Como parte de las actividades periódicas de monitorización del estado de seguridad, el estándar PCI DSS exige realizar una serie de evaluaciones técnicas para identificar de forma temprana posibles problemas de seguridad en los activos del ámbito de cumplimiento y en los controles de seguridad desplegados. Entre estas actividades se encuentran los escaneos de vulnerabilidades y las pruebas de penetración.
A pesar de que cada una de estas pruebas tiene un alcance y objetivos diferentes, a menudo se confunden entre sÃ. Para evitar estos problemas, a continuación se explican las diferencias entre cada una de ellas:
Escaneos de vulnerabilidades (req. 11.3)
Los escaneos de vulnerabilidades (vulnerability scans) internos y externos exigidos en el requisito 11.3 de PCI DSS tienen las siguientes caracterÃsticas:
- Son pruebas no intrusivas (no afectan la confidencialidad, la integridad ni la disponibilidad de los servicios analizados).
- Los escaneos de vulnerabilidades son netamente técnicos y están orientados a identificar y detectar posibles problemas en la infraestructura lógica del entorno mediante la comparación con bases de datos de vulnerabilidades conocidas y reportadas.
- Suelen presentar una alta tasa de falsos positivos (una vulnerabilidad detectada por el software de escaneo puede no existir realmente), por lo que se requiere una revisión detallada de los informes.
- Se realizan verificaciones de forma automatizada.
- Su tiempo de ejecución es relativamente corto.
- Deben realizarse trimestralmente o tras un cambio significativo.
- En el caso de los escaneos de vulnerabilidades externos, éstos deben ser realizados exclusivamente por empresas homologadas por el PCI SSC como «Approved Scanning Vendors» (ASV).
- Para los escaneos de vulnerabilidades internos, éstos pueden ser realizados por personal interno de la empresa con conocimiento demostrado de seguridad y/o empresas externas.
- Igualmente, los escaneos internos deben ser autenticados.

Algunas de las herramientas que se emplean para realizar escaneos de vulnerabilidades son Tenable Nessus (comercial), OpenVAS (open source), Qualys (comercial), SAINT (comercial), Nexpose (comercial), etc.
Pruebas de penetración (req. 11.4)
Por otro lado, las pruebas de penetración (penetration testing) internas, externas y de verificación de segmentación exigidas en el requisito 11.4 de PCI DSS tienen las siguientes caracterÃsticas:
- Suelen servirse de los resultados de los escaneos de vulnerabilidades como punto de partida para optimizar los tiempos de ejecución, aunque esto no es obligatorio.
- Son pruebas intrusivas orientadas hacia el intento de explotación o la explotación directa de las vulnerabilidades identificadas, simulando los efectos de un ataque real. Por ello, pueden afectar la integridad, la confidencialidad y la disponibilidad de los activos analizados por lo que deben planificarse cuidadosamente para no afectar la operación.
- Las pruebas de penetración van más allá del entorno técnico (lógico) y pueden incluir la realización de pruebas fÃsicas tales como la ingenierÃa social o el acceso fÃsico a instalaciones.
- Requiere de una preparación previa para perfilar los ataques y herramientas a emplear, asà como la definición de un alcance detallado, incluyendo un «punto de detención» para cuando una vulnerabilidad es explotada y permite el acceso a otros entornos no incluidos en el alcance original (pivotaje).
- Su ejecución debe basarse en una metodologÃa previamente definida por la organización (req. 11.4). Si esta tarea se delega en un tercero, ese tercero debe proveer la información de su metodologÃa como parte de esta actividad.
- Las pruebas ejecutadas suelen ser casi siempre manuales y especÃficas de los activos del entorno, por lo que su tiempo de ejecución es más largo que un escaneo de vulnerabilidades.
- Sus reportes suelen tener menos falsos positivos que los escaneos de vulnerabilidades, debido a que se realizan intentos de explotación de las vulnerabilidades identificadas comprobando la existencia real del problema de seguridad.
- Sus reportes son más exhaustivos y con mayor detalle que los informes de los escaneos de vulnerabilidades.
- Se deben ejecutar de forma anual (en el caso de las pruebas internas, externas y de segmentación) y semestral (en el caso de las pruebas de segmentación para proveedores de servicios) o después de un cambio significativo.
- Estas pruebas pueden ser realizadas por personal interno con conocimiento de seguridad y/o por empresas externas especializadas.
- Dependiendo del conocimiento previo de la estructura interna, del diseño o la implementación del entorno a evaluar que tenga el profesional que ejecuta la prueba, ésta se puede catalogar en pruebas de caja negra (sin conocimiento previo), caja blanca (con información detallada del entorno) o caja gris (conocimeinto parcial del entorno). Este conocimiento puede impactar los tiempos de ejecución de las pruebas (a menor conocimiento del entorno se requiere más tiempo para su ejecución).

