{"id":2879,"date":"2025-11-08T21:33:19","date_gmt":"2025-11-09T00:33:19","guid":{"rendered":"https:\/\/confiden360.com\/blog\/?p=2879"},"modified":"2025-11-08T21:35:28","modified_gmt":"2025-11-09T00:35:28","slug":"tipos-de-pentesting-guia-completa","status":"publish","type":"post","link":"https:\/\/confiden360.com\/blog\/ley-ciberseguridad\/tipos-de-pentesting-guia-completa\/","title":{"rendered":"Tipos de Pentesting: gu\u00eda completa para elegir la prueba correcta y cumplir la Ley Marco de Ciberseguridad"},"content":{"rendered":"
El penetration testing (pentesting)<\/strong> es la pr\u00e1ctica de simular ataques controlados para descubrir vulnerabilidades antes que los criminales. No todos los pentests son iguales: var\u00edan seg\u00fan el conocimiento previo<\/em> del evaluador, la superficie evaluada<\/em>, los objetivos<\/em> y la profundidad<\/em> de la prueba. Esta gu\u00eda cubre los tipos m\u00e1s usados en la industria \u2014los que aparecen en el gr\u00e1fico de referencia\u2014 y te ayuda a escoger la prueba adecuada para tu empresa en Chile, alineada con la Ley Marco de Ciberseguridad<\/a> y ISO 27001<\/a>.<\/p>\n

1) Clasificaci\u00f3n por nivel de informaci\u00f3n<\/h2>\n

1.1 Black Box Testing<\/h3>\n

\u00bfQu\u00e9 es?<\/strong> Simula un atacante externo sin informaci\u00f3n previa (sin credenciales, arquitecturas ni IPs).
\n\u00bfPara qu\u00e9 sirve?<\/strong> Medir la exposici\u00f3n real<\/em> de tu per\u00edmetro a Internet: descubrimiento de subdominios, servicios expuestos, bypass de WAF, explotaci\u00f3n de fallas comunes (RCE, SQLi, XSS), credenciales por fuerza bruta, etc.
\nVentajas:<\/strong> Muy cercano a un ataque real, prioriza superficie de mayor impacto.
\nLimitaciones:<\/strong> Menos cobertura interna; requiere m\u00e1s tiempo para el reconocimiento.<\/p>\n

1.2 Grey Box Testing<\/h3>\n

\u00bfQu\u00e9 es?<\/strong> El equipo recibe algo<\/em> de informaci\u00f3n (por ejemplo, un usuario de bajo privilegio o diagramas de alto nivel).
\n\u00bfPara qu\u00e9 sirve?<\/strong> Evaluar rutas de escalamiento, controles de autorizaci\u00f3n, segmentaci\u00f3n de redes, l\u00f3gica de negocio y configuraci\u00f3n de aplicaciones.
\nVentajas:<\/strong> Balance entre realismo y profundidad; mejora la cobertura t\u00e9cnica en menos tiempo.
\nLimitaciones:<\/strong> Menos \u201csorpresa\u201d que black box, pues existe informaci\u00f3n previa.<\/p>\n

1.3 White Box Testing<\/h3>\n

\u00bfQu\u00e9 es?<\/strong> El evaluador accede a informaci\u00f3n completa: credenciales, c\u00f3digo fuente, diagramas, containers, IaC.
\n\u00bfPara qu\u00e9 sirve?<\/strong> Auditar en profundidad seguridad por dise\u00f1o<\/em>, configuraci\u00f3n segura (hardening), secretos, dependencias, pruebas unitarias de seguridad, y SDLC\/DevSecOps.
\nVentajas:<\/strong> M\u00e1xima cobertura y detecci\u00f3n de fallas complejas; ideal para pre-producci\u00f3n.
\nLimitaciones:<\/strong> Menos realismo de ataque externo; mayor coordinaci\u00f3n con equipos internos.<\/p>\n

