Tema 1

1. Introducción al pentesting, ethical hacking y seguridad ofensiva

El pentesting es una evaluación autorizada que utiliza técnicas ofensivas para descubrir debilidades reales antes de que puedan ser aprovechadas por un atacante. Su valor no está en "romper" sistemas, sino en medir riesgo, demostrar impacto y orientar mejoras concretas.

Objetivo Comprender qué es un pentest y para qué se realiza
Enfoque Ético, metodológico y profesional
Resultado Entender la base del resto del curso

1.1 Introducción

La ciberseguridad no se limita a instalar controles defensivos. También necesita comprobar si esos controles resisten escenarios reales. El pentesting, o prueba de penetración, cumple esa función: simula acciones de un atacante dentro de un alcance autorizado para identificar vulnerabilidades, evaluar su impacto y proponer correcciones.

El ethical hacking aplica conocimientos ofensivos con permiso explícito, límites definidos y propósito defensivo. La diferencia entre una actividad profesional y una intrusión ilegal no está solo en la técnica, sino en la autorización, el alcance, la documentación, la responsabilidad y el objetivo de reducir riesgo.

Este primer tema establece el marco conceptual del curso. Antes de estudiar herramientas, escaneo, explotación, post-explotación o reporting, es necesario entender qué problema resuelve una prueba de penetración y qué responsabilidades tiene quien la ejecuta.

1.2 Qué es el pentesting

El pentesting es una evaluación técnica y controlada que busca descubrir, validar y comunicar vulnerabilidades explotables en sistemas, aplicaciones, redes, identidades, servicios cloud o procesos tecnológicos.

Una prueba de penetración profesional no se queda en listar fallas detectadas por una herramienta. Intenta responder preguntas más útiles para una organización:

  • ¿Qué activos están expuestos?
  • ¿Qué vulnerabilidades son realmente explotables?
  • ¿Qué impacto tendría una explotación exitosa?
  • ¿Hasta dónde podría avanzar un atacante con un acceso inicial?
  • ¿Qué controles funcionan y cuáles pueden ser evadidos?
  • ¿Qué acciones de remediación deberían priorizarse?
Un pentest no es una demostración de habilidad técnica aislada. Es un trabajo de evaluación de riesgo que debe producir evidencia, criterio y recomendaciones aplicables.

1.3 Qué es el ethical hacking

Ethical hacking significa usar técnicas de hacking con autorización y con un propósito legítimo: mejorar la seguridad. La palabra "ético" no es decorativa. Implica respetar límites, proteger datos, evitar daños, reportar hallazgos con responsabilidad y actuar dentro de un marco legal.

Un hacker ético puede realizar tareas de reconocimiento, análisis, validación de vulnerabilidades, explotación controlada y documentación. Pero todas esas actividades deben estar acordadas previamente con el dueño del sistema o con quien tenga autoridad para autorizar la prueba.

Aspecto Hacking ético Actividad no autorizada
Permiso Existe autorización explícita No existe autorización válida
Alcance Está documentado y limitado Se actúa sin límites acordados
Objetivo Reducir riesgo y mejorar defensas Obtener acceso, dañar, espiar o beneficiarse indebidamente
Evidencia Se registra lo necesario para demostrar el hallazgo Puede extraerse o alterar información sin control
Cierre Se entrega reporte y se apoya la remediación No hay rendición de cuentas profesional

1.4 Qué es la seguridad ofensiva

La seguridad ofensiva es el conjunto de prácticas que evalúan la seguridad desde la perspectiva de un adversario. Incluye pentesting, red teaming, pruebas de ingeniería social autorizada, simulación de adversarios, análisis de exposición y validación de controles defensivos.

Su propósito es revelar debilidades que podrían pasar desapercibidas en auditorías puramente documentales o en revisiones defensivas. Al adoptar una mentalidad ofensiva, se busca entender cómo se encadenan fallas pequeñas hasta producir un impacto mayor.