Algunas de las herramientas empleadas para estas pruebas son Metasploit (open source/comercial), Core Impact y Cobalt Strike (comercial), Social-Engineer Toolkit (open source), Pentera (comercial), etc. que, generalmente, no se utilizan de forma individual sino que se combinan con otras herramientas, dependiendo del entorno a analizar.
Más información en el documento del PCI SSC «Information Supplement: Penetration Testing Guidance«.
Tabla de diferencias entre un escaneo de vulnerabilidades y una prueba de penetración
Con base en lo descrito anteriormente, las diferencias entre estas pruebas técnicas se pueden resumir en la siguiente tabla:
| Escaneo de vulnerabilidades | Prueba de penetración | |
| Propósito | Identificar, clasificar y reportar vulnerabilidades que, si se explotan, pueden resultar en un compromiso intencional o no del sistema. | Identifica formas de explotar vulnerabilidades que pueden eludir o anular las caracterÃsticas de seguridad de los componentes del sistema. |
| Ejecución | De forma trimestral y cuando hayan cambios significativos | Anualmente (internas, externas y de segmentación para comerciantes), semestralmente (segmentación para TPSPs) y cuando haya cambios significativos. |
| Personal a cargo | Personal interno o terceros cualificados para escaneos internos. Empresas validadas como ASV para escaneos externos. | Personal interno o terceros cualificados. |
| MetodologÃa | Usando una variedad de herramientas automatizadas con verificación manual de los hallazgos. | Usando un proceso manual, que puede incluir el uso de herramientas automatizadas, dando como resultado un reporte exhaustivo. |
| Reportes | Riesgos potenciales de vulnerabilidades conocidas, catalogados de acuerdo con los rangos definidos por NVD/CVSS. | Descripción detallada de cada vulnerabilidad verificada, incluyendo riesgos especÃficos y métodos de explotación. |
| Duración | Proceso relativamente corto, desde algunos segundos o minutos por activo analizado. | Proceso largo que puede durar desde varios dÃas hasta semanas, dependiendo de la complejidad y del tamaño del entorno analizado. |
Recomendaciones del QSA
Teniendo en cuenta las diferencias entre estos dos tipos de pruebas, es muy importante que las entidades cliente gestionen sus expectativas respecto a los entregables de cada prueba para evitar sorpresas durante la evaluación formal:
- Se recomienda validar la idoneidad, conocimiento y experiencia del personal a cargo de las pruebas antes de su ejecución. De ser posible, añadir esta información en los reportes, tanto de escaneos como de pruebas de penetración.
- Se recomienda que se añada un listado de las herramientas empleadas durante la prueba.
- En las pruebas de penetración, se recomienda solicitar evidencia de los intentos de explotación (capturas de pantalla, videos, imágenes, etc.), asà como el detalle de cómo se llegó a esa conclusión. La intención es que esta actividad sea replicable para comprobarla en un entorno real o controlado.
- La sola ejecución de una herramienta automatizada no se puede catalogar como un entregable válido para una prueba de penetración. Se requiere que siempre haya un proceso manual realizado por un profesional competente.
- Finalmente, el entregable de estas pruebas no debe describir solamente lo que se ha encontrado, sino que también debe proveer a la entidad de alternativas de mitigación y corrección y, en el caso que no se puedan realizar las correcciones «estándar», enumerar potenciales controles compensatorios, siempre desde la perspectiva de la gestión del riesgo.
Las pruebas de penetración siempre son con terceros, en la norma no indica que se pueda ejecutar con internos siempre se pide terceros.
Hola Lola:
Los requerimientos 11.4.2, 11.4.3 y 11.4.5 indican lo siguiente respecto al personal encargado de las pruebas de penetración internas, externas y de segmentación:
• By a qualified internal resource or qualified external third-party
• Organizational independence of the tester exists (not required to be a QSA or ASV).
sigue siento un tercero Organizational independence of the tester he visto algunas auditorias y no admiten los QSA que sea interno siempre piden respaldo que no tengan relación con la empresa.
Bueno, aquà hay que diferenciar entre lo que es «obligatorio» y lo que es «recomendado». El uso de un tercero para los pentests es una opción y, si una entidad quiere hacerlo de esa manera, no tiene problema. Es más bien una cuestión de gustos, presupuesto y personal. Lo que no puede suceder es que el QSA obligue a la entidad a contratar a un tercero para los pentests cuando el requerimiento permite que también lo realice personal interno con conocimiento.