2) Clasificaci\u00f3n por superficie evaluada<\/h2>\n

2.1 Network Pentest (Infraestructura)<\/h3>\n

Alcance:<\/strong> Routers, firewalls, servidores, Active Directory, puertos y servicios, segmentaci\u00f3n, pol\u00edticas de red y nube (VPC\/VNet).
\nPr\u00e1cticas:<\/strong> Escaneo, enumeraci\u00f3n, explotaci\u00f3n de servicios, ataques de pass-the-hash, kerberoasting, revisi\u00f3n de grupos y GPOs, lateral movement.
\nResultado t\u00edpico:<\/strong> Tabla de activos expuestos, CVEs, riesgos por mala segmentaci\u00f3n, rutas de escalamiento.<\/p>\n

2.2 Web Application Pentest<\/h3>\n

Alcance:<\/strong> Portales, APIs REST\/GraphQL, microservicios, autenticaciones SSO, roles (RBAC\/ABAC) y l\u00f3gica de negocio.
\nPr\u00e1cticas:<\/strong> OWASP Top 10 (SQLi, XSS, IDOR, SSRF, CSRF), auditor\u00eda de cabeceras, rate limiting, session management, pruebas en API schemas.
\nResultado t\u00edpico:<\/strong> Evidencias por endpoint, PoC por cada vulnerabilidad, matriz de autorizaci\u00f3n y recomendaciones de hardening.<\/p>\n

2.3 Mobile Application Pentest<\/h3>\n

Alcance:<\/strong> Apps iOS\/Android, APIs asociadas, almacenamiento local, jailbreak\/root detection, seguridad de APIs y certificados (pinning).
\nPr\u00e1cticas:<\/strong> OWASP MASVS\/MSTG, an\u00e1lisis de tr\u00e1fico, reversing, inyecci\u00f3n, pruebas de permisos y secretos en el APK\/IPA.
\nResultado t\u00edpico:<\/strong> Riesgos por almacenamiento inseguro, fuga de tokens, validaciones del lado cliente y recomendaciones de hardening.<\/p>\n

2.4 Wireless Pentest<\/h3>\n

Alcance:<\/strong> Redes Wi-Fi corporativas\/guest, est\u00e1ndares (WPA2\/WPA3), rogue AP, portal cautivo, IoT, BLE.
\nPr\u00e1cticas:<\/strong> Captura de handshakes, ataques de deauth, evaluaci\u00f3n de cifrados, aislamiento de clientes, segmentaci\u00f3n Wi-Fi y VLANs.
\nResultado t\u00edpico:<\/strong> Riesgos de intrusi\u00f3n por radiofrecuencia, credenciales d\u00e9biles, redes puenteadas con la LAN principal.<\/p>\n

2.5 Social Engineering (Ingenier\u00eda Social)<\/h3>\n

Alcance:<\/strong> Phishing, vishing, smishing, pretexting, BEC (fraude del CEO).
\nPr\u00e1cticas:<\/strong> Campa\u00f1as simuladas, landing pages, payloads controlados, medici\u00f3n de tasa de clics y reporte.
\nResultado t\u00edpico:<\/strong> M\u00e9tricas de concienciaci\u00f3n, cuentas comprometidas, efectividad del MFA, y plan de capacitaci\u00f3n.
\nTip:<\/em> Complementa con curso gratuito de phishing con certificaci\u00f3n<\/a>.<\/p>\n

2.6 Physical Testing (Intrusi\u00f3n F\u00edsica)<\/h3>\n

Alcance:<\/strong> Controles de acceso, CCTV, guardias, cerraduras, \u00e1reas restringidas, destrucci\u00f3n segura, impresi\u00f3n\/USB.
\nPr\u00e1cticas:<\/strong> Tailgating, lockpicking controlado, pruebas de recepci\u00f3n, verificaci\u00f3n de pol\u00edticas de visitantes y cajas fuertes.
\nResultado t\u00edpico:<\/strong> Brechas de seguridad f\u00edsica que habilitan intrusi\u00f3n digital (ej: robo de credenciales, acceso a racks).<\/p>\n

3) Enfoques avanzados de adversario<\/h2>\n

3.1 Red Teaming<\/h3>\n

Objetivo:<\/strong> Simular una campa\u00f1a real de un actor de amenazas contra m\u00faltiples objetivos (personas, procesos, tecnolog\u00eda).
\nCaracter\u00edsticas:<\/strong> Largo plazo, sin avisos previos a los equipos operativos, uso de TTPs MITRE ATT&CK, objetivos t\u00e1cticos (exfiltrar X, tomar control de Y).
\nCu\u00e1ndo usarlo:<\/strong> Para medir detecci\u00f3n y respuesta<\/em> del SOC\/Blue Team bajo presi\u00f3n realista y contra t\u00e9cnicas evasivas.
\nResultado:<\/strong> Informe de kill chain, brechas de detecci\u00f3n, tiempos de respuesta, hardening recomendado.<\/p>\n

