CyberGlossary

Defensa y operaciones

Pruebas de penetración

También conocido como: Pentest, Hacking ético

Definición

Ciberataque simulado y autorizado contra sistemas, aplicaciones o personas para identificar debilidades explotables antes de que lo hagan adversarios reales.

Las pruebas de penetración (pentesting) son evaluaciones de seguridad orientadas a objetivos en las que profesionales acreditados intentan vulnerar las defensas de la organización con las mismas técnicas que los atacantes reales. Cada encargo define alcance, reglas de enfrentamiento y autorización, y puede dirigirse a redes, aplicaciones web y móviles, cargas de trabajo en la nube, APIs, instalaciones físicas o al personal mediante ingeniería social. A diferencia del escaneo automatizado, el pentest demuestra la explotabilidad encadenando hallazgos para evidenciar el impacto en el negocio, como exfiltración de datos o compromiso del dominio. Los resultados alimentan la remediación, validan la eficacia de los controles y respaldan marcos como PCI DSS, HIPAA o ISO 27001.

Ejemplos

  • Pentest externo que logra acceso inicial mediante una VPN expuesta y escala hasta administrador de dominio.
  • Pentest de aplicación web que combina un IDOR con un XSS persistente para tomar el control de cuentas administrativas.

Términos relacionados