  • Un servicio expuesto puede revelar versiones vulnerables.
  • Una credencial débil puede permitir acceso inicial.
  • Una mala segmentación puede facilitar movimiento lateral.
  • Un permiso excesivo puede permitir escalada de privilegios.
  • Una baja visibilidad puede impedir detectar la intrusión a tiempo.

1.5 Objetivos principales de una prueba de penetración

Un pentest debe tener objetivos claros. Sin objetivos, la prueba se vuelve una colección de acciones técnicas sin dirección. Los objetivos permiten definir alcance, esfuerzo, profundidad y criterios de éxito.

  • Identificar vulnerabilidades: descubrir fallas técnicas, configuraciones débiles y exposiciones innecesarias.
  • Validar explotabilidad: comprobar si una vulnerabilidad puede aprovecharse en condiciones reales y controladas.
  • Medir impacto: determinar qué podría lograr un atacante si explotara el hallazgo.
  • Evaluar controles: observar si mecanismos como firewalls, EDR, WAF, MFA, SIEM o segmentación reducen el riesgo.
  • Priorizar remediación: ordenar los hallazgos por riesgo real, no solo por severidad teórica.
  • Mejorar la postura de seguridad: entregar recomendaciones técnicas y ejecutivas que puedan aplicarse.

1.6 Qué no es un pentest

Comprender los límites del pentesting evita expectativas incorrectas. Una prueba de penetración no reemplaza todas las prácticas de seguridad ni garantiza que un sistema sea invulnerable.

  • No es una garantía absoluta de seguridad.
  • No es simplemente ejecutar un escáner automático y exportar un informe.
  • No es una autorización para probar cualquier sistema fuera del alcance pactado.
  • No es una actividad orientada a dañar, interrumpir servicios o exponer datos innecesariamente.
  • No reemplaza hardening, monitoreo, gestión de parches, desarrollo seguro ni respuesta a incidentes.
  • No debe confundirse con una auditoría de cumplimiento, aunque puede aportar evidencia técnica para ella.
El resultado de un pentest depende del alcance, el tiempo disponible, la información inicial, las restricciones operativas y la profundidad acordada.

1.7 Pentesting, análisis de vulnerabilidades y auditoría

Estos términos suelen mezclarse, pero no significan lo mismo. Diferenciarlos ayuda a elegir el tipo de evaluación adecuado para cada necesidad.

Actividad Propósito Resultado típico
Análisis de vulnerabilidades Detectar debilidades conocidas y configuraciones inseguras Listado de hallazgos con severidad y recomendaciones
Pentesting Validar vulnerabilidades explotables e impacto real Reporte con evidencia, rutas de ataque y prioridades
Auditoría de seguridad Revisar controles contra políticas, normas o requisitos Brechas de cumplimiento y plan de corrección
Red team Simular adversarios para evaluar detección y respuesta Lecciones sobre exposición, defensa y capacidad operacional

1.8 Tipos de pruebas según la información inicial

Una prueba puede diseñarse con distintos niveles de información entregada al equipo evaluador. Cada enfoque cambia el realismo, la velocidad y la profundidad del análisis.

  • Black box: el equipo parte con poca o ninguna información interna. Es útil para simular una mirada externa, aunque puede consumir más tiempo en reconocimiento.
  • Gray box: se entrega información parcial, como rangos, usuarios de prueba, documentación limitada o arquitectura general. Suele equilibrar realismo y eficiencia.
  • White box: se entrega información amplia, como código fuente, diagramas, configuraciones o credenciales controladas. Permite una evaluación profunda y orientada a cobertura.

Ningún enfoque es universalmente mejor. La elección depende del objetivo de negocio, el presupuesto, el tiempo disponible y el nivel de riesgo aceptable durante la prueba.

1.9 Ámbitos comunes del pentesting

El pentesting puede aplicarse a distintos entornos. Cada ámbito requiere conocimientos, herramientas, riesgos y criterios de validación específicos.

