Tema 3

3. Metodologías profesionales: PTES, OWASP, NIST y enfoques basados en riesgo

Una metodología convierte una prueba de penetración en un proceso repetible, ordenado y defendible. Ayuda a cubrir lo importante, evitar improvisaciones peligrosas y comunicar resultados con criterios claros de riesgo e impacto.

Objetivo Comprender cómo se organiza un pentest profesional
Enfoque Metodológico, práctico y basado en riesgo
Resultado Elegir y adaptar marcos de trabajo según el contexto

3.1 Introducción

Un pentest profesional no debería depender únicamente de la intuición del evaluador. La experiencia es importante, pero necesita un marco que ordene el trabajo: qué se revisa, en qué secuencia, con qué profundidad, cómo se documenta y cómo se prioriza.

Las metodologías de pentesting ofrecen esa estructura. No son recetas rígidas ni reemplazan el criterio técnico, pero reducen omisiones, mejoran la comunicación con el cliente y permiten justificar decisiones durante la prueba.

En este tema veremos cómo usar metodologías como PTES, OWASP y NIST, y cómo combinarlas con un enfoque basado en riesgo para que la evaluación responda a lo que realmente importa en cada entorno.

3.2 Por qué usar una metodología

Sin metodología, una prueba puede convertirse en una secuencia desordenada de herramientas. Eso suele producir reportes incompletos, hallazgos mal priorizados y baja trazabilidad entre objetivo, técnica, evidencia e impacto.

Una metodología aporta:

  • Orden para planificar, ejecutar y cerrar la prueba.
  • Cobertura mínima de áreas críticas.
  • Criterios para decidir profundidad y prioridad.
  • Lenguaje común entre evaluadores, clientes y equipos defensivos.
  • Base documental para justificar alcance, límites y resultados.
  • Repetibilidad para comparar evaluaciones a lo largo del tiempo.
La metodología no reemplaza al criterio profesional. Lo encuadra para que el trabajo sea completo, explicable y útil.

3.3 Qué debe resolver una metodología de pentesting

Una metodología útil debe ayudar a responder preguntas concretas antes, durante y después de la evaluación.

Momento Pregunta clave Resultado esperado
Antes de probar ¿Qué se evalúa y bajo qué límites? Alcance, reglas de compromiso y plan de trabajo
Durante el reconocimiento ¿Qué información permite entender la superficie de ataque? Mapa de activos, tecnologías, servicios y dependencias
Durante la validación ¿Qué vulnerabilidades son explotables y con qué impacto? Evidencia controlada y análisis de riesgo
Durante el reporte ¿Qué debe corregirse primero y por qué? Hallazgos priorizados y recomendaciones accionables
Después del cierre ¿Las correcciones fueron efectivas? Retesting y mejora continua

3.4 PTES: Penetration Testing Execution Standard

PTES es un estándar orientado a ordenar la ejecución de pruebas de penetración. Su valor está en presentar una visión completa del ciclo de trabajo, desde la interacción inicial con el cliente hasta el reporte final.

Las fases más conocidas de PTES son:

  1. Pre-engagement interactions: definición previa de alcance, objetivos, restricciones y reglas.
  2. Intelligence gathering: recopilación de información sobre el objetivo.
  3. Threat modeling: análisis de amenazas relevantes para el contexto evaluado.
  4. Vulnerability analysis: identificación y evaluación de debilidades.
  5. Exploitation: validación controlada de vulnerabilidades explotables.
  6. Post exploitation: análisis del valor del acceso obtenido y del posible impacto.
  7. Reporting: comunicación técnica y ejecutiva de hallazgos.

PTES es especialmente útil para pruebas amplias, porque obliga a pensar en negocio, amenazas, impacto y documentación, no solo en explotación.

3.5 Cómo aplicar PTES en un pentest real

Aplicar PTES no significa seguir una lista de tareas de forma mecánica. Significa usar sus fases para no perder dimensiones importantes del trabajo.

