Pruebas de penetración.

Una prueba de penetración es una simulación de ataque autorizada y delimitada en alcance, cuyo objetivo es identificar debilidades explotables antes de que lo hagan atacantes reales. Black box / grey box / white box, interna / externa, de aplicación / de infraestructura. Se distingue del análisis de vulnerabilidades (automatizado, orientado a la amplitud) y del red team (varios meses, basado en objetivos). Los informes resultantes alimentan el backlog de remediación.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyCybersecurity operationsAll entries

La perspectiva de Cyber Academy

Una prueba de penetración es una simulación de ataque autorizada y delimitada en alcance, cuyo objetivo es identificar debilidades explotables antes de que lo hagan atacantes reales. Black box / grey box / white box, interna / externa, de aplicación / de infraestructura. Se distingue del análisis de vulnerabilidades (automatizado, orientado a la amplitud) y del red team (varios meses, basado en objetivos). Los informes resultantes alimentan el backlog de remediación.

Qué es realmente una prueba de penetración

Una prueba de penetración es un intento deliberado y autorizado de irrumpir en un sistema tal como lo haría un atacante real, realizado dentro de un alcance escrito y unas reglas de enfrentamiento. El objetivo no es enumerar debilidades teóricas, sino demostrar cuáles pueden encadenarse realmente para alcanzar algo que importa: una base de datos, una cuenta de administrador, un registro de cliente, un flujo de pago. El analista sigue el mismo camino que un intruso, pero con permiso y un límite definido, de modo que la organización descubra dónde fallaría antes de que lo haga alguien hostil. La autorización es lo que separa una prueba de penetración de un delito; sin un alcance firmado, las mismas acciones no son más que una intrusión.

Los encargos se enmarcan en unos pocos ejes que el alcance debe fijar de antemano. El nivel de conocimiento va desde la caja negra, donde el analista parte únicamente de un nombre o un rango de direcciones IP, pasando por la caja gris, donde obtiene una cuenta de bajos privilegios o documentación parcial, hasta la caja blanca, donde recibe el código fuente, los diagramas de arquitectura y credenciales completas.

El punto de vista es externo, simulando a un atacante en Internet, o interno, simulando a alguien que ya ha entrado en la red o a un infiltrado malicioso. El tipo de objetivo separa las pruebas de aplicación, que sondean una aplicación web o móvil y su lógica, de las pruebas de infraestructura, que van contra los equipos, los servicios y la configuración de red. La mayoría de los programas reales combinan estos enfoques para ajustarse a las amenazas que realmente les preocupan.

En qué se diferencia de un escaneo y de un equipo rojo

La confusión más común se da entre una prueba de penetración y un escaneo de vulnerabilidades, y no son lo mismo. Un escaneo de vulnerabilidades es automatizado y está optimizado para la amplitud: una herramienta recorre cada activo accesible, compara lo que encuentra con una base de problemas conocidos y produce una larga lista. Es rápido, repetible y barato, pero no puede decirte si un hallazgo determinado es realmente explotable en tu entorno o un falso positivo.

Una prueba de penetración la dirige un humano y está optimizada para la profundidad: el analista valida los hallazgos explotándolos realmente, encadena varios problemas de menor gravedad en un compromiso real y pone a prueba la lógica de negocio y los supuestos de confianza que ningún escáner entiende. El escaneo te dice qué podría estar mal; la prueba de penetración te dice qué podría hacer realmente un atacante con ello.

En el otro extremo se sitúa el equipo rojo, que también se confunde con frecuencia con la prueba de penetración. Un encargo de equipo rojo es más largo, a menudo se prolonga durante meses, y está orientado a objetivos en lugar de a la cobertura: la meta es alcanzar un resultado concreto, como exfiltrar un conjunto de datos definido o llegar a un sistema en particular, permaneciendo indetectado y comprobando si los defensores lo advierten y responden. Una prueba de penetración busca cobertura dentro de un alcance y suele ser conocida por los equipos pertinentes; un equipo rojo persigue un único objetivo en profundidad y pone a prueba deliberadamente la detección y la respuesta tanto como los propios controles.

