Login Probar gratis
Pentesting: cómo un test de intrusión puede salvar tu empresa

Pentesting: cómo un test de intrusión puede salvar tu empresa

por MataSpam Seguridad Empresarial

Un pentesting bien ejecutado puede ser la diferencia entre descubrir tus vulnerabilidades antes que los atacantes o leer el nombre de tu empresa en la siguiente filtración de Have I Been Pwned. Un test de intrusión simula ataques reales contra tu infraestructura para identificar fallos antes de que alguien con peores intenciones los explote. Hablamos de contratar a profesionales que intenten romper tus sistemas con tu permiso por escrito, documenten cada agujero y te entreguen un informe detallado para tapar las grietas. La prueba de penetración no es un lujo reservado a multinacionales: cualquier pentest a empresa mediana revela problemas que ningún antivirus detecta. El hacking ético en empresa existe precisamente porque los firewalls solos no bastan, y la única manera honesta de saber si tu defensa aguanta es ponerla a prueba.

Qué es exactamente un pentesting y qué lo diferencia de otras auditorías

Un pentest no es un escaneo automático con Nessus ni un informe generado por una herramienta SaaS de cumplimiento. Hablamos de un ejercicio ofensivo manual donde profesionales certificados (OSCP, CRTO, OSCE, GPEN) intentan comprometer activos concretos siguiendo metodologías reconocidas como OWASP Testing Guide, PTES o NIST SP 800-115.

La diferencia con un análisis de vulnerabilidades es brutal. El escáner te dice "tienes un Apache 2.4.49 vulnerable a CVE-2021-41773". El pentester te demuestra que con esa vulnerabilidad ha leído el fichero de configuración de tu base de datos, ha pivotado al servidor de backups y ha exfiltrado tres meses de facturación. Una cosa es teoría; la otra es prueba forense con capturas, comandos y timeline.

Las auditorías de cumplimiento (ISO 27001, ENS, PCI-DSS) verifican que existen controles documentales. El pentesting verifica que esos controles funcionan cuando alguien intenta saltárselos a las tres de la madrugada un domingo.

Tipos de pentest según el objetivo y el alcance

No todos los tests de intrusión sirven para lo mismo, y contratar el equivocado es tirar el dinero con elegancia.

  • Pentest externo: ataca lo que está expuesto a internet. Web corporativa, API públicas, VPN, servidores de correo, paneles de administración mal escondidos.
  • Pentest interno: simula un atacante que ya está dentro (empleado descontento, malware en un portátil, USB conectado en recepción). Aquí salen los Active Directory mal configurados, las contraseñas en GPO y los servicios SMB sin firmar.
  • Pentest de aplicación web: caza inyecciones SQL, fallos de autenticación, IDOR, deserializaciones inseguras y todo el catálogo del OWASP Top 10. Si tu negocio depende de una aplicación, este es prioritario.
  • Pentest de aplicación móvil: revisa el binario, la comunicación con el backend y el almacenamiento local. Más relevante si manejas datos sanitarios o financieros.
  • Red team: el siguiente nivel. Objetivos definidos (acceder a la nómina del CEO, exfiltrar el código fuente), sin avisar a los equipos defensivos. Mide la capacidad de detección y respuesta.
  • Pentest físico y de ingeniería social: porque a veces la vulnerabilidad es el becario que aguanta la puerta a un desconocido con una caja de Amazon.

Antes de pedir presupuestos conviene tener claro el alcance. Un pentest sin scope definido se convierte en una factura abierta y un informe genérico que no sirve para priorizar.

Metodología real: cómo trabaja un pentester de verdad

El proceso estándar sigue cinco fases que cualquier proveedor serio debería documentar en su propuesta.

  1. Reconocimiento (OSINT): el atacante recopila información pública. Subdominios con Amass o Subfinder, metadatos con FOCA, credenciales filtradas en dumps anteriores, tecnologías con Wappalyzer. Aquí se descubre lo que tu equipo de marketing ha publicado sin pensar.
  2. Escaneo y enumeración: Nmap para puertos, Nikto y Nuclei para vulnerabilidades web, BloodHound para mapear Active Directory. El objetivo es entender la superficie de ataque real.
  3. Explotación: aprovechar las vulnerabilidades encontradas. Metasploit, Burp Suite Professional, sqlmap, Impacket, herramientas custom. Aquí se demuestra el impacto, no se especula.
  4. Post-explotación y movimiento lateral: una vez dentro, escalar privilegios y pivotar. Mimikatz, Rubeus, técnicas de Pass-the-Hash, Kerberoasting, abuso de relaciones de confianza entre dominios.
  5. Reporting: el entregable. Resumen ejecutivo para dirección, hallazgos técnicos detallados con CVSS, evidencias reproducibles y recomendaciones priorizadas.

