sábado, julio 4, 2026
Ciberseguridadtic
  • Inicio
  • Datos
    • Actualidad Datos
    • Entrevistas
    • Vídeos
    • Opinión
  • Endpoint
    • Actualidad Endpoint
    • Entrevistas
    • Vídeos
    • Opinión
  • Identidades
    • Actualidad Identidades
    • Entrevistas
    • Vídeos
    • Opinión
  • Infraestruc.
    • Actualidad Infraestructura
    • Entrevistas
    • Vídeos
    • Opinión
  • Mercado
  • Reportajes

    SOC 2026: cuando detectar ya no es suficiente

    C1b3rWall 2026: así interpreta la industria el desafío del Cibercrimen 3.0

    MDASH: así funciona el sistema multimodelo con el que Microsoft detecta fallos críticos en Windows

    Más allá del ciberataque: la UE introduce la geopolítica en la ecuación de la seguridad digital

  • Retos
    • TALLERES DEL CISO
    • ENTORNOS
  • Análisis Tic
    • DEBATES
      • Infraestructuras críticas (2025)
      • Validar para confiar (2025)
      • Seguridad en la Nube (2025)
      • Más allá del perímetro. Nuevos desafíos y soluciones para la seguridad de redes (2025)
      • El futuro es ahora: Innovación, regulación y seguridad en la era digital (2025)
      • Debate endpoints: XDR, IoT (2025)
      • DSPM la nueva frontera de la seguridad de los datos (2025)
      • Tendencias de ciberseguridad (2025)
      • La seguridad empieza por la identidad (2024)
      • Debate MDR (2024)
      • Debate CSPM – CNAPP (2024)
    • ESPECIALES
      • Especial Zero Trust (2026)
      • Especial Tendencias CST (2026)
      • Especial Cifrado cuántico (2025)
      • Revista online mayo 2023
      • Revista online abril 2023
      • Revista online marzo 2023
      • Revista online febrero 2023
  • EVENTOS
    • FORO TAI
      • FORO TAI Valencia: La Comunidad Valenciana refuerza su papel estratégico en España con la digitalización como gran palanca
      • FORO TAI Galicia: el reto de la “calidade” tecnológica
      • FORO TAI Sevilla: Retos tecnológicos para el futuro de la empresa andaluza
      • BLINDANDO EL FUTURO DIGITAL EN UN MUNDO INTERCONECTADO
      • LA INNOVACIÓN COMO ALIADA DE LA CIBERSEGURIDAD
      • EMPRESA TECNOLÓGICAMENTE MODERNA Y SEGURA
      • INNOVACIÓN DISRUPTIVA
    • OBSERVATORIO
      • Observatorio. Ciberresiliencia: del “evitar incidentes” al “seguir operando bajo ataque”
  • ENCUENTROS
    • ENCUENTRO EJECUTIVO: Detección y respuesta: cuando el reto ya no es ver el ataque, sino decidir qué hacer con él (2026)
    • ENCUENTRO EJECUTIVO: Más plataforma. Más IA. ¿Quién controla qué? (2026)
    • ENCUENTRO EJECUTIVO: El DLP entra en una nueva etapa: menos control, más contexto (2026)
    • ENCUENTRO EJECUTIVO: Detección y respuesta sin descanso: cuando el reto no es solo ver, sino decidir a tiempo (2026)
    • ENCUENTRO EJECUTIVO:La ciberseguridad ya no falla por falta de alertas sino de contexto (2026)
    • ENCUENTRO EJECUTIVO: Pentesting en transformación: cómo escalar, cerrar vulnerabilidades y convivir con la IA sin frenar al negocio (2025)
    • ENCUENTRO EJECUTIVO: Así se ve el salto hacia el Zero Trust inteligente (2025)
    • ENCUENTRO EJECUTIVO: MDR, confianza y colaboración: los nuevos pilares de la defensa digital (2025)
    • ENCUENTRO EJECUTIVO:Blind spots: ¿Dónde empieza y termina hoy la ciberseguridad? (2025)
    • ENCUENTRO EJECUTIVO:“Detección y respuesta sin descanso: descubre el poder del MDR» (2025)
  • Suscrip.
No Result
Ver todos los resultados
  • Inicio
  • Datos
    • Actualidad Datos
    • Entrevistas
    • Vídeos
    • Opinión
  • Endpoint
    • Actualidad Endpoint
    • Entrevistas
    • Vídeos
    • Opinión
  • Identidades
    • Actualidad Identidades
    • Entrevistas
    • Vídeos
    • Opinión
  • Infraestruc.
    • Actualidad Infraestructura
    • Entrevistas
    • Vídeos
    • Opinión
  • Mercado
  • Reportajes

