Realizar Pruebas de Penetración Externas Periódicas
Descripción
Realizar pruebas de penetración externas periódicas basándose en los requisitos del programa, no menos de una vez al año. Las pruebas de penetración externas deben incluir reconocimiento empresarial y ambiental para detectar información explotable. Las pruebas de penetración requieren habilidades y experiencia especializadas y deben realizarse por una parte calificada. Las pruebas pueden ser de caja clara u opaca.
Lista de Verificación de Implementación
Herramientas Recomendadas
Plataforma de pruebas de seguridad continuas con programas de recompensas por errores, pentesting gestionado y divulgación de vulnerabilidades
HackerOne · Suscripción basada en programa
Plataforma de pruebas de seguridad colaborativas con investigadores verificados, pentesting mejorado con IA y evaluación continua
Synack · Suscripción basada en activos
Plataforma de Pentest como Servicio con pentesters verificados, pruebas programáticas y gestión de hallazgos
Cobalt · Suscripción basada en créditos
Plataforma de gestión continua de superficie de ataque y seguridad ofensiva que combina escaneo automatizado con pentesting dirigido por expertos
Bishop Fox · Suscripción empresarial
Amenazas y Vulnerabilidades (CIS RAM)
Escenarios de Amenazas
Vulnerabilidad en Internet Explotada por Atacante Externo
ConfidencialidadUn atacante explota un servicio externo mal configurado que habría sido identificado a través de una prueba de penetración externa, obteniendo acceso inicial a la red empresarial.
Información Sensible Expuesta mediante Reconocimiento OSINT
ConfidencialidadLa información disponible públicamente como credenciales expuestas, documentos internos o detalles de infraestructura es aprovechada por un atacante porque ninguna prueba de penetración externa con fase de reconocimiento identificó la exposición.
Defensa Perimetral Evadida a través de Ruta de Ataque No Descubierta
IntegridadUn atacante descubre un punto de entrada externo pasado por alto como un endpoint VPN antiguo o subdominio olvidado que los controles de seguridad perimetral no cubren, porque ninguna prueba de penetración externa mapeó la superficie de ataque completa.
Vulnerabilidades (Cuando la Salvaguarda está Ausente)
Superficie de Ataque Externa No Probada
Sin pruebas de penetración externas periódicas, los sistemas, servicios y configuraciones expuestos a Internet no se evalúan desde la perspectiva de un atacante, dejando debilidades explotables en el perímetro sin descubrir.
Sin Reconocimiento Externo para Identificar Exposición de Información
La ausencia de pruebas externas con reconocimiento significa que la información empresarial expuesta públicamente como credenciales filtradas, servicios mal configurados y datos OSINT no se identifica ni remedia.
Requisitos de Evidencia
| Tipo | Elemento de Evidencia | Frecuencia de Recolección |
|---|---|---|
| Documento | Documentación del inventario o catálogo actual | Mantenido continuamente, revisado trimestralmente |
| Documento | Documentación de procesos/procedimientos para actividades de identificación | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |