Los hackers éticos profesionales siguen una metodología de cinco fases ordenadas que separa el trabajo legal del hacking criminal.
¿Todos los hackers improvisan?
Piénsalo un momento: ¿crees que un hacker experto simplemente abre su laptop y empieza a atacar sistemas al azar?
La mayoría de las personas imagina eso. La realidad es completamente diferente. Según el informe de IBM Cost of a Data Breach 2023, las empresas tardan en promedio 204 días en detectar una brecha de seguridad. Ese tiempo tan largo no ocurre porque los atacantes sean genios improvisados. Ocurre porque siguen un proceso metódico y paciente.
El hacker ético hace exactamente lo mismo, pero con permiso y dentro de la ley.
El Ciclo de Penetración Profesional
En la industria de ciberseguridad existe un marco de trabajo reconocido mundialmente. Aquí lo llamaremos el Ciclo de Penetración Profesional (CPP). Tiene cinco fases que se repiten en cada proyecto, sin excepción.
Este ciclo no es opcional. Es la diferencia entre un reporte que una empresa como FEMSA puede presentar ante auditores y una actividad que podría terminar en el artículo 211 Bis del Código Penal Federal.
Fase 1: Reconocimiento
Esta es la fase donde reúnes información sobre el objetivo sin tocarlo directamente.
Imagina que Liverpool te contrató para evaluar la seguridad de su plataforma de e-commerce. Antes de ejecutar cualquier herramienta, pasas días estudiando todo lo que está disponible públicamente: dominios registrados, correos corporativos expuestos, tecnologías visibles en el sitio, perfiles de empleados en LinkedIn.
A esta técnica se le llama OSINT (Open Source Intelligence). No requiere permiso especial porque usas información pública. Sin embargo, ya estás construyendo un mapa del objetivo.
Hay dos tipos de reconocimiento:
- Pasivo: No interactúas con los sistemas del objetivo. Buscas en Google, revisas registros DNS públicos, analizas redes sociales.
- Activo: Mandas paquetes de red al objetivo para ver qué responde. Esto ya requiere autorización escrita.
Dato importante: el 91% de los ciberataques exitosos comienzan con un correo de phishing. Eso significa que los atacantes reales pasan mucho tiempo en reconocimiento buscando nombres de empleados y correos corporativos. Tú haces lo mismo, pero para mostrarle a tu cliente qué tan expuesto está.
Fase 2: Escaneo y Enumeración
Aquí empiezas a interactuar directamente con los sistemas del objetivo.
Usas herramientas como Nmap para descubrir qué puertos están abiertos, qué servicios corren y qué versiones de software usa el servidor. Si Liverpool tiene un servidor web corriendo Apache 2.4.49, y tú sabes que esa versión tiene una vulnerabilidad crítica conocida, ya tienes una pista concreta.
La enumeración va más lejos: intentas identificar usuarios, recursos compartidos, bases de datos expuestas y configuraciones incorrectas.
Ejemplo práctico: en un proyecto real con una empresa de logística en Monterrey, un pentester encontró durante esta fase que el panel de administración del servidor estaba accesible desde internet con el puerto 8080 abierto. Eso nunca debería estar expuesto. El cliente no lo sabía.
Esta fase produce un inventario detallado. Sin él, atacas a ciegas.
Fase 3: Análisis de Vulnerabilidades
Con el inventario en mano, buscas debilidades específicas que se puedan explotar.
Existen bases de datos públicas de vulnerabilidades conocidas. La más importante se llama CVE (Common Vulnerabilities and Exposures). Cada vulnerabilidad tiene un identificador único como CVE-2021-44228, que fue la famosa vulnerabilidad Log4Shell que afectó a miles de empresas en todo el mundo, incluyendo varias en México.
Usas herramientas como Nessus o OpenVAS para comparar lo que encontraste en el escaneo contra esas bases de datos. El resultado es una lista priorizada de vulnerabilidades ordenadas por riesgo.