    SOC 2026: cuando detectar ya no es suficiente

    C1b3rWall 2026: así interpreta la industria el desafío del Cibercrimen 3.0

    MDASH: así funciona el sistema multimodelo con el que Microsoft detecta fallos críticos en Windows

    Más allá del ciberataque: la UE introduce la geopolítica en la ecuación de la seguridad digital

  • Retos
    • TALLERES DEL CISO
    • ENTORNOS
  • Análisis Tic
    • DEBATES
      • Infraestructuras críticas (2025)
      • Validar para confiar (2025)
      • Seguridad en la Nube (2025)
      • Más allá del perímetro. Nuevos desafíos y soluciones para la seguridad de redes (2025)
      • El futuro es ahora: Innovación, regulación y seguridad en la era digital (2025)
      • Debate endpoints: XDR, IoT (2025)
      • DSPM la nueva frontera de la seguridad de los datos (2025)
      • Tendencias de ciberseguridad (2025)
      • La seguridad empieza por la identidad (2024)
      • Debate MDR (2024)
      • Debate CSPM – CNAPP (2024)
    • ESPECIALES
      • Especial Zero Trust (2026)
      • Especial Tendencias CST (2026)
      • Especial Cifrado cuántico (2025)
      • Revista online mayo 2023
      • Revista online abril 2023
      • Revista online marzo 2023
      • Revista online febrero 2023
  • EVENTOS
    • FORO TAI
      • FORO TAI Valencia: La Comunidad Valenciana refuerza su papel estratégico en España con la digitalización como gran palanca
      • FORO TAI Galicia: el reto de la “calidade” tecnológica
      • FORO TAI Sevilla: Retos tecnológicos para el futuro de la empresa andaluza
      • BLINDANDO EL FUTURO DIGITAL EN UN MUNDO INTERCONECTADO
      • LA INNOVACIÓN COMO ALIADA DE LA CIBERSEGURIDAD
      • EMPRESA TECNOLÓGICAMENTE MODERNA Y SEGURA
      • INNOVACIÓN DISRUPTIVA
    • OBSERVATORIO
      • Observatorio. Ciberresiliencia: del “evitar incidentes” al “seguir operando bajo ataque”
  • ENCUENTROS
    • ENCUENTRO EJECUTIVO: Detección y respuesta: cuando el reto ya no es ver el ataque, sino decidir qué hacer con él (2026)
    • ENCUENTRO EJECUTIVO: Más plataforma. Más IA. ¿Quién controla qué? (2026)
    • ENCUENTRO EJECUTIVO: El DLP entra en una nueva etapa: menos control, más contexto (2026)
    • ENCUENTRO EJECUTIVO: Detección y respuesta sin descanso: cuando el reto no es solo ver, sino decidir a tiempo (2026)
    • ENCUENTRO EJECUTIVO:La ciberseguridad ya no falla por falta de alertas sino de contexto (2026)
    • ENCUENTRO EJECUTIVO: Pentesting en transformación: cómo escalar, cerrar vulnerabilidades y convivir con la IA sin frenar al negocio (2025)
    • ENCUENTRO EJECUTIVO: Así se ve el salto hacia el Zero Trust inteligente (2025)
    • ENCUENTRO EJECUTIVO: MDR, confianza y colaboración: los nuevos pilares de la defensa digital (2025)
    • ENCUENTRO EJECUTIVO:Blind spots: ¿Dónde empieza y termina hoy la ciberseguridad? (2025)
    • ENCUENTRO EJECUTIVO:“Detección y respuesta sin descanso: descubre el poder del MDR» (2025)
  • Suscrip.
No Result
Ver todos los resultados
Ciberseguridadtic
No Result
Ver todos los resultados
Inicio Opinión