  • En la fase previa, se acuerdan activos, límites, horarios, contactos y restricciones.
  • En inteligencia, se recopila información pública y técnica sobre el objetivo.
  • En modelado de amenazas, se identifican escenarios plausibles: robo de credenciales, exposición de datos, escalada o interrupción.
  • En análisis de vulnerabilidades, se correlacionan hallazgos de herramientas con revisión manual.
  • En explotación, se valida impacto con el menor nivel de intrusión necesario.
  • En post-explotación, se determina qué significa realmente el acceso obtenido.
  • En reporte, se prioriza por riesgo y se explica la ruta de ataque.
PTES ayuda a evitar el error de empezar directamente por herramientas sin comprender objetivos, amenazas y contexto.

3.6 OWASP y su rol en pruebas de aplicaciones

OWASP es una referencia central para seguridad de aplicaciones. Aunque es muy conocido por el OWASP Top 10, su valor para pentesting web y de APIs va más allá de esa lista.

Para pruebas profesionales, OWASP aporta guías, categorías de riesgo, criterios de verificación y documentación útil para evaluar aplicaciones web, APIs, autenticación, autorización, sesiones, entrada de datos, lógica de negocio y configuración segura.

  • OWASP Top 10: lista de categorías de riesgos frecuentes y relevantes en aplicaciones web.
  • OWASP Web Security Testing Guide: guía práctica para organizar pruebas de seguridad web.
  • OWASP API Security Top 10: referencia para riesgos comunes en APIs.
  • OWASP ASVS: estándar de verificación para controles de seguridad en aplicaciones.

3.7 OWASP Top 10: utilidad y límites

El OWASP Top 10 es útil para comunicar riesgos frecuentes, pero no debe tratarse como una lista completa de todo lo que puede fallar en una aplicación. Sirve como punto de partida, no como techo metodológico.

Un pentest web que solo revise las categorías del Top 10 puede omitir fallas específicas de lógica de negocio, integraciones internas, reglas de autorización particulares, abuso de flujos o condiciones propias del contexto.

Uso correcto Uso insuficiente
Tomarlo como marco de riesgos comunes Creer que todo riesgo web está dentro del Top 10
Complementarlo con pruebas manuales Marcar casillas sin validar impacto real
Usarlo para explicar hallazgos al cliente Reemplazar la metodología completa por una lista corta
Adaptarlo al tipo de aplicación Aplicarlo igual a un sitio simple, una API crítica y un sistema financiero

3.8 OWASP WSTG: guía para pruebas web

La Web Security Testing Guide de OWASP organiza pruebas por áreas. Es especialmente útil para construir checklists de cobertura cuando se evalúa una aplicación web.

Entre sus áreas habituales se incluyen:

  • Recopilación de información y fingerprinting.
  • Gestión de configuración y despliegue.
  • Gestión de identidad y autenticación.
  • Autorización y control de acceso.
  • Gestión de sesiones.
  • Validación de entradas.
  • Manejo de errores.
  • Criptografía aplicada.
  • Lógica de negocio.
  • Pruebas del lado cliente.

3.9 OWASP ASVS: verificación de controles

ASVS, Application Security Verification Standard, es útil cuando se necesita evaluar controles de seguridad de forma más estructurada. A diferencia de una prueba puramente exploratoria, ASVS permite medir requisitos verificables.

Puede usarse en pentesting, revisión de arquitectura, desarrollo seguro y validación de controles. En un curso de pentesting, conviene verlo como una referencia para no limitarse a encontrar fallas, sino también comprobar si los controles esperados existen y funcionan.

  • Ayuda a definir expectativas de seguridad por nivel de criticidad.
  • Permite revisar autenticación, sesiones, control de acceso y criptografía.
  • Sirve como puente entre desarrollo, seguridad y auditoría.
  • Complementa la explotación con verificación de diseño.

