Un pentest o ejercicio de pentesting consiste en analizar las debilidades de un activo realizando las mismas pruebas que haría un atacante real. La finalidad es poder corregir cualquier vulnerabilidad antes de que sea aprovechada por un atacante.
Dependiendo del tipo de activo los pentest más comunes son.
Pentest externo
Las pruebas de penetración externas consisten en simular ciberataques desde fuera del perímetro de la red de la organización para identificar y explotar vulnerabilidades de seguridad que podrían ser aprovechadas por atacantes externos. Se analiza cualquier activo que esté expuesto a internet.
Pentest interno
Las pruebas de penetración internas se centran en evaluar la seguridad de las redes de la oficina, los sistemas y las aplicaciones internas de una organización desde la perspectiva de una amenaza interna o de una cuenta de usuario interna comprometida.
Pentest web
Las pruebas de penetración de aplicaciones web consisten en evaluar la seguridad de las aplicaciones basadas en la web mediante la simulación de ataques para identificar vulnerabilidades como la inyección SQL, el cross-site scripting (XSS) y los mecanismos de autenticación inseguros.
Pentest móvil
Las pruebas de penetración de aplicaciones móviles evalúan la seguridad de las aplicaciones móviles que se ejecutan en diversas plataformas (por ejemplo, iOS, Android) para identificar las vulnerabilidades que podrían ser explotadas por los atacantes para comprometer los datos del usuario, la funcionalidad del dispositivo o incluso como la implementación de la app puede afectar a los servicios de back-end.
Pentest wireless
Las pruebas de penetración inalámbrica consisten en evaluar la seguridad de las redes, protocolos y dispositivos inalámbricos (por ejemplo, routers Wi-Fi, puntos de acceso) para identificar vulnerabilidades y posibles vectores de ataque.