Pentesting: Qué exigir al servicio y qué entregables esperar.

Cuando una empresa contrata un servicio de pentesting como el de Innobit, es crucial establecer expectativas claras y exigir ciertos estándares para garantizar la efectividad del servicio. A continuación definimos lo que una empresa debería exigir y qué entregables y procesos puede esperar durante sus pruebas de penetración:

Requisitos que una empresa debe exigir al contratar un Pentesting

  1. Definición clara del alcance:
    • Identificación de los sistemas, aplicaciones y redes a evaluar.
    • Exclusiones específicas (si las hay).
    • Tiempo y horario en que se realizará el pentesting.
  2. Metodología de pruebas:
    • Solicitar el uso de metodologías reconocidas como OWASP, PTES (Penetration Testing Execution Standard) o NIST SP 800-115.
    • Explicación de las técnicas utilizadas: caja blanca, caja negra, caja gris.
  3. Experiencia y certificaciones:
    • Verificar que los pentesters tengan certificaciones relevantes como OSCP, CEH, CISSP, o GPEN.
    • Preguntar por experiencia previa en la industria de la empresa.
  4. Cumplimiento legal y ético:
    • Asegurarse de que el proveedor firme un Acuerdo de Confidencialidad (NDA).
    • Confirmar que las pruebas se realizarán dentro del marco legal y regulatorio correspondiente.
  5. Plan de respuesta a incidentes:
    • Garantizar que el proveedor tenga procedimientos para mitigar cualquier interrupción causada por las pruebas.

Entregables que puede esperar una empresa

  1. Informe preliminar:
    • Resumen de hallazgos iniciales críticos detectados durante las pruebas.
    • Indicaciones para mitigarlos temporalmente si representan riesgos inmediatos.
  2. Informe detallado final:
    • Resumen ejecutivo: Explicación clara y concisa de los riesgos encontrados para la alta dirección.
    • Detalles técnicos: Lista exhaustiva de vulnerabilidades con:
      • Descripción de cada vulnerabilidad.
      • Clasificación del riesgo (alta, media, baja) según estándares como CVSS.
      • Evidencias de las vulnerabilidades (capturas de pantalla, logs, etc.).
    • Recomendaciones: Pasos específicos para mitigar cada vulnerabilidad.
  3. Revalidación de vulnerabilidades:
    • Una segunda ronda de pruebas para asegurar que las vulnerabilidades han sido correctamente solucionadas.
  4. Certificado o validación:
    • En algunos casos, se puede solicitar un certificado que demuestre que la empresa ha realizado un pentesting para cumplir con normativas como ISO 27001 o PCI DSS.

Procesos que puede esperar durante un pentesting

  1. Reunión inicial (kick-off):
    • Discusión de objetivos, alcance, y aclaración de dudas.
    • Validación de permisos para realizar las pruebas.
  2. Reconocimiento y análisis:
    • Investigación de la infraestructura, aplicaciones y redes para identificar posibles puntos de entrada.
  3. Explotación de vulnerabilidades:
    • Intento de explotar vulnerabilidades identificadas para evaluar el impacto real.
  4. Escalada de privilegios:
    • Simulación de cómo un atacante podría obtener acceso más profundo en los sistemas.
  5. Post-explotación:
    • Documentación del impacto potencial si un atacante logra explotar el sistema.
  6. Informe y recomendaciones:
    • Entrega de hallazgos y recomendaciones prácticas para corregir las vulnerabilidades.
5 puntos en Ciberseguridad Empresarial a tener en cuenta en 2025. Parte II.