Metodología profesional
Las máquinas se resuelven con técnica. Las auditorías reales se ganan con metodología. La diferencia entre un junior que tarda 8 horas y un consultor que tarda 2 no es la velocidad de tecleo: es saber qué descartar y cuándo.Esta página no enseña herramientas. Enseña el árbol de decisión
que un auditor profesional ejecuta mentalmente. Si dominas esto, te
diferenciarás del 90 % de los aspirantes que disparan a ciegas.
Las 5 fases (PTES)
El estándar de la industria es el Penetration Testing Execution Standard. Sus fases son inamovibles y secuenciales — saltar una garantiza el fracaso.1
Reconocimiento (OSINT)
Inteligencia pasiva. Cero paquetes al objetivo. Wayback
Machine, Shodan, Censys, certificate transparency, dorking en
Google, GitHub Search, LinkedIn (organigrama), Hunter.io
(correos).
2
Enumeración
Mapeo activo y silencioso. Puertos, subdominios, endpoints de
API, tecnologías. Sin disparar exploits, sin levantar el WAF.
3
Modelado de amenazas
Cruzas la topología descubierta con vectores lógicos. Aquí
decides qué atacar y en qué orden, no antes.
4
Explotación
Ejecución técnica. Lo que el público asocia con “hacking” es
en realidad la fase más corta — 10-20 % del tiempo total.
5
Post-explotación
Escalada de privilegios, persistencia, movimiento lateral, y
finalmente: el informe. El informe es el 40 % del valor que
paga el cliente.
Árbol de decisión: SMB
Cada protocolo tiene su árbol. Memorizar comandos sin estructura es inútil; lo valioso es el orden de las preguntas.Árbol de decisión: Active Directory (post-acceso)
Árbol de decisión: Aplicación web
La regla del cronómetro
El error #1 del candidato OSCP es enamorarse de un vector inútil.⚠️ Rabbit hole warning
Si tras X minutos un vector no ha producido ninguna señal de
progreso, no insistas. Pivota. Vuelve después si hace falta.
Exploit chaining: convertir “medio” en “crítico”
Un fallo aislado es severidad media. Un fallo encadenado es severidad crítica. El valor profesional está en encadenar.LFI → RCE
XSS → ATO (Account Takeover)
SSRF → Cloud Metadata
Plan B: cuando todo falla
Las herramientas fallan el 80 % de las veces al primer intento. La guía estándar asume quesqlmap funciona. Eso es ciencia
ficción. Aquí tienes la lista de verificación cuando un vector se
estrella:
Subida de archivos bloqueada
Reverse shell que no conecta
Cracking de hashes que no rompe
Cementerio de vectores fallidos
En auditorías reales, descartar es tan importante como explotar. El informe del cliente debe incluir qué probaste y por qué fallaron, no sólo lo que funcionó. Mantén durante toda la auditoría una sección de descartes con este formato:Esto demuestra metodología al revisor de tu informe.
Diferencia entre “probé todo y nada” (junior) y “probé estos 12
vectores; estos 8 fallaron por estas razones específicas; estos 4
funcionaron” (senior).
Mapeo MITRE ATT&CK
Cuando reportes un hallazgo, mapéalo al framework MITRE ATT&CK. No digas “hice un RCE”: di T1059 — Command and Scripting Interpreter. Esto te diferencia en cualquier entrevista técnica.
Catálogo completo: attack.mitre.org.
Checklist final antes de entregar
Antes de dar una máquina por “completada” (sea HTB, examen o auditoría real), respóndete a esto:- ¿Sé el CVE (si lo tiene) o el CWE del fallo?
- ¿Sé la clasificación CVSS que asignaría?
- ¿Puedo redactar el impacto de negocio en lenguaje no técnico?
- ¿Tengo el bloque de código o configuración exacta de remediación?
- ¿Sé qué alertas habría disparado en un SOC real?
- ¿Tengo el ID MITRE ATT&CK mapeado?
- ¿Documenté qué vectores fallaron y por qué?
Recursos relacionados
- Glosario táctico — Diccionario operativo con kill chains y huella defensiva.
- Plantilla de informe — Cómo redactar las 4 secciones obligatorias.
- Recon web profesional — Reconocimiento sin disparar el WAF.
- Roadmap OSCP — 30 máquinas curadas para preparar el examen.
- Recursos de aprendizaje — PortSwigger, TryHackMe, TCM PEH.