Vous êtes sur la page 1sur 3

Carlos Daniel Varón Segura

Código: 20132020022
Ingeniería de Sistemas
02/Abril/2014

SOLUCIÓN TAREA PENTESTING

1) ¿Qué es un pentesting?

“Un pentesting o test de penetración consiste en pruebas ofensivas contra los mecanismos de
defensa existentes en el entorno que se está analizando. Estas pruebas comprenden desde el
análisis de dispositivos físicos y digitales, hasta el análisis del factor humano utilizando Ingeniería
Social. El objetivo de estas pruebas es verificar bajo situaciones extremas cuál es el
comportamiento de los mecanismos de defensa, específicamente, se busca detectar
vulnerabilidades en los mismos. Además, se identifican aquellas faltas de controles y las brechas
que pueden existir entre la información crítica y los controles existentes.

2) ¿Cuáles son las fases de desarrollo de un pentesting?

Un Penetration Test comprende múltiples etapas con diferentes tipos de actividades en distintos
ámbitos y entornos. La profundidad con que se lleven a cabo las actividades dependerá de ciertos
factores, entre los que se destaca el riesgo que puede generar hacia el cliente alguno de los
métodos que se apliquen durante la evaluación.

Se establece un previo acuerdo con el cliente para llevar a cabo las diferentes fases del análisis,
que se describen a continuación:

-Fase de reconocimiento: Posiblemente, esta sea una de las etapas que más tiempo demande.
Asimismo, se definen objetivos y se recopila toda la información posible que luego será utilizada a
lo largo de las siguientes fases. La información que se busca abarca desde nombres y direcciones
de correo de los empleados de la organización, hasta la topología de la red, direcciones IP, entre
otros. Cabe destacar que el tipo de información o la profundidad de la pesquisa dependerán de los
objetivos que se hayan fijado en la auditoría.

-Fase de escaneo: Utilizando la información obtenida previamente se buscan posibles vectores de


ataque. Esta etapa involucra el escaneo de puertos y servicios. Posteriormente se realiza el
escaneo de vulnerabilidades que permitirá definir los vectores de ataque.

-Fase de enumeración: El objetivo de esta etapa es la obtención de los datos referente a los
usuarios, nombres de equipos, servicios de red, entre otros. A esta altura de la auditoría, se
realizan conexiones activas con el sistema y se ejecutan consultas dentro del mismo.

-Fase de acceso: En esta etapa finalmente se realiza el acceso al sistema. Esta tarea se logra a
partir de la explotación de aquellas vulnerabilidades detectadas que fueron aprovechadas por el
auditor para comprometer el sistema.

-Fase de mantenimiento de acceso: Luego de haberse obtenido el acceso al sistema, se busca la


manera de preservar el sistema comprometido a disposición de quien lo ha atacado. El objetivo es
mantener el acceso al mencionado sistema perdurable en el tiempo.
Si bien las fases que componen a la operatoria de un Penetration Test son las mencionadas
anteriormente, cabe señalar que a partir de los resultados obtenidos se genera la documentación
correspondiente con los detalles que comprendieron la auditoría. Esta documentación es la que
verá el cliente, y es la que servirá como guía para tomar las decisiones futuras
pertinentes.Finalmente, es importante tomar los recaudos necesarios para evitar sufrir ataques e
incidentes en la organización. Asimismo la seguridad debe ser gestionada contemplando la
necesidad de la realización de auditorías cada un período de tiempo adecuado. Debido a esta
problemática, ESET Latinoamérica ofrece servicios de auditoría de seguridad a través de la unidad
ESET Security Services de forma tal de poder identificar vulnerabilidades en la infraestructura de
seguridad de la empresa, para así poder trabajar en una mejora en la protección de la información
corporativa.” (Fernando Catoira- Analista de seguridad web-)

3)

4)

5) Lista de problemas que se presentaron a la hora de realizar la practica

-No encontré archivos dando la instrucción de cómo realizar el test. Solamente el de la


configuración del virtualbox.

-Al enviar el correo con anterioridad (buscando una solución a la duda de como comenzar con el
test) hubo un problema al enviarse y hasta hace solo un momento me di cuenta de este fallo.
Webgrafia:

-https://hackersenlared.wordpress.com/category/capacitacion/que-es-un-pentest/
(Fernando Catoira- Analista de seguridad web)