos, registros de auditoría y seguridad operativa.
Detección de fraude mediante IA para el comercio electrónico: proteja los ingresos sin bloquear a los buenos clientes
Implemente detección de fraude mediante IA que detecte más del 95 % de las transacciones fraudulentas y, al mismo tiempo, reduzca los falsos positivos entre un 50 % y un 70 %. Cubre modelos, reglas e implementación.
Más de Security & Cybersecurity
Mejores prácticas de seguridad de agentes de IA: protección de sistemas autónomos
Guía completa para proteger a los agentes de IA que cubre defensa de inyección rápida, límites de permisos, protección de datos, registros de auditoría y seguridad operativa.
Mejores prácticas de seguridad en la nube para PYMES: proteja su nube sin un equipo de seguridad
Proteja su infraestructura en la nube con mejores prácticas prácticas para IAM, protección de datos, monitoreo y cumplimiento que las PYMES pueden implementar sin un equipo de seguridad dedicado.
Requisitos reglamentarios de ciberseguridad por región: un mapa de cumplimiento para empresas globales
Explore las regulaciones de ciberseguridad en EE. UU., la UE, el Reino Unido, APAC y Medio Oriente. Cubre NIS2, DORA, reglas SEC, requisitos de infraestructura crítica y cronogramas de cumplimiento.
Gestión de seguridad de endpoints: proteja todos los dispositivos de su organización
Implemente la gestión de la seguridad de los terminales con las mejores prácticas para la protección de dispositivos, la implementación de EDR, la gestión de parches y las políticas BYOD para las fuerzas laborales modernas.
Plantilla de plan de respuesta a incidentes: preparar, detectar, responder, recuperar
Cree un plan de respuesta a incidentes con nuestra plantilla completa que cubra la preparación, detección, contención, erradicación, recuperación y revisión posterior al incidente.
Diseño del programa de capacitación en concientización sobre seguridad: reducir el riesgo humano en un 70 por ciento
Diseñe un programa de capacitación en concientización sobre seguridad que reduzca las tasas de clics de phishing en un 70 por ciento a través de contenido atractivo, simulaciones y resultados mensurables.