Pentesting: simulación de ataques como medida de protección

En este artículo Alejandro Novo, director South EMEA en Synack, analiza las diferencias entre el pentesting tradicional así como qué tipos de pruebas deben realizarse o con qué frecuencia.

Rosalía ArroyoPor: Rosalía Arroyo
noviembre 27, 2023
163
Visualizaciones
TwitterLinkedin

Las brechas de seguridad no muestran signos de desaceleración y son cada vez más costosas. Según datos de IBM, el coste promedio de las brechas de datos fue de 4,45 millones de dólares por ataque en lo que llevamos de 2023, con un incremento del 15% en los últimos 3 años. Algunas brechas de alto perfil en 2022 fueron la que sufrió el gobierno de Costa Rica, la violación de los servidores del juego Neopets o el ataque contra Uber, donde los ladrones obtuvieron acceso a 57 millones de cuentas de usuarios. Aquí en España, aún resuena el ataque sufrido por el Ayuntamiento de Sevilla el pasado mes de septiembre. Dos semanas después del ataque, el consistorio seguía sin gestión online.

Estos datos dejan claro que definir una estrategia sólida de ciberseguridad es absolutamente prioritario. Pero, ¿cómo saber qué aplicaciones, sistemas y datos son vulnerables? Es ahí donde entra en escena el pentesting. O lo que es lo mismo, la simulación de ataques como medida de protección.

El pentesting  consiste en un conjunto de acciones o pruebas que permiten determinar el alcance de los fallos de seguridad de un sistema emulando la actuación de un intruso (hacker) con el objeto de investigar las infraestructuras y las aplicaciones de la organización en busca de vulnerabilidades. Es lo más cerca que se puede estar de un ataque real sin sufrir sus consecuencias. Luego, los resultados se pueden utilizar para solucionar o abordar problemas antes de que comprometan los sistemas.

El pentesting y la evaluación de vulnerabilidades están relacionados, puesto que ambos persiguen identificar vulnerabilidades y riesgos antes de que impacten en el negocio. Pero, mientras la evaluación busca vulnerabilidades conocidas, y se realiza con herramientas automatizadas, el pentesting emula proactivamente un ataque para explotar la vulnerabilidad y analizar hasta dónde llegarían los datos.

Pentesting “tradicional” vs. pentesting avanzado

Paradójicamente, si lo comparamos con la gran mayoría de las tecnologías modernas, centradas siempre en incrementar los niveles de automatización, el pentesting ha recorrido (está recorriendo) el camino inverso. En efecto, el pentesting “tradicional” se basa casi por completo en procesos automáticos, utilizando conjuntos predeterminados de pruebas basados en conjuntos conocidos de vulnerabilidades (por ejemplo, las de la lista OWASP Top Ten). Estas pruebas automatizadas producen resultados rápidamente y no requieren grandes equipos de profesionales experimentados. Son efectivos, por tanto, para probar vulnerabilidades conocidas y para proporcionar una estimación general de la postura de seguridad.

Por su parte, el pentesting más moderno (que podríamos denominar “pentesting avanzado”) permite añadir a la ecuación el ingenio humano. Los pentesters son profesionales de seguridad experimentados y fiables con conocimiento tanto de la naturaleza como de la aplicación de los sistemas de ciberseguridad y de cómo eludirlos. En el caso de Synack, por ejemplo, el Synack Red Team (SRT) está formado por una comunidad de más de 1.500 investigadores de todo el mundo. Trabajando en conjunto con los sistemas automatizados, estos profesionales realizan escaneos en profundidad, priorizan los activos a proteger y luego realizan un seguimiento para fines de remediación y verificación.

