Skip to content

A mitad de la prueba descubres un host explotable que claramente NO está en el alcance acordado. ¿Qué haces?

Respuesta breve

La autorización define el compromiso: probar fuera del alcance acordado es potencialmente ilegal e infringe las reglas de enfrentamiento, por muy tentador que sea el objetivo. Documenta lo que viste, detente y obtén la aprobación escrita del cliente antes de continuar. Explotarlo por «más hallazgos» nunca justifica un acceso no autorizado. Explotarlo en silencio confiando en que no te pillarán es a la vez poco ético y un delito, y ampliar el alcance por tu cuenta priva al cliente de su consentimiento informado.

Una prueba de penetración es legal únicamente porque el cliente la autorizó por escrito, y esa autorización está limitada por un alcance definido. En el momento en que tocas un host fuera de ese límite, ya no estás realizando una prueba autorizada: estás cometiendo un acceso no autorizado, un delito en la mayoría de las jurisdicciones sin importar tu intención.

Por qué detenerse y confirmar por escrito es lo correcto

La actuación profesional consiste en detenerte, dejar el host intacto y escalar al cliente para que decida si amplía el alcance. Si acepta, obtienes el cambio por escrito —un alcance modificado o una autorización firmada— antes de continuar. Esto te protege legalmente y preserva el consentimiento informado del cliente. Puedes anotar que el host parece accesible y potencialmente explotable: observarlo desde el alcance autorizado está bien, pero explotarlo activamente no.

Por qué las demás opciones están mal

  • Explotarlo por «más hallazgos». Un informe más grande no vale nada si se obtuvo mediante actividad ilegal. Esto te expone a ti y a tu empresa, y destruye la confianza del cliente.
  • Explotarlo en silencio si no te pillan. Esto convierte la prueba en el mismo delito que te contrataron para prevenir. «No me pillarán» no es un modelo de autorización, es la mentalidad de un atacante.
  • Añadirlo tú mismo al alcance. Tener acceso a la red no es lo mismo que tener permiso. Ampliar el alcance por cuenta propia retira al cliente su capacidad de consentir y puede poner en riesgo sistemas de producción o activos de terceros.

Qué evalúa un entrevistador

Quiere ver que tratas la autorización, y no la capacidad, como el factor limitante. Un buen candidato recurre instintivamente a las reglas de enfrentamiento y al contacto del cliente antes que al exploit. La ética y la disciplina ante la tentación distinguen precisamente a un tester de confianza de un riesgo, y este escenario está diseñado para revelar cuál eres.

Posibles preguntas de seguimiento

  • ¿Qué parte de las reglas de enfrentamiento rige cómo se autorizan los cambios de alcance?
  • ¿Cómo documentarías el host fuera de alcance sin probarlo?
  • ¿Qué exposición legal genera una prueba no autorizada para ti y tu empresa?

Fuentes

Certificaciones

Consigue 100 preguntas de entrevista de ciberseguridad + respuestas

Déjanos tu correo y te enviaremos el pack en PDF gratuito y el mazo de flashcards.

Sin spam. Cancela tu suscripción cuando quieras.