Seguramente en muchas ocasiones habrás escuchado el término pentesting y pentester, sobretodo si no estás familiarizado con el mundo de las nuevas tecnologías te estarás preguntando sus significados. Pero para eso estamos aquí, para explicarte de la mejor manera posible, su significado y lo que se dedica un Pentester.
En todos los proyectos de seguridad informática, es primordial disponer de un «pentester» que explore y examine las posibles amenazas cibernéticas existentes que puedan obtener el control de dicho proyecto. Es un paso muy importante a llevar a cabo en todo proyecto informático.
De esta manera, si quieres conocer lo que hace un pentester y algunos otros elementos importantes en el camino de la ciberseguridad, te recomendamos seguir leyendo este artículo.
¿Qué es Pentesting y qué hace un Pentester?…
El pentesting o pentester (penetration test, pen test o ethical hacking, en inglés) es una práctica que se lleva a cabo de la seguridad informática por la que los expertos, es decir, hackers éticos de diferentes compañías alrededor del mundo están optando para explorar la estructura de seguridad informática de la empresa. Para que puedas entenderlo de una mejor forma, se trata de realizar pruebas o tests de intrusión informática, con el propósito de averiguar dónde se encuentran los «agujeros de seguridad» de la información de una empresa.
El pen-test se utiliza para identificar, realizar tests y encontrar las vulnerabilidades o problemas en términos de la seguridad acerca de la información sensible y los datos. Ahora bien, lo que hace un hacker ético al utilizar un pentester es imitar todas las acciones y procesos que realizaría cualquier ladrón o informático que esté pensando en llevar a cabo un ataque a una estructura con información importante.
Al hacerlo, tendrán que evaluar la capacidad de seguridad de la estructura, la red o las aplicaciones de la compañía, para encontrar los puntos vulnerables de los programas de la compañía y del Big Data. Una vez terminada la evaluación, los hackers éticos deberán explorar las formas en las que pueden mejorar este tipo de problemas de seguridad.
¿Qué clases de Pentesting existe?…
Los hackers éticos contratados por las empresas alrededor del mundo han dividido las formas de aproximarse al pen testing, según las herramientas y los procesos que realizan. A continuación, te presentamos algunos de ellos:
- Open-box: este es un tipo de pentester que se utiliza con hackers éticos externos a la compañía. A ellos se les entregan información antes de realizar el test sobre el objetivo acerca de de información sensible de la compañía.
- Closed-box: este segundo tipo de pentester también se utiliza con hackers éticos externos a la compañía. Sin embargo, a diferencia del anterior, a los hackers no se les entrega ningún tipo de información, aparte del nombre de la compañía.Ellos deben entrar de forma ciega.
- Covert: este tipo de pentester también integra a las personas que constituyen la compañía, que se verá afectada por el pentesting, quienes no tendrán ninguna información acerca del proceso que se está realizando. Por otro lado, el hacker sí tendrá algunos detalles escritos antes de esto.
- External: este es un pentest que se realiza según límites terrenales, es decir, el testeo se realizará fuera de las instalaciones de la compañía.
- Internal: para examinar de qué forma los empleados o personas que llegan a las instalaciones de la empresa pueden afectar la estructura de seguridad, el pentest de este tipo se realizará de forma interna, es decir, desde la red de la compañía, la intranet.
¿Pero no es lo mismo un Pentester que un Hacker?…
En general, desarrollan las mismas prácticas, pero no se les debe llamar por igual, a pesar de el trabajo lo desarrollan personas con conocimientos de hacking ético (hackers), a los mismos no se les puede llamar por igual por el simple hecho de que «hackear» un sistema es ilegal (práctica penada por ley en diversos países), sin embargo, atacar los propios sistemas informáticos no lo es.