Synack, además, ofrece una plataforma de pentesting bajo demanda que permite realizar pruebas de penetración de forma continua para obtener la máxima protección contra ataques.

Tipos de pruebas

Una de las decisiones preliminares que se deben tomar al planificar un pentest es qué acceso e información se aportará a los pentesters. En las pruebas de tipo Black Box, los analistas no reciben ningún acceso ni información sobre el sistema que van a piratear -excepto lo que se puede localizar en fuentes públicas-, lo cual produce un escenario que es lo más parecido a un ataque del mundo real. Por el contrario, en las pruebas de tipo White Box, sí reciben credenciales para obtener un nivel de acceso al sistema elevado (o completo), de modo que no tienen que perder tiempo intentando entrar y pueden centrarse en analizar las estructuras y procesos internos de seguridad.

A caballo entre ambas, en las pruebas Grey Box, a los analistas se les otorga un acceso parcial, con credenciales limitadas o de bajo nivel. Dado que el pentester cuenta con credenciales de acceso, este tipo de prueba también se puede utilizar para simular un ataque desde dentro.

¿Cómo hacer un pentest?

Un pentest completo requiere planificación y seguimiento, así como intentos de penetración reales.

  • Planificación. El objetivo puede ser simplemente saber si un hacker podría entrar en el sistema o comprobar cuántas vulnerabilidades explotables se podrían descubrir. O podría haber un objetivo específico, como ver si sería posible robar una información sensible en particular.
  • Reconocimiento. Una vez establecido el objetivo, los pentesters recopilarán tanta información como puedan sobre el objetivo y su superficie de ataque y luego trazarán una estrategia previa.
  • Obtención de acceso. Los pentesters examinarán todas las posibles entradas y determinarán las mejores herramientas a utilizar para penetrarlas. Como es sabido, existen numerosas herramientas de malware disponibles, incluyendo aquéllas diseñadas para producir ataques concretos como denegaciones de servicio, ataques de fuerza bruta o inyecciones SQL.
  • Movimiento silencioso. Una vez han obtenido acceso al sistema, los analistas procederán de manera sigilosa, manteniendo el acceso durante el tiempo suficiente para lograr su objetivo. También pueden intentar moverse de forma más profunda o lateral.
  • Informes y remediación. Cuando haya finalizado el pentesting, los analistas proporcionarán un informe detallado sobre cada prueba y recomendaciones sobre los pasos de remediación necesarios.
  • Verificación: un pentesting integral no finaliza hasta que se ha verificado que todos los pasos de remediación se han implementado y funcionan correctamente.

¿Con qué frecuencia se debe realizar el pentesting?

Los expertos en seguridad recomiendan realizar pentesting con regularidad para responder a las vulnerabilidades emergentes. La frecuencia de las pruebas depende del tamaño de la organización, su negocio y sus requisitos de seguridad. Las grandes organizaciones son objetivos propicios para los ataques y necesitan una vigilancia continua. Las organizaciones que se ocupan de las normativas a menudo necesitan realizar una serie de pruebas obligatorias. Todas las organizaciones deben realizar pentesting después de cualquier cambio de infraestructura, como instalación de parches, modificaciones de la política de seguridad, actualizaciones de hardware y software, y después de abrir nuevas instalaciones o ubicaciones.

Alejandro Novo, director South EMEA en Synack

Tags: PentestingSynack

DESTACADO

Destacado

Redtrust: “La trazabilidad de la IA empezará por el prompt”

junio 30, 2026

La gestión de certificados digitales ha sido, desde sus orígenes, el núcleo de la actividad de Redtrust. Sin embargo, Daniel...

