OSSTMM

Visión general de OSSTMM

OSSTMM (Open Source Security Testing Methodology Manual) es una metodología abierta y científica para realizar testeo de seguridad de forma medible, repetible y verificable. A diferencia de enfoques puramente técnicos, OSSTMM se centra en cómo medir la seguridad real de un sistema, proceso o entorno, no solo en enumerar vulnerabilidades.

  • Define qué probar, cómo probar y cómo interpretar los resultados
  • Enfatiza la objetividad, evitando métricas subjetivas
  • Aplicable a entornos técnicos, humanos y físicos
  • Diseñada para auditorías, pentesting, red teaming y evaluaciones de riesgo

Principios fundamentales

  • Medición basada en hechos observables
  • Eliminación de suposiciones y juicios subjetivos
  • Separación entre operaciones, controles y limitaciones
  • Resultados comparables entre diferentes evaluaciones
  • Transparencia metodológica y trazabilidad

Ámbitos de testeo (Channels)

OSSTMM organiza el testeo en canales, que representan superficies de interacción y exposición.

  • Human Security Ingeniería social, concienciación, procesos humanos, confianza y manipulación
  • Physical Security Accesos físicos, controles perimetrales, vigilancia, hardware expuesto
  • Wireless Security Wi-Fi, Bluetooth, RF, protocolos inalámbricos y sus configuraciones
  • Telecommunications Redes telefónicas, VoIP, señalización y servicios asociados
  • Data Networks Redes IP, servicios, protocolos, arquitecturas y segmentación

Tipos de interacciones

Las interacciones definen cómo se accede o se intenta acceder a un objetivo.

  • Interacción directa
  • Interacción indirecta
  • Interacción accidental
  • Interacción intencional
  • Interacción pasiva
  • Interacción activa

Estas interacciones permiten clasificar el impacto y la exposición real durante el testeo.

Reglas de compromiso (Rules of Engagement)

OSSTMM enfatiza reglas claras antes de iniciar cualquier prueba.

  • Alcance definido y documentado
  • Autorización explícita
  • Límites técnicos, humanos y legales
  • Gestión del riesgo durante el test
  • Registro detallado de acciones realizadas

Métricas y medición de seguridad

Uno de los elementos diferenciales de OSSTMM es su enfoque en métricas cuantificables.

  • OpSec (Operational Security): nivel de exposición operativa
  • Limitaciones: restricciones técnicas o procedimentales
  • Controles: mecanismos de defensa existentes
  • Superficie de ataque: número y tipo de puntos de interacción

Estas métricas permiten comparar estados de seguridad antes y después de aplicar controles.

Trust y confianza

OSSTMM introduce el concepto de confianza medible.

  • Confianza basada en controles verificables
  • Eliminación de confianza implícita
  • Evaluación de dependencias entre sistemas
  • Impacto de la confianza excesiva en la seguridad

OSSTMM vs otras metodologías

  • Enfoque científico frente a enfoques checklist
  • No se centra exclusivamente en vulnerabilidades
  • Complementaria a OWASP, PTES y NIST
  • Ideal para auditorías profundas y comparativas

Casos de uso habituales

  • Auditorías de seguridad integrales
  • Pentesting estructurado y repetible
  • Evaluaciones de riesgo organizacional
  • Comparación de mejoras de seguridad en el tiempo
  • Validación de controles de seguridad

Relación con Pentesting

Dentro de Pentesting, OSSTMM se utiliza como:

  • Marco metodológico para definir el alcance
  • Base para justificar hallazgos con métricas
  • Soporte para informes ejecutivos y técnicos
  • Referencia para testeo más allá de lo puramente técnico

Documentación y recursos oficiales

OSSTMM — Expansión avanzada de conceptos

RAV (Risk Assessment Value)

El RAV es uno de los conceptos más distintivos de OSSTMM y sirve para expresar el nivel real de riesgo en función de hechos medidos durante el testeo.

  • No representa probabilidad teórica, sino exposición comprobada
  • Se basa en:
    • Superficie de ataque observada
    • Controles efectivos
    • Limitaciones reales
  • Permite comparar riesgos entre:
    • Diferentes sistemas
    • Diferentes momentos temporales
    • Antes y después de aplicar mitigaciones

STAR (Security Test Audit Report)

OSSTMM define un formato de reporte específico: STAR, orientado a auditoría y trazabilidad.

  • Documenta exactamente:
    • Qué se probó
    • Cómo se probó
    • Qué interacciones ocurrieron
    • Qué controles fallaron o funcionaron
  • Facilita revisiones externas e internas
  • Reduce ambigüedad legal y técnica
  • Compatible con auditorías formales y compliance

Tipos de testeo según OSSTMM

OSSTMM clasifica el testeo según el nivel de conocimiento y visibilidad.

