{"id":475481,"date":"2022-11-14T18:03:20","date_gmt":"2022-11-14T18:03:20","guid":{"rendered":"https:\/\/teknomers.com\/es\/que-es-una-prueba-de-penetracion-externa\/"},"modified":"2022-11-14T18:03:21","modified_gmt":"2022-11-14T18:03:21","slug":"que-es-una-prueba-de-penetracion-externa","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/que-es-una-prueba-de-penetracion-externa\/","title":{"rendered":"\u00bfQu\u00e9 es una prueba de penetraci\u00f3n externa?"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>Una prueba de penetraci\u00f3n (tambi\u00e9n conocida como pentest) es una evaluaci\u00f3n de seguridad que simula las actividades de los atacantes del mundo real para identificar agujeros de seguridad en sus sistemas o aplicaciones de TI. <\/p>\n<p>El objetivo de la prueba es comprender qu\u00e9 vulnerabilidades tiene, c\u00f3mo podr\u00edan explotarse y cu\u00e1l ser\u00eda el impacto si un atacante tuviera \u00e9xito.<\/p>\n<p>Por lo general, se realiza primero, una prueba de penetraci\u00f3n externa (tambi\u00e9n conocida como prueba de penetraci\u00f3n de red externa) es una evaluaci\u00f3n de sus sistemas perimetrales.  Su per\u00edmetro son todos los sistemas a los que se puede acceder directamente desde Internet.  Por definici\u00f3n, est\u00e1n expuestos y, por lo tanto, son los que se atacan con mayor facilidad y regularidad.<\/p>\n<h2>Prueba de debilidades<\/h2>\n<p>Las pruebas de penetraci\u00f3n externas buscan formas de comprometer estos sistemas y servicios externos accesibles para acceder a informaci\u00f3n confidencial y ver c\u00f3mo un atacante podr\u00eda atacar a sus clientes o usuarios. <\/p>\n<p>En un pentest externo de alta calidad, los profesionales de seguridad copiar\u00e1n las actividades de piratas inform\u00e1ticos reales, como ejecutar exploits para intentar obtener el control de sus sistemas.  Tambi\u00e9n probar\u00e1n el alcance de las debilidades que encuentren para ver hasta d\u00f3nde un atacante malicioso podr\u00eda meterse en su red y cu\u00e1l ser\u00eda el impacto comercial de un ataque exitoso.<\/p>\n<h2>Ejecute pentests externos primero<\/h2>\n<p>Las pruebas de penetraci\u00f3n externas asumen que el atacante no tiene acceso previo a sus sistemas o redes.  Esto es diferente a una prueba de penetraci\u00f3n interna que prueba el escenario en el que un atacante ya tiene un punto de apoyo en una m\u00e1quina comprometida o est\u00e1 f\u00edsicamente en el edificio.  Por lo general, tiene sentido cubrir primero los fundamentos y considerar las pruebas internas despu\u00e9s de que se hayan realizado tanto el escaneo de vulnerabilidades regular como las pruebas de penetraci\u00f3n externas.<\/p>\n<h2>C\u00f3mo realizar pruebas de penetraci\u00f3n externa<\/h2>\n<p>Entonces, \u00bfc\u00f3mo haces para obtener una prueba de penetraci\u00f3n externa?  Programar un pentest externo deber\u00eda ser tan simple como preguntarle a su proveedor de servicios administrados o consultor\u00eda de TI, y apuntarlos a sus sistemas perimetrales (una lista de dominios y direcciones IP\/rango).<\/p>\n<p>Una prueba de penetraci\u00f3n externa normalmente se ejecuta sobre la base de una &#8220;caja negra&#8221;, lo que significa que no se proporciona informaci\u00f3n privilegiada (como credenciales de aplicaciones, diagramas de infraestructura o c\u00f3digo fuente) a los evaluadores.  Esto es similar a donde comenzar\u00eda un pirata inform\u00e1tico real que se dirige a su organizaci\u00f3n, una vez que haya descubierto una lista de sus direcciones IP y dominios.<\/p>\n<p>Pero hay algunos consejos importantes y diligencia debida que vale la pena tener en cuenta al organizar su prueba de penetraci\u00f3n externa:<\/p>\n<ul>\n<li><strong>\u00bfQui\u00e9n est\u00e1 realizando tu prueba? <\/strong>\u00bfSon un probador de penetraci\u00f3n calificado?  