Actividad 05: Metodologías de Pentesting
DATOS GENERALES:
- Alumno: Mauricio Josafat Salinas Carrillo
- Fecha: 13 de Febrero de 2026
- Materia: Seguridad Informática
Introducción Contextual
El Hacking Ético y las Pruebas de Penetración (Pentesting) requieren estructura para ser efectivos y repetibles. No basta con lanzar herramientas al azar; es necesario seguir un marco de trabajo probado. Esta actividad analiza y compara las metodologías más reconocidas de la industria (como MITRE ATT&CK, OWASP y NIST) para entender cuál aplicar según el objetivo del negocio, ya sea cumplimiento normativo o simulación de adversarios.
Descripción de las Metodologías
1. MITRE ATT&CK
Base de conocimiento global estructurada en matrices que mapea las tácticas, técnicas y procedimientos (TTPs) reales de los adversarios. Su propósito principal es cambiar el enfoque defensivo de la simple búsqueda de vulnerabilidades hacia la comprensión profunda del comportamiento del atacante, mejorando así la detección y la emulación de amenazas.
2. OWASP WSTG
Guía técnica exhaustiva y estándar de facto para la evaluación de la seguridad en aplicaciones web. Su enfoque central es el aseguramiento de la calidad (QA), integrando pruebas de seguridad rigurosas en todas las fases del Ciclo de Vida de Desarrollo de Software (SDLC) mediante la estrategia Shift-Left, garantizando aplicaciones resilientes desde su diseño.
3. NIST SP 800-115
Marco metodológico oficial del gobierno de EE. UU. diseñado para estandarizar la planificación, ejecución y reporte de pruebas de penetración. Su propósito fundamental es garantizar la consistencia y repetibilidad de las evaluaciones técnicas, sirviendo como pilar fundamental para el cumplimiento riguroso de normativas y la gestión de riesgos institucionales.
4. OSSTMM
Metodología analítica basada en principios científicos que busca eliminar la subjetividad y las suposiciones en las auditorías de seguridad operacional (OpSec). Su enfoque diferencial radica en basarse en "hechos verificados" para cuantificar de manera exacta y medible la superficie de ataque real mediante el cálculo de métricas de riesgo (RAV).
5. PTES
Estándar pragmático desarrollado por la comunidad de seguridad para estructurar el ciclo de vida completo de un pentesting comercial. Su propósito es tender un puente entre la técnica y el negocio, alineando la ejecución avanzada (modelado de amenazas, explotación) con el valor estratégico, asegurando calidad desde el pre-compromiso hasta el reporte.
6. ISSAF
Marco de evaluación estructurado en capas, históricamente reconocido por su extrema granularidad técnica. Aunque actualmente es considerado un marco Legacy (obsoleto), su enfoque original era proporcionar listas de verificación paso a paso, vinculando cada fase de la auditoría con herramientas específicas para cada tecnología o infraestructura evaluada.
Fases de Implementación
| Metodología | Estructura de Fases / Componentes |
|---|---|
| MITRE ATT&CK | 14 Tácticas: Reconocimiento, Desarrollo de Recursos, Acceso Inicial, Ejecución, Persistencia, Escalada Privilegios, Evasión, Acceso Credenciales, Descubrimiento, Movimiento Lateral, Colección, C2, Exfiltración, Impacto. |
| OWASP WSTG | Ciclo SDLC: 1. Antes del Desarrollo, 2. Definición/Diseño, 3. Desarrollo, 4. Despliegue (Pentesting), 5. Mantenimiento. |
| NIST SP 800-115 | Proceso: 1. Planificación, 2. Descubrimiento, 3. Ataque/Ejecución, 4. Reporte. |
| OSSTMM | Fases: 1. Inducción, 2. Interacción, 3. Investigación, 4. Intervención. (Analiza canales: Humano, Físico, Inalámbrico, Telecom, Redes). |
| PTES | 7 Fases: 1. Pre-compromiso, 2. Inteligencia, 3. Modelado Amenazas, 4. Análisis de Vulnerabilidades, 5. Explotación, 6. Post-Explotación, 7. Reporte. |
| ISSAF | Capas: 1. Planificación, 2. Evaluación (Info Gathering -> Network Mapping -> Vuln ID -> Penetration -> Tracks), 3. Reporte. |
Objetivos y Escenarios de Uso
Resumen de Objetivos Principales
- • MITRE ATT&CK: Clasificar comportamientos para mejorar detección e inteligencia (CTI).
- • OWASP WSTG: QA en software web y detección temprana de fallos.
- • NIST SP 800-115: Estandarizar procedimientos y cumplimiento en agencias federales.
- • OSSTMM: Medición científica de la superficie de ataque y verificación de hechos.
- • PTES: Estructurar la ejecución comercial para garantizar valor al cliente.
- • ISSAF: Ofrecer guías paso a paso y checklists detallados.
Escenarios de Aplicación
- MITRE ATT&CK: Threat Intelligence, Purple Teaming, mejora de SIEM/EDR.
- OWASP WSTG: Auditoría web/APIs, DevSecOps, Code Reviews.