La prueba de penetración comparada con un escaneo de vulnerabilidades y un equipo rojo
DimensiónEscaneo de vulnerabilidadesPrueba de penetraciónEquipo rojo
MétodoHerramientas automatizadasDirigido por un humano, prácticoDirigido por un humano, emulación de adversario
MetaAmplitud: enumerar problemas conocidosProfundidad: demostrar la explotabilidad en el alcanceObjetivo: alcanzar una meta definida
ValidaciónSin explotaciónHallazgos explotados y encadenadosCadena de ataque completa hasta el objetivo
Detección probadaNoNormalmente noSí, pone a prueba directamente a los defensores
Duración típicaDe minutos a horasDe días a semanasDe semanas a meses

Dónde encaja en un programa de seguridad

Una prueba de penetración es una verificación puntual, no un control en sí mismo. Su verdadero valor se materializa después del encargo, cuando el informe alimenta la cola de remediación. Un buen informe hace algo más que enumerar hallazgos: los clasifica por explotabilidad e impacto en el negocio, aporta evidencia reproducible y recomienda correcciones. Esos hallazgos se convierten en tickets, responsables y plazos dentro del proceso más amplio de gestión de vulnerabilidades, y una nueva prueba confirma que las correcciones realmente cerraron los agujeros en lugar de desplazarlos. Sin ese seguimiento, una prueba no es más que un documento caro.

La prueba de penetración también aparece explícitamente en las normas y la regulación. Un sistema de gestión de la seguridad de la información alineado con ISO/IEC 27001 trata las pruebas técnicas como una forma de verificar que los controles funcionan en la práctica, y los marcos relativos a los pagos, las infraestructuras críticas y los servicios financieros esperan cada vez más pruebas periódicas y acotadas de los sistemas expuestos a Internet y críticos.

ENISA y agencias nacionales como ANSSI publican orientaciones sobre cómo encargar pruebas de manera responsable, y el conjunto de habilidades ofensivas se formaliza en credenciales para hackers éticos. Lo que los profesionales entregan realmente es un ritmo recurrente: acotar el encargo, acordar las reglas de enfrentamiento y una autorización escrita, probar, informar, remediar, volver a probar y repetir a medida que el entorno cambia.

Frequently asked questions

01¿Cuál es la diferencia entre una prueba de penetración y un escaneo de vulnerabilidades?

Un escaneo de vulnerabilidades es automatizado y está hecho para la amplitud: recorre los activos y enumera rápidamente los problemas conocidos, pero no puede confirmar si son realmente explotables. Una prueba de penetración la dirige un humano y está hecha para la profundidad: el analista explota y encadena realmente los hallazgos para demostrar qué podría hacer un atacante. El escaneo es lo que podría estar mal; la prueba es lo que realmente podría suceder.

02¿Qué significan caja negra, caja gris y caja blanca?

Describen cuánto sabe el analista al comienzo. La caja negra no le da casi nada, simulando a un atacante externo. La caja gris da acceso parcial, como una cuenta de bajos privilegios. La caja blanca da acceso completo, incluido el código fuente y las credenciales, lo que permite encontrar más en el mismo tiempo.

03¿Es una prueba de penetración lo mismo que un encargo de equipo rojo?

No. Una prueba de penetración busca cobertura dentro de un alcance definido y suele ser conocida por los equipos pertinentes. Un equipo rojo es más largo y está orientado a objetivos, con el fin de alcanzar una meta concreta permaneciendo oculto, y pone a prueba explícitamente si los defensores detectan y responden.

04¿Con qué frecuencia debe una organización realizar una prueba de penetración?

La prueba es puntual, por lo que debe repetirse con una cadencia regular y también tras un cambio significativo, como una versión importante, un nuevo servicio expuesto a Internet o una migración de infraestructura. Muchos marcos de cumplimiento esperan al menos una prueba anual de los sistemas críticos y expuestos a Internet, con una nueva prueba una vez remediados los hallazgos.

05¿Qué hace que una prueba de penetración sea legal?

Una autorización escrita y un alcance acordado. Las mismas técnicas realizadas sin permiso constituyen una intrusión. Un encargo en regla se rige por reglas de enfrentamiento firmadas que definen los objetivos, los métodos permitidos, los plazos y los puntos de contacto.

¿Necesitas más que una definición?

Reserva una llamada de orientación gratuita de 20 minutos. Te orientamos sobre la edición que convierte este término en una práctica lista para auditoría.