Un test de penetración , coloquialmente conocido como pen test o hacking ético , es un ciberataque simulado autorizado a un sistema informático, realizado para evaluar la seguridad del sistema; [1] [2] esto no debe confundirse con una evaluación de vulnerabilidad . [3] La prueba se realiza para identificar las debilidades (también conocidas como vulnerabilidades), incluida la posibilidad de que partes no autorizadas obtengan acceso a las funciones y los datos del sistema, [4] [5] así como las fortalezas, [6] que permiten una evaluación completa del riesgo por completar.
El proceso generalmente identifica los sistemas de destino y una meta particular, luego revisa la información disponible y emprende varios medios para lograr esa meta. El objetivo de una prueba de penetración puede ser un recuadro blanco (sobre el cual se proporciona información previa y del sistema al probador) o un recuadro negro (sobre el cual solo se proporciona información básica, si la hay, además del nombre de la empresa). Una prueba de penetración de caja gris es una combinación de las dos (donde el conocimiento limitado del objetivo se comparte con el auditor). [7] Una prueba de penetración puede ayudar a identificar las vulnerabilidades de un sistema para atacar y estimar qué tan vulnerable es. [8] [6]
Los problemas de seguridad que descubra la prueba de penetración deben informarse al propietario del sistema. [9] Los informes de las pruebas de penetración también pueden evaluar los impactos potenciales para la organización y sugerir contramedidas para reducir el riesgo. [9]
El Centro Nacional de Seguridad Cibernética del Reino Unido describe las pruebas de penetración como: "Un método para obtener garantías en la seguridad de un sistema de TI al intentar violar parte o la totalidad de la seguridad de ese sistema, utilizando las mismas herramientas y técnicas que podría usar un adversario". [10]
Los objetivos de una prueba de penetración varían según el tipo de actividad aprobada para un compromiso determinado, con el objetivo principal enfocado en encontrar vulnerabilidades que podrían ser explotadas por un actor nefasto e informar al cliente de esas vulnerabilidades junto con las estrategias de mitigación recomendadas. [11]
Las pruebas de penetración son un componente de una auditoría de seguridad completa . Por ejemplo, el estándar de seguridad de datos de la industria de tarjetas de pago requiere pruebas de penetración en un horario regular y después de cambios en el sistema. [12] Las pruebas de penetración también pueden respaldar las evaluaciones de riesgos, como se describe en el marco de gestión de riesgos NIST SP 800-53 . [13]