- Por Alexis Campos, CEO y fundador de Grupotech. www.grupotech.cl
El término genera incomodidad. Cuando una empresa escucha por primera vez la propuesta de contratar a alguien para que intente hackearla, la reacción más común es una mezcla de curiosidad y desconfianza. ¿Es legal esto? ¿Qué pasa con nuestra información? ¿No es peligroso darle acceso a alguien externo?
Son preguntas razonables. Y la respuesta a todas es la misma: depende de cómo se hace.
El ethical hacking, también llamado pentesting o prueba de penetración, es un ejercicio controlado y autorizado en el que un equipo especializado intenta vulnerar los sistemas de una organización usando las mismas técnicas que usaría un atacante real.
La diferencia fundamental con un ataque real no es técnica, es contractual y ética: hay un acuerdo que define el alcance, hay trazabilidad de todo lo que se hace, y el objetivo es documentar y reparar, no explotar.
Los tres tipos de prueba y cuándo aplica cada uno
No todas las pruebas de penetración son iguales. La diferencia más importante es cuánta información tiene el equipo que realiza el ejercicio antes de comenzar.
En un ejercicio de caja negra, el equipo parte sin información sobre la infraestructura del objetivo. Solo conoce lo que está disponible públicamente, igual que un atacante externo que no tiene acceso previo. Este tipo de ejercicio es útil para evaluar qué puede descubrir y explotar alguien que no conoce la organización.
En un ejercicio de caja gris, el equipo tiene acceso a información parcial, como credenciales de un usuario estándar o documentación básica de la arquitectura. Simula el escenario de un atacante que ya tiene algún punto de acceso, un empleado con malas intenciones, un proveedor comprometido, o una cuenta robada.
En un ejercicio de caja blanca, el equipo tiene acceso completo a la documentación, código fuente, arquitectura y credenciales. Es el escenario más eficiente para encontrar vulnerabilidades profundas, aunque no simula fielmente un ataque externo. Es útil para auditorías exhaustivas de sistemas críticos.
En la práctica, la mayoría de los ejercicios son de caja gris, porque representan el escenario de amenaza más relevante para la mayoría de las organizaciones.
Qué esperar de un informe real
Aquí está una de las mayores diferencias entre un buen proveedor de ethical hacking y uno mediocre: el informe.
Un informe de baja calidad es una lista de vulnerabilidades técnicas con nomenclatura CVE, puntuaciones CVSS y recomendaciones genéricas copiadas de bases de datos públicas. Puede verse impresionante y ser completamente inútil para quien tiene que tomar decisiones.
Un informe de calidad tiene dos niveles. El nivel ejecutivo traduce los hallazgos a impacto de negocio: qué información estaba expuesta, qué sistemas críticos eran accesibles, cuál es el riesgo financiero y reputacional de cada vulnerabilidad encontrada. El nivel técnico detalla exactamente cómo se encontró cada vulnerabilidad, cómo se explotó en el contexto del ejercicio, y qué se necesita para corregirla.
El informe no es el producto final. El producto final es la corrección de lo que se encontró y la reducción del riesgo real.
Por qué hacerlo al menos una vez al año
Los sistemas cambian. Se incorporan nuevas aplicaciones, se actualizan configuraciones, se agregan integraciones con proveedores externos, se contratan nuevas personas que instalan software no autorizado. Cada uno de esos cambios puede introducir nuevas vulnerabilidades.
Una prueba de penetración anual no garantiza que una organización esté segura los 364 días restantes. Pero establece una línea base, identifica los problemas más urgentes y genera el hábito organizacional de revisar activamente la postura de seguridad en lugar de asumir que todo está bien.
En Cut Security by Grupotech incluimos pruebas de penetración programadas precisamente porque la ciberseguridad no es un estado, es un proceso. Las organizaciones que realizan estos ejercicios de forma regular no solo encuentran más vulnerabilidades, sino que aprenden a corregirlas más rápido y a no reintroducirlas.
El ethical hacking no es un lujo para grandes empresas. Es una herramienta de gestión de riesgo. Y en el contexto chileno actual, con la Ley Marco exigiendo evidencia de controles activos, es también parte de una estrategia de cumplimiento inteligente.