  • Black Box Sin información previa; mide exposición externa real
  • Grey Box Con información parcial; evalúa controles internos
  • White Box Con acceso completo; enfocado en verificación profunda
  • Blind Testing Simula ataques reales sin aviso previo
  • Double Blind Solo la dirección conoce el test; mide detección y respuesta

Limitaciones operativas

Las limitaciones son un componente clave y no deben confundirse con controles.

  • Pueden ser:
    • Técnicas (hardware, software)
    • Humanas (horarios, formación)
    • Organizativas (procesos, políticas)
  • Una limitación puede:
    • Reducir temporalmente el riesgo
    • Aumentar el impacto si se elimina
  • OSSTMM obliga a documentarlas explícitamente

Controles efectivos vs controles aparentes

OSSTMM distingue entre controles reales y controles de apariencia.

  • Controles efectivos:
    • Reducen interacciones
    • Son verificables
    • Funcionan bajo prueba
  • Controles aparentes:
    • Existen pero no mitigan
    • Generan falsa sensación de seguridad
  • Este enfoque evita auditorías basadas solo en checklists

Seguridad operacional (OpSec)

La OpSec mide cómo las operaciones diarias afectan la seguridad.

  • Exposición generada por procesos normales
  • Dependencias invisibles entre sistemas
  • Accesos heredados o implícitos
  • Flujos de información no documentados

OSSTMM considera que muchos fallos graves provienen de la operación, no de la tecnología.

Superficie de ataque dinámica

OSSTMM trata la superficie de ataque como variable, no estática.

  • Cambia con:
    • Nuevos servicios
    • Cambios organizativos
    • Proveedores externos
    • Automatización y cloud
  • Obliga a:
    • Reevaluaciones periódicas
    • Comparación histórica de resultados

Separación entre vulnerabilidad y exposición

OSSTMM no se centra únicamente en vulnerabilidades.

  • Vulnerabilidad ≠ Riesgo
  • Exposición sin vulnerabilidad sigue siendo riesgo
  • Vulnerabilidad sin exposición puede ser irrelevante
  • Este enfoque mejora la priorización real

Integración con frameworks y estándares

OSSTMM se usa como base metodológica y se integra con:

  • ISO 27001 para gobierno de seguridad
  • NIST para control y gestión de riesgos
  • OWASP para aplicaciones web
  • PTES para ejecución de pentesting técnico
  • MITRE ATT&CK para modelar comportamientos ofensivos

Uso estratégico en organizaciones

Más allá del pentesting, OSSTMM se utiliza para:

  • Evaluar madurez de seguridad
  • Justificar inversiones en controles
  • Comparar proveedores y terceros
  • Validar decisiones de arquitectura
  • Apoyar gestión de riesgos a nivel directivo

Errores comunes al aplicar OSSTMM

  • Usarlo como checklist técnico
  • Ignorar canales no técnicos
  • No documentar limitaciones
  • Confundir métricas con opiniones
  • Mezclar OSSTMM con scoring subjetivo

Evolución y relevancia actual

Aunque OSSTMM no se actualiza con la misma frecuencia que otros marcos:

  • Sigue siendo válido por su enfoque científico
  • Es independiente de tecnologías concretas
  • Encaja especialmente bien en:
    • Auditorías complejas
    • Entornos críticos
    • Evaluaciones comparativas a largo plazo

OSSTMM — Ejemplo práctico de aplicación

Contexto del escenario

Organización mediana con los siguientes activos:

  • Red corporativa interna
  • Portal web público
  • Red Wi-Fi para empleados
  • Oficina física con control de acceso
  • Personal administrativo y técnico

Objetivo del test:

  • Medir la exposición real de seguridad usando OSSTMM
  • Obtener métricas comparables y reproducibles
  • Identificar controles efectivos y aparentes

Definición del alcance

Canales incluidos en el testeo:

  • Data Networks
  • Wireless Security
  • Physical Security
  • Human Security

Reglas definidas:

  • Testeo autorizado en horario laboral
  • Sin denegación de servicio
  • Ingeniería social limitada a correos simulados
  • Acceso físico solo a zonas comunes

Channel: Data Networks

Interacciones observadas

  • Escaneo activo de red externa
  • Enumeración de servicios públicos
  • Interacción directa con portal web
  • Acceso indirecto a red interna vía VPN

Hallazgos medidos

  • 3 servicios expuestos innecesariamente
  • Segmentación interna deficiente
  • VPN sin MFA
  • Firewall correctamente configurado

Evaluación OSSTMM

  • Superficie de ataque: alta
  • Controles efectivos: firewall perimetral
  • Controles aparentes: ACL internas mal aplicadas
  • Limitaciones: horario de acceso administrativo