Si quieres entender cómo se estudian las muestras maliciosas que aparecen en estos ejercicios, este artículo sobre análisis de malware en sandbox explica el flujo que siguen los analistas en entornos controlados.

Vulnerabilidades que aparecen una y otra vez

Después de años de informes, los hallazgos repetitivos son sospechosamente parecidos en empresas de todos los tamaños.

VulnerabilidadFrecuencia observadaImpacto típico
Contraseñas débiles o por defectoMuy frecuenteAcceso administrativo directo
Software sin parchear (Exchange, Confluence, VMware)Muy frecuenteEjecución remota de código
Inyección SQL en formularios legacyFrecuenteExfiltración de bases de datos
XSS (Cross-Site Scripting)FrecuenteRobo de sesiones, defacement
Servicios expuestos sin autenticación (Redis, MongoDB, Elastic)FrecuenteAcceso completo a datos
Active Directory mal configurado (Kerberoasting, AS-REP Roasting)Muy frecuenteCompromiso del dominio
Backups accesibles vía SMB sin credencialesFrecuenteRobo de información histórica

El patrón es claro: la mayoría de incidentes graves no provienen de exploits sofisticados de día cero, sino de fallos básicos que llevan años documentados. CVE-2023-23397 (Outlook), CVE-2021-44228 (Log4Shell) o CVE-2024-3400 (PAN-OS) siguen apareciendo en escaneos meses después de haberse hecho públicos.

Realizar un pentest sin autorización escrita es un delito tipificado en el artículo 197 bis del Código Penal. Por eso el primer documento de cualquier engagement es la Rules of Engagement firmada por ambas partes, donde se detalla alcance, ventanas temporales, IPs origen autorizadas y procedimiento de escalado en caso de incidente.

Varias normativas hacen recomendables (o directamente obligatorios) los tests de intrusión periódicos:

  • Esquema Nacional de Seguridad (ENS): el Real Decreto 311/2022 exige auditorías técnicas periódicas en sistemas de categoría media y alta del sector público y sus proveedores.
  • RGPD y LOPDGDP: el artículo 32 obliga a "evaluar regularmente la eficacia de las medidas técnicas y organizativas". Un pentest documenta esa evaluación.
  • NIS2: la directiva europea (Directiva UE 2022/2555), traspuesta en España, obliga a entidades esenciales e importantes a implementar pruebas de seguridad regulares. El régimen sancionador llega a los 10 millones de euros o el 2% de la facturación global.
  • DORA: para el sector financiero, exige TLPT (Threat-Led Penetration Testing) cada tres años en entidades significativas.
  • PCI-DSS 4.0: si procesas tarjetas, el requisito 11.4 obliga a pentest interno y externo anual y tras cambios significativos.

Para pymes que no caen bajo NIS2 ni DORA, sigue siendo recomendable. Esta guía básica de ciberseguridad para pymes con presupuesto limitado ayuda a priorizar antes de invertir en un pentest completo.

Cuánto cuesta y cada cuánto se hace

Los precios varían según alcance, profundidad y reputación del proveedor. Según estimaciones del mercado español en 2025, un pentest web de aplicación media puede situarse aproximadamente entre 5.000 y 15.000 euros. Un pentest de infraestructura interna en empresa mediana, en torno a 8.000 a 25.000 euros. Un ejercicio de red team completo supera con frecuencia los 40.000 euros.

La frecuencia recomendada depende del riesgo. Como mínimo, una vez al año. Tras cambios significativos en infraestructura (migración a cloud, despliegue de aplicación nueva, fusiones) conviene repetir. En sectores críticos, semestral o continuo mediante programas de bug bounty complementarios en plataformas como HackerOne o Intigriti.

Si tu organización está construyendo o renovando su presencia digital corporativa, integrar el pentest en la fase previa al lanzamiento ahorra mucho dinero comparado con descubrir vulnerabilidades cuando ya hay clientes pagando.

