El ponerse a si mismo o a un miembro del equipo dentro de la organización objetivo durante una prueba de penetración, puede ser una forma expedita de acceder hacia la infraestructura de la red desde detrás de los controles perimetratles. Es frecuentemente más fácil alcanzar el objetivo desde el interior del edificio comparándolo con el exterior. Penetrar físicamente la organización objetivo para el propósito de obtener información sensible podría no parecer inmediatamente obvio. De hecho, un acceso físico es un factor común en crímenes cibernéticos, especialmente en el robo de información privada personal para propósito de robo de identidad.

Una brecha en los controles del perímetro de cualquier organización variarán en dificultad, dependiendo de lo sofisticado de los sistemas y procedimientos empleados en la organización para prevenir tales brechas. Incluso si se utilizan sistemas sofisticados tales como cerraduras biométricas, estos frecuentemente pueden ser evitados, debido a procedimientos relajados o inadecuadamente seguidos. Por el contrario, un entorno aparentemente abierto puede ser muy difícil de romper, si el personal de la organización objetivo está bien entrenado y observa los procedimientos apropiados. Un profesional en pruebas de penetración debe hacer una evaluación precisa del entorno antes de intentar una penetración física. Si el intento es notado, toda la prueba de penetración puede estar comprometida, porque los empleados de la organización objetivo hablarán sobre un intento realizado.

Esta actividad frecuentemente requiere buenas habilidades en ingeniería social. Una vez el profesional en pruebas de penetración se establece detrás de los controles perimetrales de la organización, las oportunidades de ataque son abundantes.

Fuentes:

https://www.slideshare.net/Hykeos/physical-penetration-testing-rootedcon...