También conocido como ‘PT de infraestructura’, o prueba de resiliencia de infraestructura, se divide en dos categorías:

Prueba interna: El proceso simula un escenario en el que un pirata informático ya obtuvo acceso a una red interna con la intención maliciosa de atacar la infraestructura de la red, como servidores, terminales de computadora, equipos de comunicaciones y entornos de nube. La prueba se lleva a cabo en una configuración de caja gris e incluye intentos de penetrar en los sistemas, saltar entre redes, obtener el control y verificar la viabilidad de la fuga de información.


Prueba externa: El proceso simula un escenario en el que un hacker intenta penetrar en la red interna a través de Internet. En el marco de esta prueba, primero se mapearán los activos y servicios de la organización disponibles a través de Internet. Luego, se intentarán diversas técnicas con el objetivo de penetrar en la red interna y obtener acceso a estos activos. Las pruebas se realizan en una configuración de caja negra.
Las pruebas de penetración de infraestructura se llevan a cabo siguiendo las metodologías NIST 800-115 y MITRE Enterprise Tactics, que en conjunto constituyen el estándar internacional en este campo, combinado con técnicas designadas desarrolladas por Madsec.

¿Quién podría beneficiarse de la prueba de penetración de infraestructura?

  • Empresas interesadas en comprobar profesionalmente si los piratas informáticos pueden infiltrarse en sus redes internas a través de una infraestructura externa.
  • Empresas que han creado un entorno de nube completa y están interesadas en probar la posibilidad de una intrusión y un ataque.
  • Organizaciones que desean asegurarse de que un ataque interno no provoque daños significativos.
  • Gerentes de seguridad de la información interesados ​​en mapear todos los riesgos y debilidades en sus redes internas.

¿Cuáles son las ventajas de realizar Pruebas de Penetración de Infraestructura?

  • Un probador de penetración profesional examina el sistema y el cliente recibe una lista formal de hallazgos y pautas para tratar las debilidades que se descubren.
  • Las pruebas garantizan el cumplimiento de normativas como la protección de la privacidad, el RGPD, la HIPPA y los requisitos de seguros cibernéticos.
  • El entorno informático actual es muy complejo. Además de los sistemas en el entorno local, las empresas también utilizan VPC (nube privada virtual), lo que agrega más superficies de ataque potenciales a la organización y aumenta la necesidad de realizar pruebas de PT en todas las infraestructuras.
  • Las pruebas permiten recomendaciones competentes para fortalecer las redes desde el punto de vista de un hacker profesional.

¿Cuáles son los aspectos más destacados de la prueba?

  • Exponer vulnerabilidades utilizando diversas técnicas.
  • Explotar sistemas vulnerables usando exploits existentes.
  • Examinar la viabilidad por la cual se puede violar la confidencialidad, confiabilidad o disponibilidad de la información de la organización.
  • Accediendo a los sistemas con Brute-Force.
  • Explotación de vulnerabilidades conocidas en varios servicios internos como SMB, RDP, SSH.
  • Saltando entre diferentes redes.
  • Adquisición de equipos de comunicaciones, como cortafuegos y conmutadores.
  • Intrusión de base de datos.
  • Examinar la fuerza de los protocolos de encriptación.
  • Escalada de privilegios.

Una prueba de penetración de infraestructura requiere un probador con más de cinco años de experiencia. La experiencia tiene un impacto decisivo en la calidad de los hallazgos y la capacidad de evaluar su gravedad. No se comprometa, asegúrese de que el pentester tenga experiencia, sea un empleado de la empresa, tenga las certificaciones necesarias y tenga un seguro de responsabilidad profesional.