Leer másDetails
Actualidad Infraestructura

Jay Chaudhry (Zscaler): “Ayer el eslabón más débil era el usuario; hoy lo son los agentes de IA”

junio 16, 2026 - Actualizado en junio 25, 2026

Viena. Tras su paso por Estados Unidos hace apenas unos días, Zenith Live ha llegado esta semana a Viena con...

Leer másDetails
Contenido Premium

V-Valley y DQS: protección hasta el último rincón con Microsoft

marzo 12, 2026

El complejo panorama de amenazas al que tienen que hacer frente las empresas les ha obligado a replantear su forma...

Leer másDetails
Diagonal Infomática - Ciberseguridad TIC - puesto de trabajo - Ciberseguridad - Tai Editorial España
Reportajes

“Nuestra estrategia pasa por crecer junto a HP como socio tecnológico”

febrero 2, 2026 - Actualizado en febrero 26, 2026

Diagonal Informática lleva desde 1985 acercando la última tecnología a las empresas de una forma práctica y accesible. Ahora, gracias...

Leer másDetails
Entornos

De la detección masiva a la prevención inteligente

abril 20, 2026

  Durante años, la ciberseguridad ha estado dominada por una carrera por detectar más amenazas y hacerlo cada vez más...

Leer másDetails
Destacado

“El futuro del MDR no va de humanos frente a máquinas, sino de humanos aumentados por la automatización y la IA”

junio 25, 2026

WatchGuard Technologies celebra su 30 aniversario en un momento de profunda transformación para el mercado de la ciberseguridad. La consolidación...

Leer másDetails
Entornos

Tres de cada cuatro pymes confían en planes de seguridad que nunca han puesto a prueba

noviembre 5, 2025 - Actualizado en noviembre 17, 2025

Las pymes representan el corazón del tejido empresarial español, pero también su punto más vulnerable en materia de ciberseguridad. Así...

Leer másDetails
Entrevistas

Sam Curry (Zscaler): “La gobernanza de la IA no tiene un único responsable”

junio 17, 2026 - Actualizado en junio 30, 2026

Viena. Mientras se agudiza el debate sobre quién debería asumir la responsabilidad de la inteligencia artificial o el control de...

Leer másDetails
Sincategoria

Prisma AIRS 2.0: la nueva capa de seguridad para la nube y los entornos de IA

enero 19, 2026

La nube sigue siendo uno de los principales puntos de exposición para las organizaciones. No por fallos de la tecnología,...

Leer másDetails
Sincategoria

La inteligencia artificial empodera la oferta de HP en el entorno del puesto de trabajo

septiembre 4, 2024

La inteligencia artificial se ha integrado en la oferta de HP en el entorno, crítico, del puesto de trabajo. Ordenadores,...

Leer másDetails
Sincategoria

HP avanza en su objetivo de conseguir un mundo más justo y sostenible

septiembre 18, 2024

Recientemente HP publicó su Informe de Impacto Sostenible 2023 donde se detallan los avances alcanzados por la compañía en materia...

Leer másDetails

SOBRE NOSOTROS

CiberseguridadTIC es una publicación de T.a.i. Editorial con información y análisis para las empresas y profesionales de seguridad

Contáctanos: correo@taieditorial.es

SÍGUENOS EN:

T.a.i. Editorial S.A. ®, marca registrada 2023 | Aviso Legal | Política de Privacidad | Política de Cookies | Anúnciese aquí

