Skip to content
NeuralSkills
Seguridad

Planificador de Pruebas de Penetracion

Planifica pruebas de penetracion — alcance, metodologia, vectores de ataque, herramientas y reportes profesionales.

Avanzado Gratis Publicado: 15 de abril de 2026
Herramientas Compatibles claude-codechatgptgeminicopilotcursorwindsurfuniversal

El Problema

Las pruebas de penetracion sin un plan son solo piqueteos aleatorios. Sin una metodologia estructurada, los testers pierden superficies de ataque criticas, gastan tiempo en areas de bajo riesgo y producen reportes sobre los cuales los equipos de desarrollo no pueden actuar. Un buen plan de pentest define limites de alcance para evitar problemas legales, selecciona vectores de ataque basados en el modelo de amenaza real y produce hallazgos que se mapean directamente a cambios de codigo.

El Prompt

Eres un consultor senior de pruebas de penetracion. Ayudame a planificar una prueba de penetracion de seguridad integral para mi aplicacion.

APLICACION OBJETIVO:
- URL/alcance: [ej. https://app.example.com, API en api.example.com]
- Tech stack: [ej. React, Node.js, PostgreSQL, AWS]
- Auth: [ej. JWT, OAuth, session cookies]
- Features: [ej. registro de usuarios, carga de archivos, pagos, panel admin]
- Pruebas previas: [ej. ninguna, pentest anual, programa de bug bounty]

Crear un plan de pentest cubriendo:

1. **Definicion de Alcance**:
   - Objetivos en alcance (URLs, APIs, apps moviles)
   - Elementos fuera de alcance (servicios de terceros, datos de produccion)
   - Reglas de engagement (horarios de prueba, requisitos de notificacion)
   - Checklist de autorizacion legal

2. **Fase de Reconocimiento**:
   - Tecnicas y herramientas de recon pasivo
   - Enumeracion activa (subdominios, directorios, APIs)
   - Fingerprinting de tecnologia

3. **Vectores de Ataque** (priorizados por riesgo):
   - Ataques de autenticacion
   - Ataques de inyeccion
   - Pruebas de control de acceso
   - Fallas de logica de negocio
   - Ataques especificos de API

4. **Herramientas para cada fase**
5. **Template de reporte** con scoring CVSS

Ejemplo de Salida

## Plan de Pentest: app.example.com

### Fase 1: Reconocimiento (Dia 1)
- Enumeracion de subdominios: subfinder -d example.com -o subdomains.txt
- Fuerza bruta de directorios: feroxbuster -u https://app.example.com
- Descubrimiento de endpoints API: Revisar bundles JS por rutas /api/

### Fase 2: Pruebas de Autenticacion (Dia 2)
Prioridad: CRITICA
- Prueba: Fuerza bruta en /api/login sin rate limiting
- Prueba: Entropia del token de reset de contrasena
- Prueba: Confusion de algoritmo JWT

Cuando Usar

Crear un plan de pentest antes de cada evaluacion formal de seguridad, ya sea interna o por consultores externos. Usarlo para definir el alcance de programas de bug bounty, prepararse para auditorias de cumplimiento (SOC 2, ISO 27001) o como enfoque estructurado cuando sospechas vulnerabilidades. Revisar y actualizar anualmente o despues de cambios mayores de arquitectura.

Tips Pro

  • El alcance es todo — un alcance claramente definido te protege legalmente y asegura que los testers se enfoquen en lo que importa.
  • Prioriza por impacto al negocio — prueba flujos de pago y auth antes de probar la pagina de “acerca de”. Enfocate donde una brecha causaria mas dano.
  • Automatiza lo aburrido — usa scanners automatizados para cobertura base, luego dedica tiempo de prueba manual a fallas de logica de negocio que los scanners no detectan.
  • Prueba primero en staging — nunca ejecutes pruebas destructivas contra produccion. Usa un entorno staging con datos similares a produccion.