Pentesting Interno: Brecha Asumida, Movimiento Lateral y Contención
Las defensas perimetrales fallan tarde o temprano — una credencial robada por phishing, un portátil comprometido, un infiltrado malicioso. El pentesting interno mide lo que ocurre a continuación: hasta dónde puede moverse un atacante, con qué rapidez puede escalar a administrador y si su segmentación lo contiene realmente. Matproof Sentinel ejecuta pruebas internas de brecha asumida, demuestra las rutas de movimiento lateral y escalada de privilegios que existen, y reporta las brechas de detección mapeadas a MITRE ATT&CK. Obtiene un informe listo para auditoría mapeado a ISO 27001, NIS2 y DORA. Informe desde 149 €.
Por qué las pruebas de brecha asumida son la pregunta que realmente importa
La mayor parte del gasto en seguridad intenta prevenir el compromiso inicial — pero las brechas que copan titulares rara vez van sobre una forma ingeniosa de entrar; van sobre cuánto daño fue posible una vez que el atacante tuvo cualquier punto de apoyo. El pentesting interno parte de la suposición realista de que la prevención falló: un atacante dispone del acceso de un usuario estándar o de un único host comprometido. La prueba mide entonces las cosas que determinan si eso se convierte en un incidente menor o en una brecha catastrófica — si puede alcanzar los almacenes de datos, si puede escalar a administrador de dominio o de cloud, si la segmentación lo contiene, y si su monitorización siquiera se daría cuenta. Aquí es donde el «tenemos un firewall» choca con la realidad. La segmentación que parece limpia en un diagrama frecuentemente no está aplicada; las cuentas de servicio están sobreprivilegiadas y sus credenciales reutilizadas; las reglas de detección cubren la puerta principal pero no el movimiento lateral. NIS2 Art. 21 y DORA Art. 24 esperan pruebas de estos controles internos, y las aseguradoras de ciberriesgo exigen cada vez más evidencia de brecha asumida en la renovación — porque la contención, no solo la prevención, es lo que limita su indemnización.
- La contención es la verdadera métrica de riesgo: la diferencia entre un incidente contenido y una brecha total es hasta dónde se mueve un atacante tras el primer punto de apoyo — exactamente lo que miden las pruebas de brecha asumida.
- La segmentación suele ser aspiracional — las pruebas internas revelan si un host comprometido puede alcanzar realmente los sistemas joya o está genuinamente aislado.
- Las cuentas de servicio sobreprivilegiadas y con credenciales reutilizadas son la ruta de escalada de privilegios más común; nunca aparecen en un escaneo de perímetro.
- Las brechas de detección importan tanto como las vulnerabilidades: la prueba registra qué acciones detectaría (y cuáles no) su monitorización, mapeadas a MITRE ATT&CK, para que su SOC pueda cerrar los puntos ciegos.
- NIS2 Art. 21, DORA Art. 24 e ISO 27001:2022 A.8.22 (segregación de redes) esperan controles internos probados; las aseguradoras exigen cada vez más evidencia de brecha asumida en la renovación.
Qué prueba Matproof en un pentesting interno
- Movimiento lateral desde un punto de apoyo de brecha asumida: hosts, servicios y segmentos accesibles por toda la infraestructura interna
- Contención por segmentación: si los segmentos corporativos/de desarrollo comprometidos pueden alcanzar producción y los sistemas de datos sensibles
- Escalada de privilegios: rutas de escalada local y de dominio/cloud, cuentas de servicio débiles, reutilización de credenciales, exposición de tokens/secretos en los hosts
- Ataques de identidad cuando proceda: Kerberoasting, AS-REP roasting, exposición a pass-the-hash, roles de Active Directory / IAM cloud demasiado permisivos
- Higiene de credenciales: secretos en ficheros y scripts (CWE-312/CWE-798), contraseñas de administrador local compartidas, credenciales de CI/CD y cloud expuestas
- Accesibilidad a datos sensibles: qué almacenes de datos puede leer o exfiltrar un punto de apoyo, y si la DLP/segmentación lo impide
- Cobertura de detección: qué acciones generan alertas frente a las que pasan inadvertidas, documentado frente a las tácticas de MITRE ATT&CK (Lateral Movement, Privilege Escalation, Exfiltration)
- Hallazgos clasificados por riesgo con CVSS 3.1 y mapeados a ISO 27001 A.8.2/A.8.3/A.8.22, NIS2 Art. 21 y DORA Art. 24 para evidencia lista para auditoría
Ejemplo de hallazgo
Una contraseña de administrador local reutilizada habilitó el movimiento lateral en todo el dominio
Desde una única estación de trabajo comprometida, Sentinel recuperó el hash de la contraseña de administrador local y descubrió que la misma contraseña de administrador local estaba configurada en todas las estaciones de trabajo de la infraestructura (sin LAPS ni equivalente). Mediante pass-the-hash, la misma credencial se autenticó en decenas de otros hosts, varios de los cuales cacheaban credenciales de administrador de dominio en memoria — proporcionando una ruta clara desde un único portátil víctima de phishing hasta el compromiso total del dominio. Las credenciales de administrador local compartidas son uno de los hallazgos internos más comunes y de mayor impacto, y son completamente invisibles desde el perímetro.