  • Aplicaciones web: autenticación, sesiones, inyecciones, controles de acceso, lógica de negocio y exposición de datos.
  • APIs: autorización, validación de entradas, abuso de endpoints, tokens, rate limiting y exposición de objetos.
  • Redes internas: segmentación, servicios expuestos, credenciales, movimiento lateral y privilegios.
  • Infraestructura externa: servicios publicados, perímetro, DNS, certificados, VPN y superficies accesibles desde internet.
  • Active Directory: identidades, permisos, delegaciones, rutas de privilegio y errores de configuración.
  • Cloud: IAM, almacenamiento, redes, secretos, exposición pública y configuraciones débiles.
  • Wi-Fi: cifrado, autenticación, redes invitadas, access points falsos y aislamiento.
  • Contenedores y Kubernetes: imágenes, secretos, permisos, redes internas y políticas de despliegue.

1.10 Fases generales de una prueba de penetración

Aunque cada metodología tiene sus propios nombres, una prueba de penetración suele recorrer fases comunes. En este curso las estudiaremos con más detalle en temas posteriores.

  1. Planificación: definición de objetivos, alcance, límites, contactos, ventanas de prueba y reglas de compromiso.
  2. Reconocimiento: recopilación de información pública o autorizada sobre el objetivo.
  3. Enumeración: identificación de hosts, servicios, tecnologías, usuarios, rutas y puntos de entrada.
  4. Análisis: evaluación de vulnerabilidades, configuraciones y posibles cadenas de ataque.
  5. Explotación controlada: validación cuidadosa de hallazgos para demostrar impacto sin causar daño innecesario.
  6. Post-explotación: análisis de alcance obtenido, privilegios, datos accesibles y posibilidades de movimiento lateral dentro de lo autorizado.
  7. Reporte: documentación de evidencia, impacto, severidad, causa raíz y recomendaciones.
  8. Retesting: verificación posterior de correcciones aplicadas.

1.11 La importancia del alcance

El alcance define qué se puede probar, qué queda fuera, con qué profundidad y bajo qué restricciones. Es uno de los elementos más importantes de una prueba profesional porque protege tanto al cliente como al equipo evaluador.

Un alcance claro debería indicar:

  • Dominios, direcciones IP, aplicaciones, APIs, redes o cuentas incluidas.
  • Fechas, horarios y ventanas permitidas para pruebas sensibles.
  • Técnicas permitidas y técnicas prohibidas.
  • Contactos de emergencia y procedimiento ante incidentes.
  • Tratamiento de credenciales, datos sensibles y evidencias.
  • Criterios para detener una prueba si aparece riesgo operativo.
En pentesting profesional, "tener permiso" no alcanza. El permiso debe estar documentado, delimitado y entendido por todas las partes.

1.12 Ética y responsabilidad profesional

El conocimiento ofensivo puede causar daño si se usa sin criterio. Por eso la ética no es un tema secundario del curso: es una condición de trabajo. Quien realiza un pentest puede ver información sensible, detectar fallas críticas o generar impacto operativo si actúa con descuido.

  • Trabajar solo sobre objetivos autorizados.
  • Respetar el alcance acordado.
  • Minimizar impacto sobre disponibilidad y datos.
  • No extraer más información de la necesaria para demostrar un hallazgo.
  • Proteger evidencias, credenciales y documentos del proyecto.
  • Informar hallazgos críticos con rapidez y por canales acordados.
  • Eliminar accesos, archivos de prueba y artefactos al finalizar, según el procedimiento pactado.

1.13 Riesgo, impacto y evidencia

Un hallazgo técnico solo es útil si se entiende su riesgo. Para eso hay que relacionar vulnerabilidad, probabilidad, impacto, contexto y evidencia. No todas las vulnerabilidades con nombre conocido tienen el mismo peso en todos los entornos.

