Explícame una metodología de pruebas de penetración como PTES.
Respuesta breve
PTES define siete fases: pre-engagement (alcance, reglas de enfrentamiento, autorización), recopilación de inteligencia (OSINT, reconocimiento), modelado de amenazas, análisis de vulnerabilidades, explotación, post-explotación (pivoteo, datos de valor, persistencia) e informe. La estructura hace que los proyectos sean repetibles, defendibles y ligados al riesgo de negocio en lugar de hacking improvisado. El pre-engagement y el informe son las fases que los junior subestiman.
Una prueba de penetración no es «hackear hasta que algo se rompa»: es una evaluación estructurada y autorizada que debe ser repetible y defendible. El Penetration Testing Execution Standard (PTES) es el marco más citado para esa estructura, y los entrevistadores lo usan para ver si tratas una prueba como un proyecto con límites legales y de negocio, no como un todo vale.
Las siete fases
- Interacciones previas al compromiso (pre-engagement). Alcance, objetivos, calendario, activos dentro y fuera de alcance, reglas de enfrentamiento y — algo crucial — autorización por escrito. Falla en esto y el resto de la prueba es acceso no autorizado.
- Recopilación de inteligencia. OSINT, DNS, reconocimiento de red y de aplicaciones para construir un mapa de la superficie de ataque antes de tocar nada intrusivo.
- Modelado de amenazas. Convertir esa inteligencia en rutas de ataque probables y priorizar objetivos por impacto de negocio, no solo por lo que parece fácil.
- Análisis de vulnerabilidades. Identificar debilidades mediante escaneo, pruebas manuales y validación, descartando los falsos positivos que entregaría un escáner.
- Explotación. Demostrar que la vulnerabilidad es real obteniendo acceso, manteniéndote dentro del alcance y evitando daños colaterales.
- Post-explotación. Pivotar, escalar privilegios, encontrar datos de valor y demostrar el verdadero impacto de negocio. Aquí la prueba justifica su precio, porque «obtuvimos domain admin y pudimos leer las nóminas» impacta más que «el puerto 445 está abierto».
- Informe. Una narrativa clara para los directivos más hallazgos reproducibles, calificados por riesgo y remediables para los ingenieros.
Por qué importa la estructura
Las fases que enmarcan el trabajo — pre-engagement e informe — son lo que separa a un profesional de un script kiddie. El alcance y la autorización te mantienen dentro de la ley; el informe es el único entregable por el que el cliente realmente paga.
Qué buscan los entrevistadores
Quieren escucharte delimitar y autorizar antes de explotar, ligar los hallazgos al riesgo de negocio y explicar por qué la post-explotación y un informe sólido importan más que coleccionar shells.
Posibles preguntas de seguimiento
- ¿Qué debe incluir un documento de reglas de enfrentamiento antes de tocar un objetivo?
- ¿Por qué la post-explotación suele tener más valor para el cliente que la explotación inicial?
- ¿Cómo gestionas encontrar pruebas de una brecha real previa en mitad del proyecto?