# Diferencias entre un pentest tradicional y un pentest cloud

Realizar un pentest (prueba de penetración) en un entorno tradicional contra uno en la nube presenta diferencias significativas debido a la naturaleza y arquitectura de cada entorno. A continuación, detallo algunas de las diferencias clave entre un pentest tradicional y un pentest en la nube:

## <mark style="color:orange;">1.</mark> <mark style="color:orange;"></mark><mark style="color:orange;">**Alcance y Perímetro**</mark>

* <mark style="color:orange;">**Pentest Tradicional**</mark><mark style="color:orange;">:</mark> El alcance se centra en la infraestructura interna, incluyendo servidores físicos, redes internas y aplicaciones alojadas en las propias instalaciones de la empresa. El perímetro es más definido y controlado.
* <mark style="color:orange;">**Pentest Cloud**</mark><mark style="color:orange;">:</mark> El alcance se expande a la infraestructura en la nube, que incluye servicios gestionados por el proveedor de la nube, entornos virtualizados y APIs. El perímetro es más difuso y puede abarcar múltiples servicios y regiones geográficas.

## <mark style="color:orange;">2.</mark> <mark style="color:orange;"></mark><mark style="color:orange;">**Modelo de Responsabilidad**</mark>

* <mark style="color:orange;">**Pentest Tradicional**</mark><mark style="color:orange;">:</mark> La responsabilidad de la seguridad recae casi en su totalidad en la organización que posee la infraestructura.
* <mark style="color:orange;">**Pentest Cloud**</mark><mark style="color:orange;">:</mark> Existe un modelo de responsabilidad compartida entre el proveedor de la nube y el cliente. El pentest debe considerar qué aspectos están bajo el control del cliente y cuáles son gestionados por el proveedor.

## <mark style="color:orange;">3.</mark> <mark style="color:orange;"></mark><mark style="color:orange;">**Técnicas y Herramientas**</mark>

* <mark style="color:orange;">**Pentest Tradicional**</mark><mark style="color:orange;">:</mark> Las técnicas y herramientas se centran en redes internas, sistemas operativos y aplicaciones locales. Esto incluye escaneo de puertos, evaluación de vulnerabilidades de servidores y aplicaciones web internas, entre otros.
* <mark style="color:orange;">**Pentest Cloud**</mark><mark style="color:orange;">:</mark> Se requieren herramientas y técnicas específicas para la nube, como la evaluación de configuraciones de servicios en la nube, pruebas de seguridad en APIs, y análisis de políticas de IAM (Identity and Access Management).

## <mark style="color:orange;">4.</mark> <mark style="color:orange;"></mark><mark style="color:orange;">**Regulaciones y Permisos**</mark>

* <mark style="color:orange;">**Pentest Tradicional**</mark><mark style="color:orange;">:</mark> Generalmente, las pruebas se realizan con pleno control y sin necesidad de permisos externos, siempre que se respeten las leyes y normativas aplicables.
* <mark style="color:orange;">**Pentest Cloud**</mark><mark style="color:orange;">:</mark> En algunas ocasiones, sera necesario obtener permisos del proveedor de la nube antes de realizar pruebas, ya que las actividades de pentesting podrían afectar a otros clientes o al propio proveedor. Muchos proveedores de la nube tienen políticas específicas y procesos de aprobación para las pruebas de penetración.

## <mark style="color:orange;">5.</mark> <mark style="color:orange;"></mark><mark style="color:orange;">**Consideraciones de Seguridad**</mark>

* <mark style="color:orange;">**Pentest Tradicional**</mark><mark style="color:orange;">:</mark> Las preocupaciones de seguridad suelen estar relacionadas con la red interna, el hardware y las aplicaciones locales.
* <mark style="color:orange;">**Pentest Cloud**</mark><mark style="color:orange;">:</mark> Las preocupaciones de seguridad incluyen la configuración de la nube, el acceso y la gestión de identidades, los servicios de almacenamiento en la nube, y la seguridad de las aplicaciones SaaS.

## <mark style="color:orange;">6.</mark> <mark style="color:orange;"></mark><mark style="color:orange;">**Visibilidad y Acceso**</mark>

* <mark style="color:orange;">**Pentest Tradicional**</mark><mark style="color:orange;">:</mark> Los pentesters tienen, en general, una buena visibilidad y acceso a la infraestructura y las redes que están probando.
* <mark style="color:orange;">**Pentest Cloud**</mark><mark style="color:orange;">:</mark> La visibilidad y el acceso pueden estar limitados debido a la naturaleza de los servicios en la nube. Por ejemplo, los pentesters no pueden tener acceso directo a la capa subyacente de hardware o a ciertos detalles de la red en la nube.

En resumen, mientras que un pentest tradicional se enfoca en la infraestructura y aplicaciones internas con un control directo y un perímetro claro, un pentest en la nube debe adaptarse a un entorno más dinámico y distribuido, con un modelo de responsabilidad compartida y restricciones específicas impuestas por los proveedores de servicios en la nube.