Estándares de Pruebas de Penetración (Pentesting)

Las pruebas de penetración deben realizarse bajo condiciones controladas y legales. Se requiere:

• Contrato legal firmado entre el cliente y el proveedor.

• Alcance claramente definido.

• Respeto por la integridad de sistemas y datos: evitar alterar contraseñas o eliminar archivos. Por ejemplo, es suficiente mostrar evidencia del acceso, como capturas de pantalla de carpetas confidenciales.

Principales estándares de pentesting:

🔍 PTES – Penetration Testing Execution Standard

Aplica a pruebas de todo tipo. Establece las siguientes fases:

1. Interacciones previas al compromiso

2. Recopilación de inteligencia

3. Modelado de amenazas

4. Análisis de vulnerabilidades

5. Explotación

6. Post-explotación

7. Generación de informes

🧱 OSSTMM – Open Source Security Testing Methodology Manual

Ofrece una metodología abierta y estructurada que abarca:

• Seguridad humana (ingeniería social)

• Seguridad física

• Comunicaciones inalámbricas (WiFi, Bluetooth, etc.)

• Telecomunicaciones

• Redes de datos

Puede complementarse con otros estándares como PTES o NIST.

🏛️ NIST – National Institute of Standards and Technology

Reconocido por su Marco de Ciberseguridad y guía de pruebas de penetración. Las fases que establece son:

1. Planificación

2. Descubrimiento

3. Ataque

4. Informes

🌐 OWASP – Open Web Application Security Project

Enfocado en aplicaciones web, móviles y firmware. Referencia clave para riesgos y pruebas.

Guías destacadas:

• WSTG – Guía de pruebas de seguridad web

• MSTG – Guía de pruebas de seguridad móvil

• Firmware Security Testing Methodology