Cajas en el Pentesting
En el pentesting (o test de penetración), los tipos de pruebas se clasifican principalmente según la cantidad de información que el hacker ético tiene sobre el sistema objetivo. Los tres tipos principales son: caja blanca, caja negra y caja gris.
1. Pentesting de Caja Blanca (White Box Testing) {#1}
Definición:
El pentester tiene acceso total a la información interna del sistema. Esto incluye el código fuente, las configuraciones del servidor, credenciales, direcciones IP internas, arquitectura de red, etc.
Objetivo:
Detectar vulnerabilidades internas y errores en la lógica del sistema que no serían visibles desde fuera.
Ventajas:
- Permite hacer pruebas más profundas y precisas.
- Se pueden encontrar vulnerabilidades de nivel interno o de configuración.
- Ideal para auditorías de seguridad completas.
Desventajas:
- No representa un ataque real de un hacker externo.
- Requiere mucho tiempo y conocimiento técnico detallado del sistema.
Ejemplo:
Analizar el código fuente de una aplicación web para buscar vulnerabilidades como inyección SQL, fugas de datos o errores de autenticación.
2. Pentesting de Caja Negra (Black Box Testing) {#2}
Definición:
El pentester no tiene información previa del sistema. Actúa como lo haría un atacante externo, probando todo desde fuera sin conocer cómo está construido el sistema.
Objetivo:
Simular un ataque real desde el punto de vista de un hacker sin acceso interno.
Ventajas:
- Refleja situaciones reales de ataque.
- No necesita acceso interno ni documentación.
- Útil para evaluar la seguridad perimetral (por ejemplo, servidores web o redes expuestas).
Desventajas:
- No se pueden encontrar vulnerabilidades internas.
- Es más lento y menos profundo, porque se prueba “a ciegas”.
Ejemplo:
Un pentester intenta descubrir subdominios, puertos abiertos, o vulnerabilidades en una página web sin conocer sus credenciales ni código fuente.
3. Pentesting de Caja Gris (Gray Box Testing) {#3}
Definición:
El pentester tiene información parcial del sistema, por ejemplo, una cuenta de usuario normal, documentación parcial o acceso a parte de la red.
Objetivo:
Combinar lo mejor de la caja blanca y la caja negra: simular un atacante con acceso limitado, como un empleado con privilegios básicos.
Ventajas:
- Representa un ataque interno realista.
- Permite detectar vulnerabilidades de escalamiento de privilegios y fallos lógicos.
- Más eficiente que la caja negra, pero sin requerir todo el conocimiento de la caja blanca.
Desventajas:
- No es completamente externo ni completamente interno.
- Requiere balancear cuánta información se entrega.
Ejemplo:
El pentester recibe un usuario con acceso básico a la intranet y trata de obtener acceso a zonas restringidas o información confidencial.