Simula un escenario de ataque a la organización sin conocimiento alguno sobre ella Simula los métodos de ataque de un hacker con sus mismos recursos. El auditor sólo dispone de información pública sobre el objetivo, y a través de esta intenta identificar los agujeros de seguridad que puedan comprometer información sensible o las operaciones del sistema. Proporciona al cliente una evaluación realista del nivel de riesgo al que está expuesto el sistema.
Es la auditoría que se realiza sin dar ningún tipo de información al auditor y es el quien debe descubrir el segmento de red, los sistemas utilizados, la tecnología del sitio web, etc.
Es útil para simular un ataque de un intruso real y darnos una idea de las consecuencias que esto puede tener, puede llevar mas tiempo.