- NIST SP 800-115: Cumplimiento (FISMA/FedRAMP), auditorías gubernamentales.
- OSSTMM: Auditorías físicas/lógicas, métricas exactas de riesgo.
- PTES: Pentesting comercial (Blackbox), Red Teaming.
- ISSAF: Uso académico, referencia histórica para metodologías internas.
Orientación y Explicación Técnica
1. MITRE ATT&CK: Orientación Híbrida (Purple Teaming)
No ejecuta ataques per se, sino que cataloga las TTPs ofensivas para que los equipos defensivos (Blue Teams) puedan modelar amenazas, crear reglas en SIEM/EDR y evaluar su postura basándose en una "Defensa informada por el adversario".
2. OWASP WSTG: Orientación Defensiva (Aseguramiento de Calidad)
Enfoque preventivo que busca integrar controles en el pipeline de desarrollo (CI/CD) mediante Shift-Left. Promueve revisiones de código estático y dinámico (SAST/DAST) para mitigar fallos antes de producción.
3. NIST SP 800-115: Orientación de Evaluación Técnica y Auditoría
Validación estructurada para garantizar cumplimiento normativo. Metodología conservadora: prioriza el análisis de vulnerabilidades minimizando riesgo operativo; la explotación solo se recomienda para validar riesgos de cumplimiento.
4. OSSTMM: Orientación Analítica y Métrica
Enfoque empírico para calcular la superficie de ataque mediante el Valor de Evaluación de Riesgos (RAV). Mide la "porosidad" de las defensas basándose exclusivamente en hechos verificables, eliminando suposiciones.
5. PTES: Orientación Ofensiva (Red Teaming)
Diseñada para simular amenazas avanzadas. Pone énfasis técnico en la explotación y post-explotación (pivoteo, exfiltración, escalada) para demostrar el impacto real sobre activos críticos del negocio.
6. ISSAF: Orientación de Explotación Procedimental
Enfoque bottom-up que guía al auditor mediante checklists granulares, vinculando vectores de ataque con herramientas de software específicas (comandos/scripts) para cada capa de infraestructura.
Información Institucional y Versiones
| Metodología | Autor / Organismo | URL Oficial | Certificaciones | Versión |
|---|---|---|---|---|
| MITRE ATT&CK | MITRE Corp. | attack.mitre.org | MITRE Defender (MAD) | v18 (2025) |
| OWASP WSTG | OWASP Fdn. | owasp.org | Vinculada a AppSec | v4.2 / v5.0 (Dev) |
| NIST SP 800-115 | NIST (EE.UU.) | csrc.nist.gov | CISA, CISM, CAP | Rev 1 |
| OSSTMM | ISECOM | isecom.org | OPST, OPSA, OPSE | v3.02 |
| PTES | Comunidad PTES | pentest-standard.org | PenTest+, CEH | v1.0 |
| ISSAF | OISSG (Disuelto) | Inactivo | N/A | Legacy/Deprecated |
Reflexión y Selección de Metodología
Reflexión Estratégica
No existe una "mejor metodología" universal; la elección depende enteramente del objetivo del negocio. Si el objetivo es cumplir un contrato gubernamental, NIST es obligatorio. Si buscamos mejorar capacidades de detección interna, MITRE ATT&CK es insuperable. Como profesionales, debemos ser agnósticos y saber adaptar el marco de trabajo a la necesidad del cliente, pasando de simples escaneos de vulnerabilidades a verdaderas simulaciones de adversarios.
Casos de Uso Recomendados
Desarrollo de Software Seguro
Uso: OWASP WSTG. Integrar pruebas de seguridad en el pipeline CI/CD para detectar inyecciones SQL o XSS antes del despliegue.
Simulación de Amenazas (Red Team)
Uso: PTES + MITRE. Ejecutar una operación encubierta para probar la capacidad de respuesta del Blue Team ante un ataque de ransomware simulado.
Auditoría Financiera/Legal
Uso: NIST SP 800-115. Evaluación formal para certificar que una institución bancaria cumple con los controles de protección de datos requeridos por ley.
Medición de Riesgo Puro
Uso: OSSTMM. Cuantificar matemáticamente qué tan expuesta está una infraestructura física y lógica para justificar presupuestos de seguridad.
Bibliografía
- • MITRE Corporation. (2025). MITRE ATT&CK®: Adversarial Tactics, Techniques, and Common Knowledge. https://attack.mitre.org
- • OWASP Foundation. (2020/2025). Web Security Testing Guide (WSTG) v4.2 & v5.0. https://owasp.org/www-project-web-security-testing-guide/
- • NIST. (2008). Technical Guide to Information Security Testing and Assessment (SP 800-115). https://csrc.nist.gov
- • Herzog, P. / ISECOM. (2010). The Open Source Security Testing Methodology Manual (OSSTMM) 3.0. https://www.isecom.org/
- • PTES Team. (2014). The Penetration Testing Execution Standard. http://www.pentest-standard.org/
- • OISSG. Information Systems Security Assessment Framework (ISSAF). Referenciado en literatura académica.