UNIVERSIDAD DE SAN PEDO SULA

ÁREA DE CIENCIAS ECONOMICAS – ADMINISTRATIVAS

Trabajo: Investigacion de Pentest

Asignatura: Auditoria Informática

Hora: [Virtual]

Año / periodo: 2018 – 3er periodo

Catedrático: Ing. Marvin Rene Figueroa

Integrante(s) de equipo:
Nombre Cuenta
José Luis Flores 1081003

San Pedro Sula, Cortés. 12 de noviembre del 2018.

Contenido
Introducción .................................................................................................................................. 3
¿Qué es un Pentest? ..................................................................................................................... 4
Procedimiento para llevar a cabo un Pentest ............................................................................... 5
Alcances de cada una de las etapas o fases .................................................................................. 6
Sugerencia para realizar un Pentest ............................................................................................. 7
Diferencia entre un Pentest y un escaneo de red ......................................................................... 8
Conclusiones ................................................................................................................................. 9
 Introducción
El siguiente tema habla sobre cómo funciona un Pentest y como se puede aplicar
de muchas maneras ya que se puede efectuar cada cambio y sabiendo que
herramientas son las que se deben usar.

También el informe habla sobre algunas de las fases con sus respectivos alcances
para poder llevar a cabo una prueba de penetración de la forma mas adecuada.
 ¿Qué es un Pentest?
Con “Pentest” se refieren a atacar un sistema para tratar de encontrar las
debilidades que tiene. Como por ejemplo si existen huecos en el sistema como
puertas traseras que los programadores no previeron. Así mismo estas debilidades
si se llegan a encontrar se deben notificar al propietario del sistema.

Algunas razones por las cuales el “Pentest” es muy importante:

 Se identifican vulnerabilidades de alto riesgo en el sistema

 Se comprueba la capacidad de las defensas de la red
 Se determina la posibilidad de éxito de un ataque

Con la herramienta de penetración se pone a prueba los puntos débiles del sistema
de la empresa y se tratan de evaluar algunas condiciones necesarias como:

 Confidencialidad
 Integridad
 Disponibilidad

Normalmente existen irregularidades que son fallas en el software, configuraciones

poco apropiadas en el sistema, como operaciones técnicas del factor humano.

No solo se trata de hacer pruebas ofensivas contra los mecanismos de defensa

existentes en el entorno que se está analizando. Esto va más allá, porque su
verdadero objetivo es verificar cuál es el comportamiento de los mecanismos de
defensa en una empresa y busca detectar vulnerabilidades que puedan ser
explotadas para comprometer diversos sistemas. Además, se identifican aquellas
faltas de controles y las brechas que pueden existir entre la información crítica y los
controles existentes.
 Procedimiento para llevar a cabo un Pentest
Algunos de los procedimientos que se deben hacer para poder llevar a cabo un
Pentest son los siguientes:

o Primero se debe establecer un acuerdo con los especialistas y los clientes.

o Se debe definir cuál es la metodología a usarse para cada caso.
o También se debe acordar si se enumeraran solo las vulnerabilidades
conocidas o si también se probará toda la explotación de las vulnerabilidades
encontradas.
o Otro factor importante es saber que el Pentest puede producir caídas en el
sistema y hasta diversos errores. Por eso se recomienda que se haga en
horarios donde el impacto de esto no afecta el área operacional de la
empresa.
o Si los especialistas lo desean es recomendable que usen una metodología
recomendada como lo es OSSTMM (Manual de metodología de pruebas de
seguridad de código abierto) hay muchas metodologías pero esta es de las
más utilizadas.
 Alcances de cada una de las etapas o fases
o Para esto existe una fase de conocimiento en la cual se recopila información
y objetivos que serán utilizados a lo largo de las demás fases.
o La fase de escaneo involucra el escaneo de servicios y puertos aunque antes
de estos se debe hacer el escaneo de las vulnerabilidades y así poder definir
vectores de ataque.
o Con la fase de enumeración se necesita como objetivo la obtención de los
datos referentes a los nombres de los equipos, usuarios y servicios de red.
También se deben hacer conexiones activas y consultas dentro del mismo.
o La fase de acceso es con la cual podemos acceder al sistema. Y esto se
logra a partir de la obtención de vulnerabilidades que detectamos en el
sistema y fueron aprovechadas para comprometer el sistema.
o El mantenimiento de acceso va después de acceder al sistema ya que se
busca la manera de preservar el sistema cuando está comprometido a
disposición de quien lo está atacando. Su objetivo es mantenerse en el
sistema.
 Sugerencia para realizar un Pentest
Algunas de las herramientas que se sugieren usar para hacer un Pentest con éxito
son las siguientes:

El tiempo de la auditoria dependerá de muchas posibles variables, debemos

mencionar el tamaño de la arquitectura y la profundidad del estudio como las dos
las más importantes.

Luego de esta serie de pasos, se preparan reportes con el objetivo de acordar y

cerrar detalles de documentación, la cual será entregada al cliente como un reporte
final y le servirá para tomar decisiones.

Para realizar estas pruebas se usan herramientas tanto gratuitas como privadas.
Los sistemas operativos open source sin lugar a dudas son una herramienta
fundamental para cualquier Pentester.

Kali Linux: Es uno de los preferidos por la mayoría de los especialistas. Presenta
como ventaja que contiene más de 600 herramientas gratuitas, actualizadas y
divididas para cada etapa de la auditoria.

NMAP: Un escáner de puertos es una herramienta indispensable que revelara

sistemas operativos, puertos abiertos, puertos filtrados e inclusive posibles
vulnerabilidades dependiendo de los distintos tipos de respuestas que devuelvan
los equipos a investigar.

Acunetix: Tiene el mismo objetivo pero está destinado específicamente para

aplicaciones web.
 Diferencia entre un Pentest y un escaneo de red
La diferencia que existe es que un Pentest es un método para evaluar la seguridad
de un sistema informático o red mediante la simulación de un ataque de un hacker
malicioso. El proceso implica un análisis activo del sistema de posibles deficiencias,
fallas técnicas o vulnerabilidades. Este análisis se realiza desde la posición de un
atacante potencial, y puede implicar la explotación activa de vulnerabilidades de
seguridad y el escaneo de red hace un escaneo de puertos solo muestra servicios
a la escucha en una dirección IP. Tener puertos abiertos no es una vulnerabilidad
en sí, puesto que se requiere el análisis para determinar si ese servicio es requerido.
 Conclusiones
 Se ve cada fase con la cual se puede llevar a cabo una prueba de penetración
y su respectivo alcance.
 Cuáles fueron los procedimientos para realizar un Pentest y como su misma
parte cuál es su significado con las auditorias.
 Cada proceso y parte del Pentest es necesario para saber qué tan protegido
esta nuestro sistema y lo tomamos de las perspectiva de un hacker para
poder conocer el sistema y sus debilidades.