Puede obtener m\u00e1s informaci\u00f3n sobre las certificaciones de pruebas de penetraci\u00f3n y elegir una consultor\u00eda en la gu\u00eda sobre <a rel=\"nofollow noopener\" href=\"https:\/\/www.intruder.io\/blog\/how-to-choose-a-pentesting-company?utm_source=referral&amp;utm_campaign=thehackernews-external-penetration-testing\" target=\"_blank\">c\u00f3mo elegir una empresa de pruebas de penetraci\u00f3n<\/a>.<\/li>\n<li><strong>\u00bfCu\u00e1nto se le cobrar\u00e1?<\/strong> Las cotizaciones normalmente se basan en una tarifa por d\u00eda, y su trabajo se define en funci\u00f3n de la cantidad de d\u00edas que llevar\u00e1 realizar la evaluaci\u00f3n.  Cada uno de estos puede variar entre compa\u00f1\u00edas, por lo que podr\u00eda valer la pena comparar para ver qu\u00e9 se ofrece.<\/li>\n<li><strong>\u00bfQue esta incluido?<\/strong> Los proveedores de servicios respetables deben ofrecerle una propuesta o declaraci\u00f3n de trabajo que describa el trabajo que se llevar\u00e1 a cabo.  Est\u00e9 atento a lo que est\u00e1 dentro y lo que est\u00e1 fuera del alcance.<\/li>\n<li><strong>\u00bfQu\u00e9 m\u00e1s se recomienda?<\/strong> Elija un proveedor que incluya la verificaci\u00f3n de sus servicios expuestos para la reutilizaci\u00f3n de credenciales violadas, ataques de rociado de contrase\u00f1as y pruebas de aplicaciones web en aplicaciones de acceso p\u00fablico.<\/li>\n<li><strong>\u00bfDeber\u00edas incluir la ingenier\u00eda social?<\/strong> Puede ser un buen valor agregado, aunque este tipo de prueba casi siempre tiene \u00e9xito cuando lo intenta un atacante con suficiente determinaci\u00f3n, por lo que no deber\u00eda ser un requisito dif\u00edcil si su presupuesto es limitado.<\/li>\n<\/ul>\n<h2>Pruebas de penetraci\u00f3n externa frente a an\u00e1lisis de vulnerabilidades<\/h2>\n<p>Si est\u00e1 familiarizado con el an\u00e1lisis de vulnerabilidades, notar\u00e1 que un pentest externo comparte algunas similitudes.  Entonces, \u00bfcu\u00e1l es la diferencia?<\/p>\n<p>Por lo general, una prueba de penetraci\u00f3n externa incluye una prueba completa <a rel=\"nofollow noopener\" href=\"https:\/\/www.intruder.io\/external-vulnerability-scanner?utm_source=referral&amp;utm_campaign=thehackernews-external-penetration-testing\" target=\"_blank\">escaneo de vulnerabilidades externas<\/a>, pero ah\u00ed es donde comienza.  Todos los resultados de las herramientas de escaneo ser\u00e1n investigados manualmente por un pentester para eliminar los falsos positivos, ejecutar exploits para verificar el alcance\/impacto de la debilidad y &#8220;encadenar&#8221; m\u00faltiples debilidades para producir exploits m\u00e1s impactantes. <\/p>\n<p>Donde un esc\u00e1ner de vulnerabilidad simplemente informar\u00eda que un servicio tiene una debilidad cr\u00edtica, un pentest intentar\u00eda explotar esa debilidad y obtener el control del sistema.  Si tiene \u00e9xito, el pentester utilizar\u00e1 su acceso para ir m\u00e1s all\u00e1 y comprometer m\u00e1s sistemas y servicios.<\/p>\n<h2>Pentests profundiza en las vulnerabilidades<\/h2>\n<p>Si bien los esc\u00e1neres de vulnerabilidades a menudo identifican problemas potenciales, un probador de penetraci\u00f3n los explorar\u00eda completamente e informar\u00eda si la debilidad necesita atenci\u00f3n o no.  Por ejemplo, los esc\u00e1neres de vulnerabilidad informan de forma rutinaria sobre la &#8216;Lista de directorios&#8217;, que es donde los servidores web ofrecen una lista de todos los archivos y carpetas del servidor.  Esto no es necesariamente una vulnerabilidad en s\u00ed misma, pero necesita investigaci\u00f3n.<\/p>\n<p>Si un archivo confidencial (como un archivo de configuraci\u00f3n de copia de seguridad que contiene credenciales) se expone y se incluye en la lista de directorios, un simple problema de informaci\u00f3n (seg\u00fan lo informado por un esc\u00e1ner de vulnerabilidades) podr\u00eda convertirse r\u00e1pidamente en un riesgo de alto impacto para su organizaci\u00f3n.  El trabajo del pentester incluye revisar cuidadosamente el resultado de una variedad de herramientas, para asegurarse de que no quede piedra sin remover.<\/p>\n<h2>\u00bfQu\u00e9 pasa si necesito pruebas m\u00e1s rigurosas?