Tipos de Pentesting: guía completa para elegir la prueba correcta y cumplir la Ley Marco de Ciberseguridad

Shape Shape
El penetration testing (pentesting) es la práctica de simular ataques controlados para descubrir vulnerabilidades antes que los criminales. No todos los pentests son iguales: varían según el conocimiento previo del evaluador, la superficie evaluada, los objetivos y la profundidad de la prueba. Esta guía cubre los tipos más usados en la industria —los que aparecen en el gráfico de referencia— y te ayuda a escoger la prueba adecuada para tu empresa en Chile, alineada con la Ley Marco de Ciberseguridad y ISO 27001.

1) Clasificación por nivel de información

1.1 Black Box Testing

¿Qué es? Simula un atacante externo sin información previa (sin credenciales, arquitecturas ni IPs).
¿Para qué sirve? Medir la exposición real de tu perímetro a Internet: descubrimiento de subdominios, servicios expuestos, bypass de WAF, explotación de fallas comunes (RCE, SQLi, XSS), credenciales por fuerza bruta, etc.
Ventajas: Muy cercano a un ataque real, prioriza superficie de mayor impacto.
Limitaciones: Menos cobertura interna; requiere más tiempo para el reconocimiento.

1.2 Grey Box Testing

¿Qué es? El equipo recibe algo de información (por ejemplo, un usuario de bajo privilegio o diagramas de alto nivel).
¿Para qué sirve? Evaluar rutas de escalamiento, controles de autorización, segmentación de redes, lógica de negocio y configuración de aplicaciones.
Ventajas: Balance entre realismo y profundidad; mejora la cobertura técnica en menos tiempo.
Limitaciones: Menos “sorpresa” que black box, pues existe información previa.

1.3 White Box Testing

¿Qué es? El evaluador accede a información completa: credenciales, código fuente, diagramas, containers, IaC.
¿Para qué sirve? Auditar en profundidad seguridad por diseño, configuración segura (hardening), secretos, dependencias, pruebas unitarias de seguridad, y SDLC/DevSecOps.
Ventajas: Máxima cobertura y detección de fallas complejas; ideal para pre-producción.
Limitaciones: Menos realismo de ataque externo; mayor coordinación con equipos internos.

2) Clasificación por superficie evaluada

2.1 Network Pentest (Infraestructura)

Alcance: Routers, firewalls, servidores, Active Directory, puertos y servicios, segmentación, políticas de red y nube (VPC/VNet).
Prácticas: Escaneo, enumeración, explotación de servicios, ataques de pass-the-hash, kerberoasting, revisión de grupos y GPOs, lateral movement.
Resultado típico: Tabla de activos expuestos, CVEs, riesgos por mala segmentación, rutas de escalamiento.

2.2 Web Application Pentest

Alcance: Portales, APIs REST/GraphQL, microservicios, autenticaciones SSO, roles (RBAC/ABAC) y lógica de negocio.
Prácticas: OWASP Top 10 (SQLi, XSS, IDOR, SSRF, CSRF), auditoría de cabeceras, rate limiting, session management, pruebas en API schemas.
Resultado típico: Evidencias por endpoint, PoC por cada vulnerabilidad, matriz de autorización y recomendaciones de hardening.

2.3 Mobile Application Pentest

Alcance: Apps iOS/Android, APIs asociadas, almacenamiento local, jailbreak/root detection, seguridad de APIs y certificados (pinning).
Prácticas: OWASP MASVS/MSTG, análisis de tráfico, reversing, inyección, pruebas de permisos y secretos en el APK/IPA.
Resultado típico: Riesgos por almacenamiento inseguro, fuga de tokens, validaciones del lado cliente y recomendaciones de hardening.

2.4 Wireless Pentest

Alcance: Redes Wi-Fi corporativas/guest, estándares (WPA2/WPA3), rogue AP, portal cautivo, IoT, BLE.
Prácticas: Captura de handshakes, ataques de deauth, evaluación de cifrados, aislamiento de clientes, segmentación Wi-Fi y VLANs.
Resultado típico: Riesgos de intrusión por radiofrecuencia, credenciales débiles, redes puenteadas con la LAN principal.

2.5 Social Engineering (Ingeniería Social)

Alcance: Phishing, vishing, smishing, pretexting, BEC (fraude del CEO).
Prácticas: Campañas simuladas, landing pages, payloads controlados, medición de tasa de clics y reporte.
Resultado típico: Métricas de concienciación, cuentas comprometidas, efectividad del MFA, y plan de capacitación.
Tip: Complementa con curso gratuito de phishing con certificación.

2.6 Physical Testing (Intrusión Física)

Alcance: Controles de acceso, CCTV, guardias, cerraduras, áreas restringidas, destrucción segura, impresión/USB.
Prácticas: Tailgating, lockpicking controlado, pruebas de recepción, verificación de políticas de visitantes y cajas fuertes.
Resultado típico: Brechas de seguridad física que habilitan intrusión digital (ej: robo de credenciales, acceso a racks).

3) Enfoques avanzados de adversario

3.1 Red Teaming

Objetivo: Simular una campaña real de un actor de amenazas contra múltiples objetivos (personas, procesos, tecnología).
Características: Largo plazo, sin avisos previos a los equipos operativos, uso de TTPs MITRE ATT&CK, objetivos tácticos (exfiltrar X, tomar control de Y).
Cuándo usarlo: Para medir detección y respuesta del SOC/Blue Team bajo presión realista y contra técnicas evasivas.
Resultado: Informe de kill chain, brechas de detección, tiempos de respuesta, hardening recomendado.

