Saltar al contenido principal

Metodología profesional

Las máquinas se resuelven con técnica. Las auditorías reales se ganan con metodología. La diferencia entre un junior que tarda 8 horas y un consultor que tarda 2 no es la velocidad de tecleo: es saber qué descartar y cuándo.
Esta página no enseña herramientas. Enseña el árbol de decisión que un auditor profesional ejecuta mentalmente. Si dominas esto, te diferenciarás del 90 % de los aspirantes que disparan a ciegas.

Las 5 fases (PTES)

El estándar de la industria es el Penetration Testing Execution Standard. Sus fases son inamovibles y secuenciales — saltar una garantiza el fracaso.
1

Reconocimiento (OSINT)

Inteligencia pasiva. Cero paquetes al objetivo. Wayback Machine, Shodan, Censys, certificate transparency, dorking en Google, GitHub Search, LinkedIn (organigrama), Hunter.io (correos).
2

Enumeración

Mapeo activo y silencioso. Puertos, subdominios, endpoints de API, tecnologías. Sin disparar exploits, sin levantar el WAF.
3

Modelado de amenazas

Cruzas la topología descubierta con vectores lógicos. Aquí decides qué atacar y en qué orden, no antes.
4

Explotación

Ejecución técnica. Lo que el público asocia con “hacking” es en realidad la fase más corta — 10-20 % del tiempo total.
5

Post-explotación

Escalada de privilegios, persistencia, movimiento lateral, y finalmente: el informe. El informe es el 40 % del valor que paga el cliente.

Árbol de decisión: SMB

Cada protocolo tiene su árbol. Memorizar comandos sin estructura es inútil; lo valioso es el orden de las preguntas.
Regla del cronómetro: si tras 15 min en SMB no has identificado una vía clara, cambia de protocolo. Vuelves después con más contexto. La obstinación cuesta exámenes.

Árbol de decisión: Active Directory (post-acceso)


Árbol de decisión: Aplicación web


La regla del cronómetro

El error #1 del candidato OSCP es enamorarse de un vector inútil.
⚠️ Rabbit hole warning
Si tras X minutos un vector no ha producido ninguna señal de progreso, no insistas. Pivota. Vuelve después si hace falta.
Regla del 4× repaso: si has gastado 4× el tiempo objetivo en un vector, es señal definitiva de que el vector no es ese o tu enumeración inicial fue incompleta. Vuelve al paso 1 con mente fresca.

Exploit chaining: convertir “medio” en “crítico”

Un fallo aislado es severidad media. Un fallo encadenado es severidad crítica. El valor profesional está en encadenar.

LFI → RCE

XSS → ATO (Account Takeover)

SSRF → Cloud Metadata


Plan B: cuando todo falla

Las herramientas fallan el 80 % de las veces al primer intento. La guía estándar asume que sqlmap funciona. Eso es ciencia ficción. Aquí tienes la lista de verificación cuando un vector se estrella:

Subida de archivos bloqueada

Reverse shell que no conecta

Cracking de hashes que no rompe


Cementerio de vectores fallidos

En auditorías reales, descartar es tan importante como explotar. El informe del cliente debe incluir qué probaste y por qué fallaron, no sólo lo que funcionó. Mantén durante toda la auditoría una sección de descartes con este formato:
Esto demuestra metodología al revisor de tu informe. Diferencia entre “probé todo y nada” (junior) y “probé estos 12 vectores; estos 8 fallaron por estas razones específicas; estos 4 funcionaron” (senior).

Mapeo MITRE ATT&CK

Cuando reportes un hallazgo, mapéalo al framework MITRE ATT&CK. No digas “hice un RCE”: di T1059 — Command and Scripting Interpreter. Esto te diferencia en cualquier entrevista técnica. Catálogo completo: attack.mitre.org.

Checklist final antes de entregar

Antes de dar una máquina por “completada” (sea HTB, examen o auditoría real), respóndete a esto:
  • ¿Sé el CVE (si lo tiene) o el CWE del fallo?
  • ¿Sé la clasificación CVSS que asignaría?
  • ¿Puedo redactar el impacto de negocio en lenguaje no técnico?
  • ¿Tengo el bloque de código o configuración exacta de remediación?
  • ¿Sé qué alertas habría disparado en un SOC real?
  • ¿Tengo el ID MITRE ATT&CK mapeado?
  • ¿Documenté qué vectores fallaron y por qué?
Si respondes “no” a más de 2, no la has completado: la has resuelto técnicamente, que es distinto.
Una máquina HTB resuelta sin estos 7 puntos = línea en tu CV. Una máquina HTB resuelta con estos 7 puntos = caso real para tu portfolio profesional. Mismo tiempo invertido. 10× retorno.

Recursos relacionados