Por ejemplo, una credencial débil en una cuenta sin privilegios y aislada no tiene el mismo impacto que una credencial débil con acceso administrativo a infraestructura crítica. Del mismo modo, un panel expuesto puede ser poco relevante si tiene autenticación robusta, o crítico si permite restablecer usuarios sin control.

La evidencia debe demostrar el hallazgo sin exponer datos innecesarios. Una captura parcial, un identificador de sistema, una respuesta controlada o una prueba de acceso limitada suelen ser suficientes para respaldar el reporte.

1.14 Herramientas y criterio técnico

Las herramientas son importantes, pero no sustituyen el criterio. Escáneres, proxies, frameworks, scripts, clientes de red y utilidades de enumeración aceleran el trabajo, aunque también pueden producir falsos positivos, falsos negativos o impactos no deseados si se usan sin entender qué hacen.

Un pentester profesional necesita interpretar resultados, validar hipótesis, leer documentación técnica, entender protocolos y adaptar la prueba al contexto. La herramienta muestra una posibilidad; el criterio determina si esa posibilidad representa riesgo real.

Recurso Uso esperado Riesgo de uso incorrecto
Escáneres Detectar exposición y vulnerabilidades conocidas Ruido, falsos positivos o carga excesiva
Proxies web Analizar peticiones, sesiones y flujos de aplicación Modificar datos sin control o perder trazabilidad
Frameworks Validar pruebas conocidas en entornos autorizados Ejecutar módulos con efectos no entendidos
Scripts propios Automatizar tareas repetitivas o validaciones específicas Errores lógicos, impacto operativo o exposición de datos

1.15 Cómo se mide el éxito de un pentest

El éxito de una prueba de penetración no se mide por la cantidad de sistemas comprometidos ni por la espectacularidad de una demostración. Se mide por la utilidad del resultado para reducir riesgo.

  • El alcance fue respetado.
  • Los hallazgos son reproducibles y están bien evidenciados.
  • La severidad refleja impacto real en el contexto del cliente.
  • Las recomendaciones son claras, priorizadas y accionables.
  • Los riesgos críticos fueron comunicados a tiempo.
  • La organización entiende qué debe corregir y por qué.
  • El retesting permite confirmar mejoras.

1.16 Qué aprenderemos en el resto del curso

Este tema presenta la base conceptual. En los próximos temas avanzaremos por el ciclo completo de una prueba profesional, desde el marco legal y metodológico hasta las técnicas de evaluación en distintos entornos.

  • Ética, legalidad, autorización y reglas de compromiso.
  • Metodologías profesionales como PTES, OWASP y NIST.
  • Preparación de laboratorio y entorno de trabajo seguro.
  • Reconocimiento pasivo, OSINT, descubrimiento activo y enumeración.
  • Análisis de vulnerabilidades y explotación controlada.
  • Pruebas web, APIs, Linux, Windows, Active Directory, Wi-Fi, cloud y contenedores.
  • Post-explotación, evidencias, reporte, remediación y retesting.

1.17 Qué debes recordar de este tema

  • El pentesting es una evaluación autorizada orientada a descubrir riesgo real.
  • El ethical hacking usa técnicas ofensivas con permiso, límites y propósito defensivo.
  • La seguridad ofensiva permite validar controles desde la perspectiva de un adversario.
  • Un pentest profesional necesita alcance, metodología, evidencia y reporte accionable.
  • Las herramientas ayudan, pero el criterio técnico y ético define la calidad del trabajo.

1.18 Conclusión

El pentesting y el ethical hacking son disciplinas prácticas, pero no empiezan con herramientas. Empiezan con autorización, objetivos, límites y responsabilidad. La técnica tiene valor cuando ayuda a comprender riesgo y a mejorar defensas reales.

En el próximo tema estudiaremos con más detalle la ética, la legalidad, la autorización formal y las reglas de compromiso que deben existir antes de ejecutar cualquier prueba.

Volver al índice