# Diferencias entre un pentest tradicional y un pentest cloud

Realizar un pentest (prueba de penetración) en un entorno tradicional contra uno en la nube presenta diferencias significativas debido a la naturaleza y arquitectura de cada entorno. A continuación, detallo algunas de las diferencias clave entre un pentest tradicional y un pentest en la nube:

## <mark style="color:orange;">1.</mark> <mark style="color:orange;"></mark><mark style="color:orange;">**Alcance y Perímetro**</mark>

* <mark style="color:orange;">**Pentest Tradicional**</mark><mark style="color:orange;">:</mark> El alcance se centra en la infraestructura interna, incluyendo servidores físicos, redes internas y aplicaciones alojadas en las propias instalaciones de la empresa. El perímetro es más definido y controlado.
* <mark style="color:orange;">**Pentest Cloud**</mark><mark style="color:orange;">:</mark> El alcance se expande a la infraestructura en la nube, que incluye servicios gestionados por el proveedor de la nube, entornos virtualizados y APIs. El perímetro es más difuso y puede abarcar múltiples servicios y regiones geográficas.

## <mark style="color:orange;">2.</mark> <mark style="color:orange;"></mark><mark style="color:orange;">**Modelo de Responsabilidad**</mark>

* <mark style="color:orange;">**Pentest Tradicional**</mark><mark style="color:orange;">:</mark> La responsabilidad de la seguridad recae casi en su totalidad en la organización que posee la infraestructura.
* <mark style="color:orange;">**Pentest Cloud**</mark><mark style="color:orange;">:</mark> Existe un modelo de responsabilidad compartida entre el proveedor de la nube y el cliente. El pentest debe considerar qué aspectos están bajo el control del cliente y cuáles son gestionados por el proveedor.

## <mark style="color:orange;">3.</mark> <mark style="color:orange;"></mark><mark style="color:orange;">**Técnicas y Herramientas**</mark>

* <mark style="color:orange;">**Pentest Tradicional**</mark><mark style="color:orange;">:</mark> Las técnicas y herramientas se centran en redes internas, sistemas operativos y aplicaciones locales. Esto incluye escaneo de puertos, evaluación de vulnerabilidades de servidores y aplicaciones web internas, entre otros.
* <mark style="color:orange;">**Pentest Cloud**</mark><mark style="color:orange;">:</mark> Se requieren herramientas y técnicas específicas para la nube, como la evaluación de configuraciones de servicios en la nube, pruebas de seguridad en APIs, y análisis de políticas de IAM (Identity and Access Management).

## <mark style="color:orange;">4.</mark> <mark style="color:orange;"></mark><mark style="color:orange;">**Regulaciones y Permisos**</mark>

* <mark style="color:orange;">**Pentest Tradicional**</mark><mark style="color:orange;">:</mark> Generalmente, las pruebas se realizan con pleno control y sin necesidad de permisos externos, siempre que se respeten las leyes y normativas aplicables.
* <mark style="color:orange;">**Pentest Cloud**</mark><mark style="color:orange;">:</mark> En algunas ocasiones, sera necesario obtener permisos del proveedor de la nube antes de realizar pruebas, ya que las actividades de pentesting podrían afectar a otros clientes o al propio proveedor. Muchos proveedores de la nube tienen políticas específicas y procesos de aprobación para las pruebas de penetración.

## <mark style="color:orange;">5.</mark> <mark style="color:orange;"></mark><mark style="color:orange;">**Consideraciones de Seguridad**</mark>

* <mark style="color:orange;">**Pentest Tradicional**</mark><mark style="color:orange;">:</mark> Las preocupaciones de seguridad suelen estar relacionadas con la red interna, el hardware y las aplicaciones locales.
* <mark style="color:orange;">**Pentest Cloud**</mark><mark style="color:orange;">:</mark> Las preocupaciones de seguridad incluyen la configuración de la nube, el acceso y la gestión de identidades, los servicios de almacenamiento en la nube, y la seguridad de las aplicaciones SaaS.

## <mark style="color:orange;">6.</mark> <mark style="color:orange;"></mark><mark style="color:orange;">**Visibilidad y Acceso**</mark>

* <mark style="color:orange;">**Pentest Tradicional**</mark><mark style="color:orange;">:</mark> Los pentesters tienen, en general, una buena visibilidad y acceso a la infraestructura y las redes que están probando.
* <mark style="color:orange;">**Pentest Cloud**</mark><mark style="color:orange;">:</mark> La visibilidad y el acceso pueden estar limitados debido a la naturaleza de los servicios en la nube. Por ejemplo, los pentesters no pueden tener acceso directo a la capa subyacente de hardware o a ciertos detalles de la red en la nube.

En resumen, mientras que un pentest tradicional se enfoca en la infraestructura y aplicaciones internas con un control directo y un perímetro claro, un pentest en la nube debe adaptarse a un entorno más dinámico y distribuido, con un modelo de responsabilidad compartida y restricciones específicas impuestas por los proveedores de servicios en la nube.


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://books.spartan-cybersec.com/cpna/fundamentos-ofensivos/que-es-un-pentesting/diferencias-entre-un-pentest-tradicional-y-un-pentest-cloud.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.