Corrección: Desplegar una solución gestionada de contraseñas de administrador local (p. ej. Windows LAPS) para que cada host tenga una contraseña de administrador local única y rotada. Restringir el SMB/RPC entre estaciones de trabajo donde no sea necesario. Habilitar las protecciones de Credential Guard para limitar el cacheo de credenciales, y escalonar las cuentas administrativas para que las credenciales de administrador de dominio nunca se usen en estaciones de trabajo estándar. Volver a probar la accesibilidad a pass-the-hash tras la remediación. Sentinel registra la superficie de movimiento lateral reducida en el informe como evidencia para ISO 27001 A.8.2 (Derechos de acceso privilegiado).
Referencia: CWE-798 Use of Hard-coded/Shared Credentials · MITRE ATT&CK T1550.002 Pass the Hash · ISO 27001:2022 A.8.2 Derechos de acceso privilegiado · NIS2 Art. 21 medidas técnicas
Pentest interno: escaneo gratuito vs Matproof Sentinel vs consultoría tradicional
| — | Escaneo gratuito | Matproof Sentinel | Consultoría tradicional |
|---|---|---|---|
| Motor de escaneo automatizado | ✓ (vista previa 3 min) | ✓ Escaneo completo | ✗ Solo manual |
| Cobertura OWASP Top 10 | Parcial | ✓ Completa | ✓ Completa |
| Evidencia proof-of-exploit | ✗ | ✓ Por hallazgo | ✓ Por hallazgo |
| Mapeo normativo (DORA/NIS2/ISO 27001) | ✗ | ✓ Automatizado | ✓ Manual |
| Informe PDF listo para auditoría | ✗ | ✓ Inmediato | ✓ Entrega 2–4 semanas |
| Escaneos continuos / recurrentes | ✗ | ✓ Por despliegue | ✗ Encargo anual |
| Tiempo hasta el primer resultado | ~3 min | ~30 min escaneo completo | 2–4 semanas |
| Precio | €0 | Desde €149 | €8.000–€25.000 |
| Revisión de código fuente (SAST) | ✗ | ✓ Plan Growth | ✓ En alcance |
| Pruebas de API (REST/GraphQL) | ✗ | ✓ Automatizado | ✓ Manual |
Precios del pentesting interno
- 1 escaneo pentest completo
- Hallazgos priorizados por IA con CVSS 3.1
- Proof-of-exploit por hallazgo
- Informe PDF listo para auditoría
- Mapeo normativo (DORA, NIS2, ISO 27001)
- Escaneos ilimitados (hasta 3 dominios)
- Monitorización continua
- Integración CI/CD (GitHub, GitLab)
- Todos los mapeos normativos
- Soporte prioritario
- Escaneos + dominios ilimitados
- Pruebas autenticadas / White-Box
- Pruebas de API e infraestructura cloud
- Account manager de seguridad dedicado
- SLA de respuesta en 24h
Preguntas frecuentes sobre el pentesting interno
¿Qué es el pentesting interno?
El pentesting interno evalúa qué podría hacer un atacante una vez que ya tiene un punto de apoyo dentro de su red —una cuenta de usuario o un host comprometido. En lugar de intentar entrar, mide el movimiento lateral, la escalada de privilegios, la contención por segmentación y la cobertura de detección desde una posición de partida de «brecha asumida». Responde a la pregunta que determina la gravedad de una brecha: ¿cómo de grave es una vez que la prevención falla?
¿Qué significa «brecha asumida»?
Las pruebas de brecha asumida parten de la premisa realista de que un atacante ya ha logrado el acceso inicial —por ejemplo vía phishing o una credencial robada— y se centran por completo en qué puede hacer a continuación. Es mucho más informativo que confiar en que el perímetro nunca falle, porque mide directamente la contención y el radio de impacto, que es lo que realmente limita el daño de un incidente real.
¿En qué se diferencian las pruebas internas de las externas?
Las pruebas externas parten de la internet pública sin acceso y apuntan a su perímetro (consulte nuestra página de pentesting externo). Las pruebas internas parten de dentro y miden el movimiento y la escalada. Son complementarias: las externas reducen la probabilidad del compromiso inicial; las internas limitan el daño cuando el compromiso ocurre de todos modos.
¿Cuánto cuesta el pentesting interno?
Los proyectos internos varían con el tamaño y la complejidad de la infraestructura; las pruebas internas de consultoría tradicional suelen empezar en torno a los 5.000 £ y aumentan en entornos grandes o multi-sede, a lo largo de varias semanas. Matproof Sentinel define el alcance de las pruebas internas de brecha asumida en el plan Growth (799 €/mes), que también incluye pruebas autenticadas y de infraestructura; consulte nuestra guía de precios del pentesting para la imagen completa.
Profundiza — artículos relacionados del blog
Descubra hasta dónde podría llegar realmente un atacante
Empiece con un escaneo externo gratuito, o defina el alcance de un pentest interno de brecha asumida — movimiento lateral, escalada de privilegios y contención, mapeado a ISO 27001, NIS2 y DORA — con Matproof Sentinel.
Iniciar escaneo gratuito