01 Metodologias par la realizacion de hacking etico

Las metodologías nos facilitan la realización de un conjunto de actividades en un orden determinado y estableciendo una prioridad adecuada para intentar garantizar el éxito y alcanzar un objetivo final

Metodologias principales

¿Es necesario seguir las metodologías al pie de la letra?

Cuando se trata de pruebas de seguridad, las metodologías como OSSTMM, PTES, ISSAF y OWASP Testing Project sirven como guías esenciales. Estas proporcionan marcos estructurados para garantizar un enfoque sistemático, eficiente y confiable en la evaluación de la seguridad de sistemas y redes. Sin embargo, no es necesario seguirlas al pie de la letra.

Personalizando tu flujo de trabajo

La mejor práctica no consiste en adoptar una metodología de forma rígida, sino en adaptarla y complementarla con tu propio flujo de trabajo. Cada proyecto tiene diferentes requisitos, limitaciones y objetivos, lo que hace que una combinación flexible sea mucho más efectiva. Utilizar elementos clave de estas metodologías y adaptarlos según las necesidades del entorno puede generar mejores resultados.

Por ejemplo:

  • OSSTMM, ampliamente utilizada, establece principios universales para las pruebas de seguridad y se centra en garantizar resultados cuantificables. Sin embargo, algunas de sus etapas pueden ser ajustadas o incluso omitidas si no son relevantes para el proyecto en cuestión.
  • PTES proporciona una estructura clara para las pruebas de penetración, pero puedes personalizar el enfoque técnico según la infraestructura que estés evaluando.
  • OWASP Testing Project es más práctico para aplicaciones web, pero no necesariamente abarca sistemas completos.

La metodología más común: OSSTMM

Es cierto que OSSTMM es una de las metodologías más utilizadas en el ámbito de las pruebas de seguridad. Esto se debe a su flexibilidad y enfoque en resultados medibles. Sin embargo, su estructura compleja puede no ser ideal para todos los escenarios, especialmente si los recursos o el tiempo son limitados.