¿Qué es exactamente un pentest o prueba de penetración?

Un pentest (abreviatura de penetration test o prueba de penetración) es una simulación de ciberataque controlada y autorizada, llevada a cabo por profesionales de seguridad, con el objetivo de identificar vulnerabilidades en los sistemas, aplicaciones o redes de una organización antes de que lo haga un atacante real.

La diferencia clave con un análisis de vulnerabilidades automático es que en un pentest existe un factor humano: el pentester razona, encadena vulnerabilidades, explota fallos de lógica de negocio y simula el comportamiento real de un atacante avanzado. Los scanners automáticos como Nessus o Qualys son útiles, pero tienen una tasa de falsos positivos alta y no pueden detectar vulnerabilidades complejas que requieren contexto.

Dato clave: El 84% de las vulnerabilidades críticas que encontramos en auditorías profesionales no son detectadas por ningún scanner automático. Requieren análisis manual y encadenamiento de fallos.

¿Qué tipos de pentest existen?

Antes de contratar una auditoría de seguridad, es importante entender qué modalidad necesita tu empresa. Las principales son:

Según la información compartida con el auditor

  • Black Box (Caja Negra): El auditor no recibe ninguna información previa. Simula un atacante externo sin conocimiento del sistema. Ofrece el escenario más realista pero puede ser menos exhaustivo.
  • Grey Box (Caja Gris): El auditor recibe información parcial (credenciales de usuario básico, documentación de la arquitectura). Es el tipo más habitual en auditorías corporativas porque equilibra realismo y cobertura.
  • White Box (Caja Blanca): El auditor recibe acceso completo: código fuente, credenciales de administrador, arquitectura detallada. Es el más exhaustivo y el ideal para auditar aplicaciones en desarrollo.

Según el objetivo del pentest

  • Pentesting Web y API: Auditoría de aplicaciones web siguiendo la metodología OWASP Top 10. Cubre SQLi, XSS, IDOR, RCE, fallos de autenticación y lógica de negocio.
  • Red Teaming: Simulación de un adversario real con TTPs de grupos APT. Evalúa la capacidad de detección y respuesta de la organización (SOC, SIEM).
  • Cloud Security Audit: Revisión de configuraciones en AWS, Azure o GCP: políticas IAM, buckets expuestos, Kubernetes, secrets y pipelines CI/CD.
  • Pentest de Red Interna: Simula un atacante con acceso físico o una brecha inicial (p.ej. phishing exitoso). Evalúa el movimiento lateral, escalada de privilegios y acceso a activos críticos.
  • Ingeniería Social: Phishing dirigido (spear phishing), vishing y pruebas de concienciación del personal. Mide el eslabón humano de la seguridad.

¿Cuándo necesita tu empresa un pentest?

No existe una respuesta única, pero hay situaciones en las que un pentest es especialmente crítico:

  • Antes del lanzamiento de una aplicación web o API con datos sensibles de clientes.
  • Tras un cambio de arquitectura importante: migración a cloud, nuevo proveedor, cambio de infraestructura.
  • Para cumplir normativas: el ENS (Esquema Nacional de Seguridad), el RGPD/GDPR y estándares como ISO 27001 o PCI-DSS requieren o recomiendan auditorías periódicas.
  • Tras una brecha o incidente de seguridad para identificar el vector de entrada y verificar que está cerrado.
  • De forma periódica: las vulnerabilidades emergen continuamente. Un pentest anual o semestral es la práctica estándar en empresas con datos críticos.

Regulación en España: El Esquema Nacional de Seguridad (ENS) obliga a las entidades que prestan servicios a la Administración Pública a realizar auditorías de seguridad cada dos años. El RGPD implica la responsabilidad activa de proteger los datos personales, lo que incluye pruebas de seguridad periódicas.

