Consiste en una prueba de seguridad ofensiva que simula un ciberataque real en un entorno controlado. El objetivo, es identificar las debilidades que podrían ser aprovechadas por un atacante respecto a activos importantes determinados por el cliente (ejemplo AD, ERP...) y si es posible, explotarlos.