Respuesta a incidentes y análisis forense

Pruebas de penetración

Se lee en aproximadamente 4 minutos

Última actualización: 2026-02-12

Qué son las pruebas de penetración

Las pruebas de penetración (Penetration Testing, abreviado: pentest) son un método práctico de evaluación de seguridad que intenta infiltrarse en sistemas y redes utilizando las mismas técnicas que los atacantes reales para descubrir debilidades de seguridad.

Su propósito es identificar rutas de ataque reales que no se descubren con evaluaciones teóricas y verificar la efectividad de las medidas de seguridad contra ataques reales. Demuestra cómo las vulnerabilidades individuales detectadas en la gestión de vulnerabilidades se encadenan para lograr una infiltración.

El alcance abarca aplicaciones web, infraestructura de red, aplicaciones móviles, entornos en la nube, seguridad física e ingeniería social. El objetivo y alcance se acuerdan previamente por escrito.

Tipos de pruebas y proceso de ejecución

Se clasifican en 3 tipos según la información previa proporcionada al tester.

Prueba de caja negra: Sin información previa, simulando un atacante externo. La más cercana a un escenario real pero requiere más tiempo y costo.

Prueba de caja blanca: Con información interna completa (código fuente, diagramas de red, credenciales). Eficiente para descubrir vulnerabilidades profundas pero con perspectiva externa debilitada.

Prueba de caja gris: Enfoque intermedio con información limitada. El más equilibrado y adoptado en la práctica.

El proceso sigue el PTES: (1) preparación y definición del alcance, (2) recopilación de información (reconocimiento), (3) identificación de vulnerabilidades, (4) explotación, (5) escalada de privilegios y movimiento lateral, (6) elaboración del informe.

Principales técnicas de ataque y vulnerabilidades descubiertas

Técnicas representativas y vulnerabilidades frecuentemente descubiertas.

Aplicaciones web: XSS, inyección SQL, deficiencias de autenticación/autorización, CSRF, SSRF, deserialización insegura. OWASP Top 10 como referencia exhaustiva.

Red: Puertos abiertos innecesarios, protocolos antiguos, credenciales por defecto, comunicaciones sin cifrar, deficiencias en segmentación de red.

Autenticación/autorización: Políticas de contraseñas débiles, falta de MFA, posibilidad de escalada de privilegios, deficiencias en gestión de sesiones.

Ingeniería social: Correos de phishing, obtención de información por teléfono, pruebas de intrusión física. Visualiza amenazas que no se previenen solo con medidas técnicas.

El descubrimiento de ataques de día cero es raro, pero no es inusual descubrir rutas de ataque inesperadas mediante combinación de vulnerabilidades conocidas.

Utilización de resultados y consideraciones

El informe incluye lista de vulnerabilidades, evaluación de riesgos (CVSS, etc.), detalles de rutas de ataque, pasos de reproducción y contramedidas recomendadas.

La respuesta posterior es lo más importante. Prioriza las vulnerabilidades por gravedad y elabora un plan de corrección. Tras las correcciones, realiza un retest para confirmar la resolución.

Consideraciones:

  • Acordar alcance y prohibiciones por escrito. Ataques fuera del alcance pueden generar problemas legales
  • En entornos de producción, considerar el riesgo de interrupción y realizarlo en horarios de bajo impacto
  • En entornos de nube, verificar previamente la política de pruebas del proveedor (AWS no requiere solicitud previa, pero algunas técnicas están prohibidas)
  • Incluir verificación de efectividad del WAF en los elementos de prueba

Se recomienda realizar pruebas al menos una vez al año o después de cambios importantes en el sistema.

Conceptos erróneos comunes

El análisis de vulnerabilidades y las pruebas de penetración son lo mismo
El análisis de vulnerabilidades escanea exhaustivamente vulnerabilidades conocidas con herramientas automatizadas. Las pruebas de penetración son realizadas por testers humanos que intentan infiltrarse, demostrando encadenamiento de vulnerabilidades y rutas de ataque. Son complementarios: escanear ampliamente con análisis y verificar en profundidad con pruebas de penetración.
Si pasas las pruebas de penetración, el sistema es seguro
Las pruebas se realizan con tiempo y alcance limitados, por lo que no descubren todas las vulnerabilidades. Son una instantánea del estado de seguridad en ese momento. Se necesita gestión continua de vulnerabilidades y pruebas periódicas.

Comparación entre pruebas de penetración y análisis de vulnerabilidades

Pruebas de penetración

Testers humanos intentan infiltrarse realmente. Demuestran encadenamiento de vulnerabilidades y rutas de ataque. Análisis profundo pero costoso en tiempo y dinero. Generalmente 1-2 veces al año.

Análisis de vulnerabilidades (escaneo)

Herramientas automatizadas detectan exhaustivamente vulnerabilidades conocidas. Cobertura amplia y eficiente. Requiere revisión de falsos positivos. Adecuado para ejecución mensual o trimestral.

Términos relacionados

Gestión de vulnerabilidades El proceso continuo y cíclico de descubrir, evaluar, priorizar y remediar vulner… XSS (Cross-Site Scripting) Un ataque que explota vulnerabilidades en aplicaciones web para inyectar y ejecu… Inyección SQL Un ataque que inserta sentencias SQL maliciosas en los campos de entrada o parám… Ataque de día cero Un ataque que explota una vulnerabilidad de software antes de que sea divulgada … WAF (Web Application Firewall) Una solución de seguridad que monitorea, filtra y bloquea tráfico HTTP/HTTPS mal…

Artículos relacionados

Fundamentos de seguridad de API - Cómo proteger el backend de los servicios web Aprende cómo pueden ser explotadas las API y las medidas de seguridad fundamentales como autenticaci… Fundamentos de firewalls - Tu primera línea de defensa en la red Comprende cómo funcionan los firewalls, los diferentes tipos disponibles y estrategias prácticas de …
← Glosario