Estás cerrando un compromiso en el que subiste webshells y creaste cuentas de prueba. ¿Qué debes hacer?
Respuesta breve
Los compromisos profesionales terminan con una limpieza completa y un inventario de artefactos, para no dejar nueva superficie de ataque ni enturbiar el entorno del cliente. Dejar shells o cuentas para que el cliente las encuentre es negligente y peligroso: un atacante real podría reutilizarlas. Mantener una puerta trasera «para la próxima» es poco ético y probablemente ilegal. Borrar tus propios registros de actividad destruye la pista de auditoría que el cliente necesita para validar la prueba y reconstruir lo que hiciste.
Todo lo que dejas durante una prueba —webshells, cuentas, tareas programadas, herramientas subidas, cambios de configuración— es nueva superficie de ataque. Dejar cualquier parte hace al cliente menos seguro que antes de tu llegada, lo contrario del propósito del compromiso.
Por qué la limpieza completa más un inventario es lo correcto
Dos cosas deben ocurrir al cierre. Primero, eliminar cada artefacto que creaste: shells, cuentas de prueba, tareas programadas, archivos depositados y cualquier cambio temporal de configuración, restaurando los sistemas a su estado anterior. Segundo, entregar al cliente un inventario escrito de todo lo que creaste, modificaste o tocaste, idealmente rastreado en vivo durante la prueba para que nada se olvide. El inventario permite al cliente verificar la limpieza de forma independiente, conciliar los cambios con sus propios registros y confirmar que no quedó nada. Es el cierre disciplinado que distingue a un profesional de alguien que simplemente entró.
Por qué las demás opciones están mal
- Dejarlos para que el cliente los encuentre. Esto traslada tu desorden y tu riesgo al cliente. Un atacante real que escanee el entorno podría descubrir y reutilizar tu shell o tu cuenta: habrías creado un punto de apoyo activo.
- Conservar una puerta trasera para la próxima. Mantener acceso encubierto tras el fin del compromiso es poco ético y, en la mayoría de las jurisdicciones, acceso no autorizado: un delito. También quiebra la confianza de la que depende toda la relación.
- Borrar tus registros de actividad. Tus registros son parte del entregable: permiten al cliente correlacionar tu actividad, validar los hallazgos y separar tus acciones de las de cualquier atacante real. Destruir la pista de auditoría parece borrar tus huellas y socava la credibilidad de la prueba.
Qué evalúa un entrevistador
Quiere madurez operativa: comprender que una prueba no termina cuando obtienes acceso, sino cuando el entorno está limpio y es rendible de cuentas. Señal extra: rastrear los artefactos de forma continua y proporcionar un inventario que el cliente pueda contrastar con su telemetría.
Posibles preguntas de seguimiento
- ¿Cómo rastreas los artefactos durante el compromiso para que la limpieza sea fiable?
- ¿Qué debe contener el inventario de cambios que entregas al cliente?
- ¿Por qué debes conservar, y no borrar, tus propios registros de actividad?