3.10 NIST y su enfoque para pruebas técnicas

NIST aporta guías y marcos ampliamente usados para gestión de ciberseguridad, evaluación de controles y pruebas técnicas. En pentesting, resulta útil porque conecta la actividad ofensiva con gestión de riesgo, controles, documentación y mejora continua.

Mientras PTES se enfoca en la ejecución del pentest y OWASP en aplicaciones, NIST ayuda a ubicar la prueba dentro de un programa de seguridad más amplio: identificar, proteger, detectar, responder y recuperar.

Marco Enfoque Uso en pentesting
PTES Ejecución de pruebas de penetración Organizar fases del trabajo ofensivo
OWASP Seguridad de aplicaciones y APIs Guiar pruebas web, APIs y verificación de controles
NIST Gestión de riesgo, controles y ciberseguridad organizacional Vincular hallazgos con controles, impacto y mejora continua

3.11 NIST SP 800-115 y pruebas de seguridad técnica

NIST SP 800-115 es una guía técnica para pruebas y evaluación de seguridad de la información. Presenta actividades como revisión, análisis, identificación de vulnerabilidades, pruebas de penetración y documentación de resultados.

Su valor está en que trata las pruebas como parte de un proceso formal, no como una actividad aislada. Esto encaja bien en organizaciones que necesitan justificar evaluaciones ante auditoría, cumplimiento, gestión de riesgo o dirección.

  1. Planificación: objetivos, alcance, recursos, restricciones y aprobaciones.
  2. Descubrimiento: recopilación de información, escaneo, identificación de servicios y análisis inicial.
  3. Ataque: validación controlada de vulnerabilidades cuando corresponde.
  4. Reporte: documentación de resultados, impacto y recomendaciones.

3.12 Enfoque basado en riesgo

Un enfoque basado en riesgo prioriza lo que puede afectar más al negocio, a los usuarios, a los datos o a la continuidad operativa. Esto evita invertir demasiado tiempo en hallazgos de bajo impacto mientras quedan sin revisar rutas críticas.

El riesgo surge de combinar varios factores:

  • Probabilidad: qué tan factible es explotar una debilidad.
  • Impacto: qué daño produciría la explotación.
  • Exposición: quién puede alcanzar el activo vulnerable.
  • Valor del activo: qué tan crítico es para la organización.
  • Controles existentes: qué defensas reducen o aumentan el riesgo real.
  • Cadena de ataque: si el hallazgo permite avanzar hacia objetivos más sensibles.
En pentesting, una vulnerabilidad de severidad media puede ser crítica si permite encadenarse con otros fallos y alcanzar un activo sensible.

3.13 Diferencia entre severidad técnica y riesgo real

La severidad técnica describe la gravedad de una vulnerabilidad en términos generales. El riesgo real depende del contexto. Un hallazgo puede tener una puntuación alta en una base de datos pública, pero representar bajo impacto si el activo está aislado, monitoreado y sin datos sensibles. También puede ocurrir lo contrario.

Hallazgo Severidad técnica Contexto Riesgo real
Servicio vulnerable en laboratorio aislado Alta Sin acceso desde redes productivas Moderado o bajo
Contraseña débil en cuenta administrativa Media Acceso remoto expuesto y sin MFA Crítico
Panel interno sin control de acceso correcto Alta Permite modificar datos de clientes Crítico
Cabecera HTTP faltante Baja No habilita explotación directa en el flujo evaluado Bajo

3.14 Cómo elegir una metodología

No existe una única metodología correcta para todos los proyectos. La elección depende del tipo de objetivo, el alcance, la madurez del cliente, los requisitos regulatorios, el tiempo disponible y el nivel de profundidad esperado.

  • Para un pentest amplio de infraestructura, PTES puede servir como columna vertebral.
  • Para aplicaciones web, OWASP WSTG y ASVS aportan cobertura técnica específica.
  • Para APIs, OWASP API Security Top 10 ayuda a enfocar riesgos comunes.
  • Para organizaciones reguladas, NIST puede ayudar a vincular hallazgos con controles y gestión de riesgo.
  • Para proyectos críticos, conviene combinar metodología técnica con análisis de amenazas y priorización por impacto.