3.2 Purple Teaming<\/h3>\n

Objetivo:<\/strong> Ejercicio colaborativo Red+Blue (ataque\/defensa) para mejorar detecciones<\/em> y cerrar brechas<\/em> en tiempo real.
\nCaracter\u00edsticas:<\/strong> Transparente, iterativo; cada t\u00e1ctica ofensiva agrega una regla de detecci\u00f3n o un playbook de respuesta.
\nResultado:<\/strong> Matriz ATT&CK con cobertura antes\/despu\u00e9s, reglas SIEM\/EDR y mejoras de orquestaci\u00f3n (SOAR).<\/p>\n

3.3 Vulnerability Assessment (no es pentest)<\/h3>\n

Qu\u00e9 es:<\/strong> Escaneo automatizado para identificar<\/em> debilidades conocidas (CVEs), sin explotarlas<\/em>.
\nCu\u00e1ndo usarlo:<\/strong> Como control continuo (semanal\/mensual) o pre-pentest para afinar prioridades.
\nLimitaci\u00f3n:<\/strong> No demuestra impacto real ni cadenas de explotaci\u00f3n; no sustituye a un pentest humano.<\/p>\n

4) \u00bfQu\u00e9 tipo de pentest necesita tu empresa? (matriz de decisi\u00f3n)<\/h2>\n\n\n\n\n\n\n\n\n\n\n\n\n
Escenario<\/th>\nTipo recomendado<\/th>\nJustificaci\u00f3n<\/th>\n<\/tr>\n<\/thead>\n
Lanzar una nueva app web o API<\/td>\nWeb App (grey\/white box)<\/td>\nProfundidad en l\u00f3gica de negocio y autorizaci\u00f3n; pruebas sobre endpoints cr\u00edticos.<\/td>\n<\/tr>\n
Validar exposici\u00f3n de la empresa en Internet<\/td>\nBlack Box + Network<\/td>\nRealismo externo, descubrimiento y explotaci\u00f3n de servicios expuestos.<\/td>\n<\/tr>\n
Medir reacci\u00f3n del SOC (detecci\u00f3n\/respuesta)<\/td>\nRed Team<\/td>\nTTPs reales, objetivos t\u00e1cticos, telemetr\u00eda de defensa.<\/td>\n<\/tr>\n
Mejorar reglas SIEM\/EDR r\u00e1pidamente<\/td>\nPurple Team<\/td>\nEjercicios colaborativos con resultados inmediatos en detecciones.<\/td>\n<\/tr>\n
Apps m\u00f3viles con datos personales<\/td>\nMobile Pentest<\/td>\nOWASP MASVS, pinning, almacenamiento seguro, tokens.<\/td>\n<\/tr>\n
Sede con invitados\/IoT\/Wi-Fi<\/td>\nWireless<\/td>\nRiesgo de pivote hacia la LAN y robo de credenciales por RF.<\/td>\n<\/tr>\n
Conciencia y cultura<\/td>\nSocial Engineering<\/td>\nMide clics, reportes, MFA y necesidad de capacitaci\u00f3n.<\/td>\n<\/tr>\n
Plantas\/edificios cr\u00edticos<\/td>\nPhysical<\/td>\nValida que la seguridad f\u00edsica no abra puertas al atacante digital.<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

5) \u00bfQu\u00e9 exige la Ley Marco de Ciberseguridad en Chile?<\/h2>\n

La Ley N\u00b0 21.663<\/strong> obliga a operadores de servicios esenciales<\/em> y proveedores cr\u00edticos a implementar controles t\u00e9cnicos y evidencias de protecci\u00f3n, y a notificar incidentes a la ANCI<\/strong> (Agencia Nacional de Ciberseguridad<\/a>) en los plazos reglamentarios (3 h incidentes cr\u00edticos, 24 h menores). Un pentest planificado ayuda a:<\/p>\n