<\/h2>\n<p>Tambi\u00e9n se pueden incluir algunas actividades adicionales que realizar\u00eda un atacante real y que no son realizadas por los esc\u00e1neres de vulnerabilidades, pero estas var\u00edan entre los probadores.  Verifique la propuesta o haga preguntas antes de programar el pentest si desea que est\u00e9n dentro del alcance.  Por ejemplo:<\/p>\n<ul>\n<li>Ataques sostenidos de adivinaci\u00f3n de contrase\u00f1as (rociado, fuerza bruta) para intentar comprometer las cuentas de usuario en VPN expuestas y otros servicios<\/li>\n<li>Raspar la web oscura y las bases de datos de infracciones en busca de las credenciales incumplidas conocidas de sus empleados, y colocarlas en paneles y servicios administrativos<\/li>\n<li>Pruebas de aplicaciones web donde est\u00e1 disponible un mecanismo de autorregistro<\/li>\n<li>Ataques de ingenier\u00eda social como phishing a sus empleados<\/li>\n<\/ul>\n<h2>Los pentest no pueden reemplazar las pruebas regulares de vulnerabilidad<\/h2>\n<p>Recuerde que diariamente se descubren nuevas vulnerabilidades cr\u00edticas, y los atacantes suelen explotar las debilidades m\u00e1s graves dentro de una semana de su descubrimiento. <\/p>\n<p>Si bien una prueba de penetraci\u00f3n externa es una evaluaci\u00f3n importante para analizar en profundidad la seguridad de sus sistemas expuestos, es mejor utilizarla como un servicio adicional para complementar el escaneo de vulnerabilidades regular, \u00a1que ya deber\u00eda tener implementado!<\/p>\n<h2>Acerca del intruso<\/h2>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/www.intruder.io\/?utm_source=referral&amp;utm_campaign=thehackernews-external-penetration-testing\" target=\"_blank\">Intruso<\/a> es una empresa de seguridad cibern\u00e9tica que ayuda a las organizaciones a reducir su superficie de ataque al proporcionar servicios continuos de an\u00e1lisis de vulnerabilidades y pruebas de penetraci\u00f3n.  El poderoso esc\u00e1ner de Intruder est\u00e1 dise\u00f1ado para identificar r\u00e1pidamente fallas de alto impacto, cambios en la superficie de ataque y escanear r\u00e1pidamente la infraestructura en busca de amenazas emergentes.  Ejecutando miles de verificaciones, que incluyen la identificaci\u00f3n de configuraciones incorrectas, parches faltantes y problemas de la capa web, Intruder hace que el escaneo de vulnerabilidades de nivel empresarial sea f\u00e1cil y accesible para todos.  Los informes de alta calidad de Intruder son perfectos para transmitir a clientes potenciales o cumplir con las normas de seguridad, como ISO 27001 y SOC 2.<\/p>\n<p>Intruder ofrece una prueba gratuita de 30 d\u00edas de su plataforma de evaluaci\u00f3n de vulnerabilidades.  \u00a1Visite su sitio web hoy para probarlo!<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/11\/what-is-external-penetration-test.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Una prueba de penetraci\u00f3n (tambi\u00e9n conocida como pentest) es una evaluaci\u00f3n de seguridad que simula las actividades de<\/p>\n","protected":false},"author":1,"featured_media":475482,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,4664,3194,4662,4668,4667,4654,4658,4659,4653,4655,86770,4663,695,387,4666,4665,158,4660],"class_list":["post-475481","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-como-hackear","tag-externa","tag-filtracion-de-datos","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-penetracion","tag-programa-malicioso-ransomware","tag-prueba","tag-que","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-una","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/475481","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=475481"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/475481\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/475482"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=475481"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=475481"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=475481"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}