De que hablamos cuando decimos "pentesting"?
Pentesting (un acrónimo de Penetration Testing) es la actividad mediante la cual se busca comprometer un sistema informático simulando el ataque de un hacker (en otro momento discutiremos sobre la definición de hacker). Con esto quiero decir que las técnicas y procedimientos que se utilizan son las mismas que utilizan los hackers. Lo que diferencia al pentester del "hacker" o intruso, es la finalidad que persiguen al entrar al sistema. Mientras que el hacker busca demostrar sus conocimientos u obtener algún beneficio económico por robar informacion, espiar o "romper" , el pentester por su parte busca desmostrar las vulnerabilidades del sistema para tratar de mitigarlas y asi prevenir futuros ataques. El pentester tiene la responsabilidad de reportar todas las fallas o agujeros que posea el sistema que puedan representar un peligro para la organizacion, empresa o para quien trabaje. Los pentester son denominados "ethical hackers" dado el compromiso moral que tienen con la entidad que los contrata.
Tipos de pentesting (formas de trabajo)
Existen 3 formas de trabajo, el pentester las acuerda con la oranización en su contrato. Ellas son:White box
Black box
Grey box
White box: La entidad contratante le entrega información al pentester, usuarios, e-mails, software utilizado, etc. Con esto el pentester ya tiene una ran cantidad de información para comenzar a trabajar.
Black box: El pentester debe trabajar "a ciegas", como si fuera un atacante, sin información obtenida de antemano. El pentester debe comenzar a investigar y recopilar toda la información posible para realizar el ataque.
Grey box: Es una combinación de White y Black box ya que el pentester obtiene información de forma parcial de la organización. Por ejemplo esto puede puede ser, planos de arquitectura de red e información sobre aplicaciones utilizadas.
En la proxima entrada, Fases de un pentesting..
Hasta la próxima
Happy Hacking!!!!!