Cómo elegir proveedor sin equivocarse

El mercado está lleno de empresas que venden "pentest" pero entregan un informe de Nessus rebautizado. Señales que separan a profesionales de oportunistas:

  • Certificaciones individuales del equipo: OSCP, OSWE, CRTO, GPEN, OSCE3. No vale solo CEH.
  • Metodología documentada y referenciada (PTES, OWASP, NIST).
  • Informes de muestra anonimizados que se puedan revisar antes de contratar.
  • Seguro de responsabilidad civil profesional.
  • Disponibilidad para retest tras corregir hallazgos, idealmente incluido en el precio.
  • Clarificación de qué herramientas usan y qué porcentaje del trabajo es manual.
  • Transparencia sobre qué NO van a hacer (DDoS, fuzzing destructivo, ingeniería social sin autorización explícita).

Los pentesters serios también explican lo que NO encontraron, no solo presumen de hallazgos. Un informe que solo lista vulnerabilidades sin contextualizar el riesgo real para tu negocio es un documento incompleto.

Qué hacer con el informe

Recibir un informe con cuarenta hallazgos críticos y guardarlo en un Drive es el patrón más común y el más inútil. El valor del pentest está en la remediación.

  1. Priorizar según CVSS y exposición real, no según el orden del informe.
  2. Asignar responsable y fecha límite para cada hallazgo.
  3. Aplicar parches o mitigaciones temporales mientras se corrige la causa raíz.
  4. Solicitar retest específico para vulnerabilidades críticas.
  5. Documentar en el SGSI o sistema de gestión de riesgos.
  6. Comunicar al comité de dirección con métricas comparables (mismo proveedor, mismo alcance) año tras año.

Y si quieres complementar la formación de tu equipo con artículos divulgativos sobre amenazas cotidianas, blogs como Fácil para Todos ofrecen contenido de seguridad accesible para usuarios finales que no son del departamento técnico.

Preguntas frecuentes

Cuánto dura un pentest típico

Entre 5 y 15 días laborables para un alcance medio (una aplicación web o una infraestructura interna mediana), más una semana adicional para reporting. Red teams completos pueden extenderse de 6 a 12 semanas según objetivos.

Es lo mismo un pentest que un análisis de vulnerabilidades

No. El análisis de vulnerabilidades es automatizado y produce listados de fallos potenciales. El pentest es manual, explota esos fallos para demostrar impacto real y descubre vulnerabilidades lógicas que ningún escáner detecta.

El pentest puede tirar mis sistemas

Un pentest profesional minimiza ese riesgo mediante reglas claras, ventanas temporales pactadas y exclusión de pruebas destructivas. Aun así, conviene avisar al equipo de operaciones y tener backups recientes antes de empezar.

Necesito un pentest si ya tengo SOC y EDR

Sí. El pentest valida si esas defensas funcionan en la práctica. Muchos engagements demuestran que el SOC no detecta técnicas de evasión documentadas o que el EDR está mal configurado en servidores críticos.

Puedo hacer pentest a servicios cloud sin permiso del proveedor

Cada proveedor tiene su política. AWS, Azure y Google Cloud permiten pentests sobre tus propios recursos sin notificación previa para servicios estándar, pero exigen autorización para pruebas que generen tráfico anómalo elevado. Revisa siempre la política vigente antes de empezar.

El siguiente paso

Solicita hoy un escaneo gratuito de tu superficie externa con Shodan (busca tu dominio principal) y revisa qué servicios tienes expuestos a internet que no deberías. Es la prueba más barata y rápida para entender por dónde empezaría cualquier atacante (o pentester) a buscar el primer agujero.

pentesting test intrusión prueba penetración pentest empresa hacking ético empresa
MataSpam

Somos un equipo obsesionado con la ciberseguridad. Creamos guías prácticas para que no te la cuelen online. Sin edulcorantes, con mala leche y buen corazón.

Artículos relacionados

Gestión de accesos privilegiados (PAM): proteger las cuentas críticas
Seguridad Empresarial

Gestión de accesos privilegiados (PAM): proteger las cuentas críticas

SIEM: detección de amenazas en tiempo real para empresas
Seguridad Empresarial

SIEM: detección de amenazas en tiempo real para empresas

Segmentación de red: cómo limitar el impacto de un ciberataque
Seguridad Empresarial

Segmentación de red: cómo limitar el impacto de un ciberataque

← Volver al blog