El estándar de la industria usa una escala llamada CVSS (Common Vulnerability Scoring System) del 0 al 10. Una puntuación de 9.8 significa que es crítica y debe atenderse de inmediato. Una de 3.2 es baja y puede esperar.
Aquí no atacas nada todavía. Solo documentas lo que encontraste.
Fase 4: Explotación
Esta es la fase que la gente imagina cuando piensa en "hacking". Pero llega hasta aquí después de mucho trabajo previo.
Usas las vulnerabilidades identificadas para intentar acceder a los sistemas. La herramienta más conocida para esto es Metasploit Framework, que contiene módulos para explotar cientos de vulnerabilidades documentadas.
Importantísimo: solo exploras hasta donde el contrato lo permite. Si el alcance (scope) dice que puedes atacar el servidor web pero no la base de datos de clientes, te detienes en esa línea. Cruzarla sin permiso convierte tu trabajo en un delito, aunque tengas autorización parcial.
Supon que Bimbo te contrató para evaluar su red interna. Durante la explotación logras acceder a un servidor de archivos con una contraseña débil: "Bimbo2023". Eso es un hallazgo crítico. Lo documentas, tomas evidencia (capturas de pantalla, logs) y te detienes. No extraes datos reales ni borras nada.
Según el Foro Económico Mundial, el 95% de los problemas de ciberseguridad tienen como causa raíz un error humano. Las contraseñas débiles son el ejemplo más claro.
Fase 5: Post-Explotación y Reporte
Después de demostrar que puedes entrar, evalúas qué tan lejos podría llegar un atacante real.
Esto incluye verificar si puedes moverte lateralmente dentro de la red (acceder a otros sistemas desde el que ya comprometiste), si puedes escalar privilegios (pasar de usuario normal a administrador) y si puedes mantener acceso persistente.
Todo esto lo haces de forma controlada y sin causar daño real.
Luego viene la parte más importante del trabajo: el reporte. Un reporte profesional de pentesting contiene:
- Un resumen ejecutivo para directivos sin conocimientos técnicos
- Una lista de vulnerabilidades con su puntuación CVSS
- Evidencia de cada hallazgo (capturas, logs, comandos usados)
- Recomendaciones específicas para corregir cada problema
- Un plan de remediación priorizado
En México, muchas empresas medianas no tienen un CISO (Chief Information Security Officer). El reporte es, en muchos casos, el primer documento técnico de seguridad que ven sus directivos. Tiene que ser claro, concreto y accionable.
Un pentester con experiencia en Guadalajara cobra entre $25,000 y $45,000 por un proyecto completo de estas cinco fases para una empresa mediana. El precio refleja la responsabilidad legal y técnica del trabajo.
El Error que Arruina Proyectos Reales
El error más común entre pentesters sin experiencia es saltarse las fases o invertir su orden.
Algunos inician directo con la explotación sin haber enumerado bien el objetivo. El resultado: atacan sistemas que están fuera del alcance acordado, o provocan caídas de servicio no planeadas. Eso puede terminar en demandas civiles o en responsabilidad penal bajo el artículo 211 Bis.
Otro error frecuente es entregar un reporte con solo una lista de herramientas y salidas de consola sin interpretación. El cliente no entiende qué significa "CVE-2023-1234 con CVSS 8.1". Necesita saber: "Tu servidor de pagos puede ser comprometido en menos de 10 minutos desde internet. Esto es cómo lo coriges."
La metodología no es burocracia. Es lo que convierte un ataque en un servicio profesional.
Resumen del Ciclo
Las cinco fases del Ciclo de Penetración Profesional son:
- Reconocimiento — reunir información pública y mapear el objetivo
- Escaneo y Enumeración — identificar sistemas, puertos y servicios activos
- Análisis de Vulnerabilidades — comparar hallazgos contra bases de datos de CVEs
- Explotación — demostrar que las vulnerabilidades son reales y explotables
- Post-Explotación y Reporte — evaluar el impacto real y documentar todo
Cada fase alimenta a la siguiente. Saltarte una es como construir sin cimientos.