Resultado:

  • Alta exposición operativa pese a controles visibles

Channel: Wireless Security

Interacciones observadas

  • Escaneo pasivo de redes Wi-Fi
  • Autenticación activa con credenciales robadas
  • Captura de handshakes

Hallazgos medidos

  • WPA2 sin rotación de claves
  • Red de invitados mal segmentada
  • Señal accesible desde el exterior

Evaluación OSSTMM

  • Superficie de ataque: media
  • Controles efectivos: cifrado WPA2
  • Controles aparentes: separación lógica
  • Limitaciones: alcance físico de la señal

Resultado:

  • Riesgo incrementado por confianza implícita

Channel: Physical Security

Interacciones observadas

  • Observación pasiva de accesos
  • Intento de tailgating
  • Inspección de controles visibles

Hallazgos medidos

  • Recepción sin verificación de identidad
  • Puertas internas sin control
  • Cámaras sin monitoreo activo

Evaluación OSSTMM

  • Superficie de ataque: media
  • Controles efectivos: tarjetas de acceso perimetral
  • Controles aparentes: videovigilancia
  • Limitaciones: presencia de personal

Resultado:

  • Controles existen pero no reducen interacción

Channel: Human Security

Interacciones observadas

  • Phishing simulado
  • Solicitudes de información básicas
  • Observación de procesos internos

Hallazgos medidos

  • 40% de clics en phishing
  • Entrega de información no crítica
  • Falta de verificación de identidad interna

Evaluación OSSTMM

  • Superficie de ataque: alta
  • Controles efectivos: ninguno medible
  • Controles aparentes: políticas documentadas
  • Limitaciones: concienciación informal

Resultado:

  • Exposición humana significativa

Cálculo del RAV

Factores considerados:

  • Alta cantidad de interacciones exitosas
  • Controles no verificables
  • Dependencia de limitaciones temporales

Resultado RAV:

  • Riesgo operativo elevado
  • Riesgo transversal entre canales

STAR — Resumen de auditoría

Elementos documentados:

  • Alcance y reglas
  • Interacciones por canal
  • Controles y limitaciones
  • Métricas observables
  • Evidencias reproducibles

El informe permite:

  • Repetir el test en el futuro
  • Comparar mejoras tras mitigaciones
  • Auditoría externa independiente

Decisiones basadas en OSSTMM

Acciones priorizadas:

  • Reducir superficie de ataque antes de añadir controles
  • Eliminar confianza implícita entre redes
  • Implementar controles humanos medibles
  • Reevaluar periódicamente los canales críticos

Diferencia frente a un pentest tradicional

  • No se priorizan vulnerabilidades aisladas
  • Se mide exposición real
  • Se comparan estados de seguridad
  • Se eliminan conclusiones subjetivas
  • Se justifica cada hallazgo con hechos

OSSTMM — Recursos y Tools (2025)

Documentación Oficial y Manuales

Herramientas de Apoyo para Pentesting y Métricas OSSTMM

Gestión de pruebas & reportes

  • Dradis Framework — plataforma colaborativa para centralizar hallazgos, evidencias y notas durante pruebas de seguridad; facilita la trazabilidad y reporting alineado con OSSTMM, PTES y otros estándares

Plataformas completas de testeo

  • Kali Linux — distribución líder para pentesting en 2025; incluye herramientas para todos los canales OSSTMM (Data Networks, Wireless, Physical support tools, etc.)
  • Metasploit Framework — framework para explotación, validación de impacto y simulación de ataques controlados

Escaneo y explotación

  • Nmap — descubrimiento de hosts, servicios y superficies de ataque; fundamental para mediciones iniciales OSSTMM
  • Burp Suite — testing de aplicaciones web, proxy interceptador y escaneo dinámico
  • OWASP ZAP — alternativa open source para análisis dinámico de aplicaciones web

Escaneo de Vulnerabilidades & Automatización

AI y Automatización Avanzada

No son herramientas OSSTMM puras, pero reflejan el estado del arte en 2025

  • AutoPentest / AutoPentester — frameworks experimentales basados en agentes de IA para automatizar fases completas de pentesting
  • PentestEval — benchmark para evaluar capacidades de LLM en tareas de pentesting

Métricas y Documentación de Resultados

Recursos Complementarios

Cursos, Vídeos y Formación

Integración práctica en 2025

  • Usa Kali Linux como entorno base y separa ejecución técnica de medición OSSTMM
  • Combina escaneo automatizado con validación manual de interacciones reales
  • Centraliza evidencias con Dradis y genera reportes tipo STAR
  • Experimenta con IA solo en entornos controlados y valida siempre resultados manualmente