3.15 Adaptar sin desordenar

Adaptar una metodología no significa recortarla al azar. Significa ajustar profundidad, orden y técnicas al contexto del proyecto sin perder trazabilidad ni cobertura mínima.

Una adaptación responsable debería documentar:

  • Qué marco o guía se toma como referencia.
  • Qué áreas se incluyen en el alcance.
  • Qué áreas se excluyen y por qué.
  • Qué restricciones operativas afectan la profundidad.
  • Qué riesgos se priorizan por criticidad del entorno.
  • Qué pruebas quedan recomendadas para una etapa posterior.
La metodología debe adaptarse al proyecto, pero el reporte debe dejar claro qué fue cubierto y qué no.

3.16 Checklist metodológico básico

Un checklist ayuda a mantener orden, siempre que no se use como sustituto del análisis. Para una prueba profesional, al menos debería cubrir estos puntos:

  • Objetivos de negocio y objetivos técnicos definidos.
  • Autorización y reglas de compromiso documentadas.
  • Activos incluidos y excluidos identificados.
  • Reconocimiento y enumeración realizados de forma controlada.
  • Hallazgos validados manualmente cuando sea necesario.
  • Evidencia recolectada con mínima exposición de datos.
  • Severidad asignada según contexto e impacto.
  • Recomendaciones claras y priorizadas.
  • Hallazgos críticos comunicados sin esperar al cierre.
  • Retesting considerado como parte del ciclo de mejora.

3.17 Errores frecuentes al usar metodologías

  • Confundir metodología con una lista rígida de comandos.
  • Aplicar el mismo nivel de profundidad a todos los activos sin considerar criticidad.
  • Usar OWASP Top 10 como única guía para una aplicación compleja.
  • Reportar severidad técnica sin analizar impacto real.
  • Omitir restricciones, exclusiones o limitaciones del alcance.
  • Generar un reporte largo pero sin recomendaciones accionables.
  • No conectar hallazgos técnicos con riesgo para el negocio.

3.18 Ejemplo de combinación metodológica

Supongamos una evaluación de una plataforma web con API, autenticación corporativa y despliegue en cloud. Una combinación razonable podría ser:

  1. Usar PTES para ordenar el ciclo completo del pentest.
  2. Usar OWASP WSTG para pruebas web.
  3. Usar OWASP API Security Top 10 para endpoints de API.
  4. Usar ASVS para verificar controles de autenticación, sesiones y autorización.
  5. Usar un enfoque basado en riesgo para priorizar cuentas privilegiadas, datos sensibles e integraciones críticas.
  6. Usar referencias NIST para vincular hallazgos con controles y mejora continua.

Este enfoque evita depender de una sola guía y permite que el plan de trabajo refleje la arquitectura real.

3.19 Qué debes recordar de este tema

  • Una metodología hace que el pentest sea ordenado, repetible y defendible.
  • PTES es útil para estructurar el ciclo completo de una prueba de penetración.
  • OWASP aporta guías fundamentales para aplicaciones web, APIs y verificación de controles.
  • NIST ayuda a conectar pruebas técnicas con gestión de riesgo y controles organizacionales.
  • El riesgo real depende del contexto, no solo de la severidad técnica.
  • Las metodologías pueden combinarse, siempre que el alcance y la cobertura queden claros.

3.20 Conclusión

Las metodologías profesionales no existen para limitar el trabajo técnico, sino para hacerlo más consistente y útil. Un pentest bien organizado identifica vulnerabilidades, valida impacto, prioriza por riesgo y comunica resultados de forma que la organización pueda actuar.

En el próximo tema prepararemos el laboratorio, las máquinas vulnerables y el entorno de trabajo seguro que usaremos para practicar sin afectar sistemas reales ni salir del marco ético del curso.

Volver al índice