No Result
Ver todos los resultados
  • Inicio
  • Datos
    • Actualidad Datos
    • Entrevistas
    • Vídeos
    • Opinión
  • Endpoint
    • Actualidad Endpoint
    • Entrevistas
    • Vídeos
    • Opinión
  • Identidades
    • Actualidad Identidades
    • Entrevistas
    • Vídeos
    • Opinión
  • Infraestruc.
    • Actualidad Infraestructura
    • Entrevistas
    • Vídeos
    • Opinión
  • Mercado
  • Reportajes
  • Retos
    • TALLERES DEL CISO
    • ENTORNOS
  • Análisis Tic
    • DEBATES
      • Infraestructuras críticas (2025)
      • Validar para confiar (2025)
      • Seguridad en la Nube (2025)
      • Más allá del perímetro. Nuevos desafíos y soluciones para la seguridad de redes (2025)
      • El futuro es ahora: Innovación, regulación y seguridad en la era digital (2025)
      • Debate endpoints: XDR, IoT (2025)
      • DSPM la nueva frontera de la seguridad de los datos (2025)
      • Tendencias de ciberseguridad (2025)
      • La seguridad empieza por la identidad (2024)
      • Debate MDR (2024)
      • Debate CSPM – CNAPP (2024)
    • ESPECIALES
      • Especial Zero Trust (2026)
      • Especial Tendencias CST (2026)
      • Especial Cifrado cuántico (2025)
      • Revista online mayo 2023
      • Revista online abril 2023
      • Revista online marzo 2023
      • Revista online febrero 2023
  • EVENTOS
    • FORO TAI
      • FORO TAI Valencia: La Comunidad Valenciana refuerza su papel estratégico en España con la digitalización como gran palanca
      • FORO TAI Galicia: el reto de la “calidade” tecnológica
      • FORO TAI Sevilla: Retos tecnológicos para el futuro de la empresa andaluza
      • BLINDANDO EL FUTURO DIGITAL EN UN MUNDO INTERCONECTADO
      • LA INNOVACIÓN COMO ALIADA DE LA CIBERSEGURIDAD
      • EMPRESA TECNOLÓGICAMENTE MODERNA Y SEGURA
      • INNOVACIÓN DISRUPTIVA
    • OBSERVATORIO
      • Observatorio. Ciberresiliencia: del “evitar incidentes” al “seguir operando bajo ataque”
  • ENCUENTROS
    • ENCUENTRO EJECUTIVO: Detección y respuesta: cuando el reto ya no es ver el ataque, sino decidir qué hacer con él (2026)
    • ENCUENTRO EJECUTIVO: Más plataforma. Más IA. ¿Quién controla qué? (2026)
    • ENCUENTRO EJECUTIVO: El DLP entra en una nueva etapa: menos control, más contexto (2026)
    • ENCUENTRO EJECUTIVO: Detección y respuesta sin descanso: cuando el reto no es solo ver, sino decidir a tiempo (2026)
    • ENCUENTRO EJECUTIVO:La ciberseguridad ya no falla por falta de alertas sino de contexto (2026)
    • ENCUENTRO EJECUTIVO: Pentesting en transformación: cómo escalar, cerrar vulnerabilidades y convivir con la IA sin frenar al negocio (2025)
    • ENCUENTRO EJECUTIVO: Así se ve el salto hacia el Zero Trust inteligente (2025)
    • ENCUENTRO EJECUTIVO: MDR, confianza y colaboración: los nuevos pilares de la defensa digital (2025)
    • ENCUENTRO EJECUTIVO:Blind spots: ¿Dónde empieza y termina hoy la ciberseguridad? (2025)
    • ENCUENTRO EJECUTIVO:“Detección y respuesta sin descanso: descubre el poder del MDR» (2025)
  • Suscrip.

© 2026 JNews - Premium WordPress news & magazine theme by Jegtheme.

Este sitio web almacena cookies técnicas esenciales para el buen funcionamiento de la página. Estas cookies sirven para mejorar nuestro sitio web y poder ofrecer su funcionalidad completa. No utilizamos cookies de seguimiento para publicidad, ni para redes sociales, ya que cuando comparte información con una red social, será al entrar en ésta cuando le pidan el consentimiento a esas cookies. Para conocer más acerca de las cookies que utilizamos, pulse en Política de cookies. Puede visitar nuestra política de privacidad para saber más sobre el tratamiento de sus datos Política de privacidad. Pulse en aceptar, para minimizar