3.2 Purple Teaming

Objetivo: Ejercicio colaborativo Red+Blue (ataque/defensa) para mejorar detecciones y cerrar brechas en tiempo real.
Características: Transparente, iterativo; cada táctica ofensiva agrega una regla de detección o un playbook de respuesta.
Resultado: Matriz ATT&CK con cobertura antes/después, reglas SIEM/EDR y mejoras de orquestación (SOAR).

3.3 Vulnerability Assessment (no es pentest)

Qué es: Escaneo automatizado para identificar debilidades conocidas (CVEs), sin explotarlas.
Cuándo usarlo: Como control continuo (semanal/mensual) o pre-pentest para afinar prioridades.
Limitación: No demuestra impacto real ni cadenas de explotación; no sustituye a un pentest humano.

4) ¿Qué tipo de pentest necesita tu empresa? (matriz de decisión)

Escenario Tipo recomendado Justificación
Lanzar una nueva app web o API Web App (grey/white box) Profundidad en lógica de negocio y autorización; pruebas sobre endpoints críticos.
Validar exposición de la empresa en Internet Black Box + Network Realismo externo, descubrimiento y explotación de servicios expuestos.
Medir reacción del SOC (detección/respuesta) Red Team TTPs reales, objetivos tácticos, telemetría de defensa.
Mejorar reglas SIEM/EDR rápidamente Purple Team Ejercicios colaborativos con resultados inmediatos en detecciones.
Apps móviles con datos personales Mobile Pentest OWASP MASVS, pinning, almacenamiento seguro, tokens.
Sede con invitados/IoT/Wi-Fi Wireless Riesgo de pivote hacia la LAN y robo de credenciales por RF.
Conciencia y cultura Social Engineering Mide clics, reportes, MFA y necesidad de capacitación.
Plantas/edificios críticos Physical Valida que la seguridad física no abra puertas al atacante digital.

5) ¿Qué exige la Ley Marco de Ciberseguridad en Chile?

La Ley N° 21.663 obliga a operadores de servicios esenciales y proveedores críticos a implementar controles técnicos y evidencias de protección, y a notificar incidentes a la ANCI (Agencia Nacional de Ciberseguridad) en los plazos reglamentarios (3 h incidentes críticos, 24 h menores). Un pentest planificado ayuda a:

  • Demostrar gestión proactiva de vulnerabilidades (CIS, ISO 27001 A.12/8/5).
  • Documentar evidencias (hallazgos, PoC, cierre y re-test) auditables por la ANCI.
  • Reducir riesgo operacional y fortalecer continuidad (ISO 22301).

Si durante un pentest se detecta una brecha explotada con impacto real, debe activarse el protocolo de incidentes y evaluarse la notificación a ANCI. Más en: caso contraseña débil y reporte.

6) Entregables que debes exigir a tu proveedor

  • Alcance y reglas de compromiso (RoE): objetivos, ventanas de prueba, entornos, legalidad.
  • Metodología: OWASP, NIST SP800-115, PTES, MITRE ATT&CK (red/purple).
  • Informe técnico: evidencias (capturas), severidad (CVSS), impacto, PoC y reproducción.
  • Informe ejecutivo: riesgos priorizados, costo/impacto, plan de remediación.
  • Re-test: validación de cierres y reducción de riesgo.

7) Buenas prácticas antes, durante y después del pentest

Antes

  • Define objetivos de negocio y KPIs (tiempo de remediación, reducción de exposición).
  • Establece entornos (staging/producción), respaldos y contactos de emergencia.
  • Prepara cuentas “monitor” para correlación de logs (SIEM/EDR).

Durante

  • Registra IOCs y TTPs para alimentar detecciones (blue team).
  • Comunicación de incidentes sospechosos al CISO/comité.

Después

  • Plan de remediación con dueños y fechas; prioriza explotables de alto impacto.
  • Re-test y gestión de riesgos residuales; evidencias para auditoría ANCI/ISO.

8) Preguntas frecuentes

¿Pentest o vulnerability scan? El scan identifica fallas; el pentest demuestra explotación y impacto real (con y sin controles). Ideal: ambos, frecuente y complementario.

¿Cada cuánto hacer pentesting? Anual como mínimo, y tras cambios relevantes (nueva app, arquitectura, fusiones, exposición en nube).

¿Pentest en nube (IaaS/PaaS/SaaS)? Sí, respetando políticas del proveedor; incluye revisión de configuración (CSPM) y identidades (IAM/MFA).

9) Cómo te ayudamos en Confiden

En Confiden ejecutamos pentesting end-to-end con enfoque de negocio y cumplimiento:

  • Pentest web, móvil, redes, wireless, e ingeniería social y física.
  • Ejercicios de Red Team y programas Purple Team con ATT&CK.
  • Integración con Confirmer360 para gestionar hallazgos, planes y evidencias.
  • Alineación con ISO 27001 y requisitos de Ley Marco y ANCI.

👉 Solicita un diagnóstico de alcance o revisa nuestras auditorías.

Post Tags :