Explícame las fases de una prueba de penetración, desde el inicio hasta la entrega.
Respuesta breve
Una pentest avanza por el precompromiso (alcance y reglas de enfrentamiento), el reconocimiento, el escaneo y la enumeración, la explotación, la postexplotación y el informe. Cada fase alimenta la siguiente, y el informe es donde realmente se entrega el valor al cliente.
Una prueba de penetración no es «lanzar un escáner y explotar lo que aparezca». Es un compromiso estructurado, con fases que se apoyan cada una en la anterior. Marcos como el PTES (Penetration Testing Execution Standard) y el OSSTMM formalizan esto, y la mayoría de los entrevistadores quieren oír esa estructura.
Las fases
- Precompromiso / alcance. Antes de que vuele un solo paquete, acordáis qué entra en el alcance, las reglas de enfrentamiento, los plazos, los contactos de emergencia y la autorización. Es el fundamento legal y práctico — sin autorización por escrito, solo estás cometiendo un delito.
- Reconocimiento. Reunir información sobre el objetivo, de forma pasiva (OSINT, DNS, transparencia de certificados) y luego activa (sondeando hosts en vivo). El objetivo es construir un mapa de la superficie de ataque.
- Escaneo y enumeración. Identificar hosts en vivo, puertos abiertos, servicios en ejecución y versiones. La enumeración profundiza más — nombres de usuario, recursos compartidos, endpoints, pilas de software — convirtiendo una lista de servicios en una lista de debilidades candidatas.
- Explotación. Intentar obtener acceso aprovechando las vulnerabilidades encontradas. Es la fase que la gente imagina, pero a menudo es la más corta.
- Postexplotación. Una vez dentro, determinar el impacto: escalar privilegios, pivotar a otros sistemas, acceder a datos sensibles y establecer persistencia (si está en el alcance). Esto responde a la pregunta que realmente le importa al cliente — «¿cómo de grave es?».
- Informe. Documentar los hallazgos, las evidencias, el impacto de negocio y las recomendaciones de remediación. Es el entregable. Una brillante cadena de explotación no vale nada si el informe no puede impulsar una corrección.
Qué buscan los entrevistadores
Quieren ver que tratas el informe y el alcance como fases de primer nivel, no como añadidos, y que entiendes que la postexplotación es donde demuestras el riesgo de negocio real en lugar de simplemente «conseguí una shell».
Posibles preguntas de seguimiento
- ¿Por qué la postexplotación es una fase distinta de la explotación?
- ¿Qué ocurre durante el precompromiso que os protege a ti y al cliente?
- ¿En qué se diferencia la metodología entre una prueba de caja negra y una de caja blanca?