ClubEnsayos.com - Ensayos de Calidad, Tareas y Monografias
Buscar

¿Cuál es la diferencia entre un pentest de caja negra, gris y blanca?

Gabriela DíazDocumentos de Investigación16 de Octubre de 2025

1.106 Palabras (5 Páginas)18 Visitas

Página 1 de 5

¿Cuál es la diferencia entre un pentest de caja negra, gris y blanca?

“En un pentest de caja negra el evaluador no tiene información previa, lo que simula un ataque externo real desde cero.
En caja gris, se cuenta con información parcial, por ejemplo, un usuario con privilegios limitados o credenciales filtradas, lo que permite probar escalamiento de privilegios y amenazas internas.
Finalmente, en caja blanca se entrega información completa, como credenciales de administrador, diagramas de red o código fuente; se usa mucho en auditorías de cumplimiento porque permite una revisión exhaustiva en menor tiempo.”

Si en un escaneo Nmap encuentras el puerto 445/TCP abierto, ¿qué significa y qué harías?

ok, vayamos a caso que sea por monitoreo, respondería así: el puerto 445 corresponde al servicio SMB que se utiliza comunmente en servidores windows como Filserver, Compartido de impresoras, en otras ocasiones podría ser un linux en el servicio samba. Revisaría la documentación (si la hay), y también realizaría la pregunta al equipo (muchas veces, y no es una buena practica interna, el equipo realiza cambios pero no actualiza o documenta) por si realizaron o aperturaron ese puerto. Mientras voy capturando las evidencias

Registro del hallazgo:

  • Captura del comando utilizado (nmap -p445 -sV <IP>) o herramienta SIEM que lo detectó.
  • Screenshot/log de la salida con el puerto abierto.

Validación del servicio:

  • Identificar si el puerto responde a SMBv1, SMBv2 o SMBv3 (nmap --script smb-protocols <IP>).
  • Esto es clave porque SMBv1 es inseguro (explotable con EternalBlue).

De ser un puerto que no debería estar abierto, realizo el escalamiento funcional al equipo correspondiente (generalmente infraestructura y servidores] para que cierren o no inicien el servicio (servidor), y a nivel de red se restrinja el trafico por ese puerte (infraestructura en FW, switch o donde esté transitando o abierto el servicio). Voy realizando mi informe y actualizo mi bitacora de hallazgos.

Explica brevemente qué es el MITRE ATT&CK y para qué se utiliza.

“El MITRE ATT&CK es una base de conocimiento de tácticas, técnicas y procedimientos (TTPs) utilizados por atacantes en escenarios reales.

Se utiliza principalmente para:

  • Detectar y analizar ataques, alineando eventos de seguridad a tácticas específicas.
  • Evaluar y mejorar defensas, simulando ataques conocidos para ver si la organización puede detectarlos.
  • Identificar brechas de seguridad, comparando las defensas actuales con las técnicas del framework.

Es un marco vivo, actualizado constantemente por MITRE con información de incidentes reales.

Por ejemplo, si en un SIEM detectamos ejecución de powershell.exe con parámetros sospechosos, podemos mapearlo a la técnica T1059 – Command and Scripting Interpreter, dentro de la táctica de Execution. Eso permite clasificar el ataque y definir una respuesta más precisa.”

¿Cómo aplicarías el principio de defensa en profundidad en una organización mediana?

“La defensa en profundidad en el Ministerio del Interior la aplicaría en 7 capas.
Física: acceso biométrico y CCTV 24/7 en salas críticas.
Red: segmentación estricta entre redes administrativas y operativas (ej. bases de datos de antecedentes, control migratorio), con NGFW e IPS.
Endpoints: EDR y hardening en todas las estaciones y servidores.
Aplicaciones & Datos: cifrado de información sensible (DNI, denuncias, huellas digitales) en tránsito y reposo; WAF para proteger portales web.
Identidad & Acceso: MFA obligatorio y mínimo privilegio.
Personas & Políticas: capacitaciones en phishing y cumplimiento de Ley 29733 y normas de PCM.
Monitoreo & Respuesta: SOC 24/7 con SIEM, correlación de eventos, y plan de respuesta a incidentes probado.

La idea es que si un atacante supera una capa (ej. roba credenciales), la siguiente lo detenga (ej. MFA, segmentación o monitoreo). Esto garantiza la continuidad y la protección de los activos críticos del Estado.”

Si detectas un IOC (Indicator of Compromise) en un servidor crítico del Ministerio del Interior, ¿qué pasos seguirías?

Pasos Inmediatos (Respuesta Inicial)

  1. Aislamiento Inmediato:
    — Desconectar el servidor de la red (    sin apagarlo) para contener la propagación. Esto se puede hacer mediante la segmentación de red (ej: bloquear su IP en el firewall) o físicamente (desconectar el cable de red).
    —     No apagar el equipo: Apagarlo podría borrar evidencias volátiles críticas para la investigación forense (como conexiones activas o procesos en memoria).
  2. Escalación y Activación del Plan de Respuesta a Incidentes:
    — Notificar de inmediato al     SOC (Centro de Operaciones de Seguridad), al CSIRT (Equipo de Respuesta a Incidentes) interno del Ministerio y a la alta dirección.
    — Activar el     protocolo de crisis definido en el plan de respuesta a incidentes.

Fase de Investigación y Análisis

  1. Preservación de Evidencias:
    — Recopilar evidencias volátiles (ej: usar herramientas como     FTK Imager o Volatility para capturar la memoria RAM y procesos activos).
    — Crear una imagen forense del disco duro (    imagen bit a bit) para analizarla sin alterar la evidencia original.
  2. Análisis del Compromiso:
    — Determinar el     alcance: ¿Qué sistemas, datos o usuarios están afectados? Usar herramientas de EDR (Endpoint Detection and Response) para rastrear la actividad maliciosa.
    — Identificar la     técnica MITRE ATT&CK utilizada (ej: ejecución de PowerShell malicioso, robo de credenciales).
    — Buscar     IOCs adicionales (ej: otras IPs, hashes de archivos, dominios C2) para ampliar la investigación.
  3. Erradicación:
    — Eliminar completamente la amenaza: eliminar archivos maliciosos, cerrar procesos comprometidos y parchear vulnerabilidades explotadas.
    — Cambiar todas las credenciales de acceso asociadas al servidor y sus servicios.

Fase de Recuperación y Comunicación

  1. Recuperación Controlada:
    — Restaurar el servidor desde una     backup limpio y reciente, verificando su integridad antes de reconectarlo a la red.
    — Realizar pruebas de funcionalidad y seguridad antes de volver a ponerlo en producción.
  2. Comunicación y Reporte:
    — Reportar el incidente a las autoridades pertinentes si es necesario (ej: Presidencia del Consejo de Ministros - PCM, INCIBE Perú).
    — Documentar lecciones aprendidas y actualizar el plan de respuesta a incidentes para prevenir futuros ataques similares.

Estás en medio de un pentest en el Ministerio del Interior y descubres credenciales de administrador en texto plano dentro de un repositorio interno.

...

Descargar como (para miembros actualizados) txt (8 Kb) pdf (113 Kb) docx (322 Kb)
Leer 4 páginas más »
Leer documento completo Guardar
Disponible sólo en Clubensayos.com