Pentesting

• Prueba de Penetración de Caja Negra:

Los analistas de seguridad no tienen conocimiento del funcionamiento interno del sistema. Trabaja con la información que puede conseguir por sus propios medios, igual que lo podría hacer un ciberdelincuente.

• Prueba de Penetración de Caja Blanca:

En este tipo de pruebas los pentesters o peritos informáticos tienen total conocimiento del funcionamiento interno del sistema. Trabaja con información que puede tener acceso uno o varios empleados dentro de la organización. Es el pentesting más completo ya que parte de un análisis integral que evalúa toda la estructura de red.

• Prueba de Penetración de Caja Gris:

Los analistas de seguridad o peritos informáticos pueden tener conocimiento sobre algunos aspectos aunque no de todos, y se necesita más tiempo para identificar vulnerabilidades.

Fases del pentesting

Una vez determinado el tipo de prueba toca elegir el método. La elección se basa en las necesidades o requerimientos de la empresa.

Algunos de estos métodos son:

• ISSAF (Information Systems Security Assessment Framework): organiza la información alrededor de los criterios de evaluación, escritos y revisados por expertos.
• PCI DSS (Payment Card Industry Data Security Standard): este método fue desarrollado por las compañías de tarjetas de débito y de crédito más importantes y sirve como guía para las organizaciones que procesan, almacenan y transmiten datos de los titulares de las tarjetas.
• PTES (Penetration Testing Execution Standard): es puesto en práctica por muchos profesionales altamente reconocidos del sector, además de ser un modelo a seguir en libros de aprendizaje asociados al pentesting.
• OSSTMM (Manual de la Metodología Abierta de Testeo de Seguridad) Es uno de los primeros acercamientos a una estructura global de concepto de seguridad. Este modelo es referente en instituciones que precisan de un pentesting de calidad, ordenado y eficiente.