Logo

6- Levantamiento de diferentes normas y metodologías

Hay una serie de metodologías de pruebas de penetración que han existido por un tiempo y continúan actualizándose a medida que surgen nuevas amenazas.

La siguiente es una lista de algunas de las metodologías de pruebas de penetración más comunes y otros estándares:

MITRE ATT&CK El marco MITRE ATT&CK (https://attack.mitre.org) es un recurso increíble para aprender sobre las tácticas, técnicas y procedimientos (TTP) de un adversario. Tanto los profesionales de la seguridad ofensiva (probadores de penetración, redteamers, cazadores de errores, etc.) como los respondedores de incidentes y los equipos de caza de amenazas utilizan el marco MITRE ATT&CK en la actualidad. El marco MITRE ATT&CK es una colección de diferentes matrices de tácticas, técnicas y subtécnicas. Estas matrices, que incluyen Enterprise ATT&CK Matrix, Network, Cloud, ICS y Mobile, enumeran las tácticas y técnicas que los adversarios utilizan mientras se preparan para un ataque, incluida la recopilación de información (inteligencia de código abierto [OSINT], identificación de debilidades técnicas y de personas, y más), así como diferentes técnicas de explotación y postexplotación. Aprenderá más sobre MITRE ATT&CK a lo largo de este curso.

OWASP (WSTG) La Guía de pruebas de seguridad web de OWASP (WSTG) es una guía completa centrada en las pruebas de aplicaciones web. Es una recopilación de muchos años de trabajo de los miembros de OWASP. OWASP WSTG cubre las fases de alto nivel de las pruebas de seguridad de aplicaciones web y profundiza en los métodos de prueba utilizados. Por ejemplo, llega a proporcionar vectores de ataque para probar secuencias de comandos entre sitios (XSS), ataques de entidades externas XML (XXE), falsificación de solicitudes entre sitios (CSRF) y ataques de inyección SQL; así como cómo prevenir y mitigar estos ataques. Aprenderá más sobre estos ataques en el Módulo 6, "Explotación de vulnerabilidades basadas en aplicaciones". Desde el punto de vista de las pruebas de seguridad de aplicaciones web, OWASP WSTG es la guía más detallada y completa disponible. Puede encontrar el WSTG de OWASP y la información relacionada con el proyecto en https://owasp.org/www-project-web-security-testing-guide/.

NIST SP 800-115 La Publicación Especial (SP) 800-115 es un documento creado por el Instituto Nacional de Estándares y Tecnología (NIST), que forma parte del Departamento de Comercio de los Estados Unidos. NIST SP 800-115 proporciona a las organizaciones directrices sobre la planificación y la realización de pruebas de seguridad de la información. Sustituyó al documento estándar anterior, SP 800-42. SP 800-115 se considera un estándar de la industria para la guía de pruebas de penetración y se menciona en muchos otros estándares y documentos de la industria. Puede acceder a NIST SP 800-115 en https://csrc.nist.gov/publications/detail/sp/800-115/final.

OSSTMM El Manual de Metodología de Pruebas de Seguridad de Código Abierto (OSSTMM), desarrollado por Pete Herzog, existe desde hace mucho tiempo. Distribuido por el Instituto de Seguridad y Metodologías Abiertas (ISECOM), el OSSTMM es un documento que establece pruebas de seguridad (https://www.isecom.org repetibles y consistentes. Actualmente se encuentra en la versión 3 y la versión 4 está en estado de borrador. El OSSTMM tiene las siguientes secciones clave:

  • Métricas de seguridad operativa
  • Análisis de confianza
  • Flujo de trabajo
  • Pruebas de seguridad humana
  • Pruebas de seguridad física
  • Pruebas de seguridad inalámbrica
  • Pruebas de seguridad de telecomunicaciones
  • Pruebas de seguridad de redes de datos
  • Normas de cumplimiento
  • Informes con el informe de auditoría de pruebas de seguridad (STAR)

PTES El Estándar de Ejecución de Pruebas de Penetración (PTES) (http://www.pentest-standard.org) proporciona información sobre los tipos de ataques y métodos, y proporciona información sobre las últimas herramientas disponibles para llevar a cabo los métodos de prueba descritos. El PTES consta de siete fases distintas:

  1. Interacciones previas al compromiso
  2. Recopilación de inteligencia
  3. Modelado de amenazas
  4. Análisis de vulnerabilidades
  5. Explotación
  6. Post-explotación
  7. Informes

ISSAF El Marco de Evaluación de la Seguridad de los Sistemas de Información (ISSAF) es otra metodología de pruebas de penetración similar a las demás de esta lista, con algunas fases adicionales. La ISSAF abarca las siguientes fases:

  • Recopilación de información
  • Mapeo de red
  • Identificación de vulnerabilidades
  • Penetración
  • Obtención de acceso y escalada de privilegios
  • Enumerando más
  • Poner en peligro a usuarios/sitios remotos
  • Mantener el acceso
  • Cubriendo las vías

© 2025 All rights reservedBuilt with Flowershow Cloud

Built with LogoFlowershow Cloud