Pen testing
El pentesting (pruebas de penetración) es una auditoría de seguridad activa y autorizada en la que profesionales atacan los sistemas de una organización buscando vulnerabilidades, para que esta pueda corregirlas antes de que las exploten atacantes reales. Termina con un informe detallado de hallazgos y recomendaciones.
Qué es Pen testing
El penetration testing (pen test, "pentesting") es una auditoría de seguridad activa: especialistas atacan sistemas con permiso, buscando vulnerabilidades. Producen un informe con hallazgos y recomendaciones.
Cómo funciona
Tipos: black box (sin información previa), gray box (alguna), white box (toda). Fases: reconocimiento, análisis, explotación, post-explotación, informe. Herramientas: Metasploit, Burp Suite, nmap, custom scripts.
Cómo protegerte
Para empresas: contratar pen test al menos anualmente, especialmente tras cambios mayores. Bug bounty (HackerOne, Bugcrowd) son una forma alternativa. Como individual: programas como CEH, OSCP forman pentesters.
Datos curiosos
- OSCP es la certificación más respetada en pentesting (24h examen práctico).
- Bug bounty: hackers ganan recompensas por vulnerabilidades reportadas. Algunos ganan $1M+/año.
- Países como Singapur incluyen pen testing como obligatorio para sectores críticos.
Preguntas frecuentes
¿Versus auditoría?
Auditoría es más amplia (procesos, políticas). Pen test se centra en encontrar vulnerabilidades técnicas explotables.
¿Es legal?
Solo con autorización por escrito del propietario del sistema. Sin permiso es delito.
¿Cuánto cuesta?
Pen test profesional: $5-50k según alcance. Bug bounty: pagas por hallazgos.