¿Cómo funciona un pentest profesional? Las 5 fases

Un pentest bien ejecutado sigue una metodología estructurada. Estas son las fases de cualquier auditoría profesional:

01
Reconocimiento y OSINT
Recopilación de información pública: subdominios, tecnologías, empleados, proveedores, emails corporativos, registros DNS, servicios expuestos. Todo sin tocar los sistemas del objetivo.
02
Enumeración y análisis de superficie de ataque
Mapeo activo de puertos, servicios y versiones. Identificación de tecnologías, CMS, frameworks y vectores potenciales de ataque. En esta fase se define la estrategia de explotación.
03
Explotación
Ataque controlado sobre los vectores identificados. El objetivo no es causar daño sino demostrar el impacto real: acceso a datos, ejecución de código, escalada de privilegios. Cada hallazgo se documenta con evidencias.
04
Post-explotación y movimiento lateral
Una vez obtenido acceso inicial, el auditor evalúa hasta dónde puede llegar: pivoting a sistemas internos, escalada de privilegios, persistencia, acceso a bases de datos o Active Directory.
05
Informe y re-test
Entrega de informe ejecutivo (para dirección) y técnico (para el equipo IT), con cada vulnerabilidad clasificada por severidad CVSS 3.1, evidencias, impacto de negocio y plan de remediación priorizado. Incluye re-test de vulnerabilidades críticas tras los arreglos.

¿Cuánto cuesta un pentest en España?

El precio varía en función del tipo de auditoría, el alcance y la profundidad. Estos son los rangos habituales en el mercado español:

Tipo de Pentest Alcance Precio estimado
Pentesting Web (aplicación única) 1 aplicación, Grey Box 900 € – 3.500 €
Pentesting Web + API compleja App + múltiples endpoints 3.000 € – 8.000 €
Red Teaming Organización completa, 2-4 semanas 8.000 € – 25.000 €
Cloud Security Audit AWS / Azure / GCP 2.500 € – 7.000 €
Pentest de Red Interna Infraestructura corporativa 3.000 € – 10.000 €

Desconfía de ofertas de pentest por menos de 500 €. A ese precio es imposible realizar una auditoría manual real. Lo que se entrega es, en el mejor caso, un informe generado por un scanner automático con marca de agua.

¿Cómo elegir una empresa de pentesting?

No todas las empresas que ofrecen "auditorías de seguridad" realizan pentesting manual profesional. Estas son las preguntas clave que debes hacer antes de firmar un contrato:

  • ¿Qué certificaciones tienen los auditores? Las referencias del sector son OSCP, OSEP, CRTO, CEH y CREST. Son señal de que el auditor ha demostrado sus habilidades en entornos reales.
  • ¿El informe incluye evidencias técnicas o solo una lista de CVEs? Un buen informe debe mostrar capturas de pantalla del acceso obtenido, los comandos ejecutados y el impacto demostrado.
  • ¿Incluye re-test? Una vez remediadas las vulnerabilidades, el auditor debe verificar que los arreglos son efectivos. Si no se incluye re-test, la auditoría está incompleta.
  • ¿Firman un acuerdo de confidencialidad (NDA)? Cualquier empresa seria debe firmar un NDA antes de iniciar los trabajos.
  • ¿Tienen seguro de responsabilidad civil? Indispensable para cualquier auditor profesional.
// Resumen: diferencia entre scanner y pentest manual
Scanner automáticoPentest manual
Vulnerabilidades conocidas✓ Detecta✓ Detecta
Fallos de lógica de negocio✗ No detecta✓ Detecta
Encadenamiento de vulnerabilidades✗ No detecta✓ Detecta
Falsos positivosAlto (30-40%)Bajo (<5%)
Impacto de negocio demostrado✗ No✓ Sí
Válido para auditorías ENS/ISO✗ No✓ Sí
Pentesting Hacking Ético OWASP Red Team Auditoría Seguridad ENS RGPD OSCP
// ¿Necesitas una auditoría?
Solicita tu pentest sin compromiso

Analizamos tu caso de forma gratuita y te indicamos qué tipo de auditoría necesita tu empresa, el alcance recomendado y un presupuesto sin compromisos en menos de 24 horas.

Solicitar presupuesto →