Una prueba de penetración es un tipo de evaluación de seguridad realizada en un sistema informático en el que la persona que realiza la evaluación intenta piratear el sistema. El objetivo de la prueba es determinar si alguien con intenciones malintencionadas puede ingresar al sistema y a qué puede acceder una vez que el sistema ha sido penetrado. Las pruebas de penetración son ofrecidas por una serie de empresas que se especializan en la seguridad de los sistemas informáticos y, a menudo, se recomiendan encarecidamente para sistemas y empresas de todos los tamaños, ya que el daño a un sistema informático causado por un ataque hostil puede ser costoso y embarazoso.
Hay varios enfoques diferentes para la prueba de penetración. En un enfoque de caja negra, no se proporciona información sobre el sistema a la persona que realiza la prueba. Él o ella comienza desde cero para buscar posibles hazañas e irrumpir en el sistema. En una prueba de caja blanca, se proporciona toda la información, lo que permite al evaluador simular un trabajo interno o una fuga de información. Algunas empresas eligen un enfoque híbrido, en el que se proporciona cierta información y se debe buscar otra información.
En el curso de una prueba de penetración, el experto en seguridad puede simular la eliminación o alteración de datos, el robo de archivos, la inserción de código malicioso y una variedad de otras actividades. La prueba de penetración puede ralentizar el sistema, lo que hace que la sincronización de la prueba sea importante; las empresas quieren evitar interferir con sus propias operaciones cuando realizan evaluaciones de seguridad.
Las personas que realizan pruebas de penetración tienen una amplia biblioteca de habilidades informáticas, y algunas tienen un historial como piratas informáticos que les ha familiarizado con las numerosas formas en que se pueden explotar los sistemas informáticos. Contratar piratas informáticos cualificados como consultores de seguridad puede ser en realidad un movimiento comercial muy inteligente para una empresa que se especializa en seguridad informática y de redes, ya que los piratas informáticos suelen tener el conocimiento y la información más actualizados y están acostumbrados a abordar los sistemas informáticos desde el rol de alguien con malicia, en lugar del papel de un experto en seguridad preocupado.
Para realizar pruebas sencillas, es posible utilizar un sistema automatizado para realizar una prueba de penetración. Esto reduce los gastos y permite a las empresas realizar fácilmente pruebas aleatorias cuando creen que puede ser necesario. Las pruebas manuales son más profundas y requieren más tiempo, pero pueden producir resultados más completos. Un ser humano creativo y decidido puede detectar posibles hazañas que un programa automatizado puede pasar por alto.
Una vez que se concluye una prueba de penetración, los hallazgos se escriben y se presentan al cliente. Junto con los hallazgos, se genera una lista de recomendaciones, con la firma de seguridad indicando áreas en las que la seguridad podría mejorarse y haciendo sugerencias para mejorar.