Una prueba de penetración (pentest) es una práctica de seguridad ofensiva en la que especialistas simulan ataques reales contra los sistemas, redes o aplicaciones de una organización para encontrar vulnerabilidades antes de que los delincuentes puedan explotarlas. La práctica sigue metodologías reconocidas como PTES, OWASP y NIST SP 800-115, y es requerida o recomendada por estándares como ISO 27001, PCI-DSS y, en el contexto brasileño, la LGPD. Las empresas medianas y grandes realizan pruebas de penetración periódicamente y después de cualquier cambio significativo en su infraestructura.
Esta guía explica qué es un pentest, cómo funciona en la práctica, los tipos, cuánto cuesta, qué diferencia un informe sólido de uno genérico y cuándo su empresa debe realizar uno. Es la base para cualquier tomador de decisiones que necesite justificar, comprar o evaluar una prueba de penetración.
Qué es un pentest y por qué existe
Una prueba de penetración (pentest) es un ataque simulado y autorizado, ejecutado por profesionales que utilizan las mismas técnicas que un adversario real, con el objetivo de medir el riesgo concreto de una organización. La diferencia entre una prueba de penetración y un ataque real es solo una: la intención. El pentester encuentra la falla, demuestra que es explotable y entrega la forma de solucionarla, en lugar de causar daño.
La razón por la que existe es simple. La mayoría de las herramientas de seguridad evalúan el riesgo en teoría. Un escáner de vulnerabilidades señala que un puerto está abierto o que una versión de software está desactualizada. Una prueba de penetración responde a la pregunta que la junta directiva realmente quiere que se responda: ¿puede un atacante realmente entrar, moverse por la red y acceder a los datos críticos? Esa distinción entre el riesgo teórico y el riesgo explotable es el valor central de la prueba.
Según el informe de IBM Cost of a Data Breach 2024, el costo promedio global de una filtración de datos alcanzó los 4.88 millones de dólares, la cifra más alta jamás registrada. El DBIR de Verizon muestra consistentemente que la mayoría de las brechas implican la explotación de vulnerabilidades conocidas y el factor humano. Una prueba de penetración se enfoca precisamente en esos dos puntos: encuentra la falla explotable y prueba cómo responde la organización.
Cómo funciona una prueba de penetración en la práctica
Una prueba de penetración funciona en fases secuenciales que reproducen el comportamiento de un atacante real, desde el reconocimiento inicial hasta la documentación del impacto. Metodologías como PTES (Penetration Testing Execution Standard) y NIST SP 800-115 formalizan esas fases para garantizar la consistencia y la cobertura.
Las fases esenciales son:
- Planificación y alcance. Define qué se probará (objetivos, sistemas, aplicaciones), el nivel de acceso otorgado y las reglas de intervención. Este es el paso que previene el ruido operativo y establece la responsabilidad legal.
- Recopilación de información sobre el objetivo, desde fuentes públicas hasta la cartografía de infraestructura expuesta. Refleja lo que un atacante haría antes de actuar.
- Enumeración y análisis de vulnerabilidades. Identificación de servicios, versiones, configuraciones y posibles fallos. Aquí es donde las técnicas manuales se combinan con las herramientas, porque un escáner por sí solo no encuentra fallos en la lógica de negocio.
- El paso que separa una prueba de penetración de un escaneo. El especialista intenta explotar las fallas encontradas para probar que son reales y medir el impacto.
- Pos-explotación y movimiento lateral. Una vez dentro, el pentester evalúa hasta dónde puede llegar: escalando privilegios, alcanzando otros sistemas, llegando a los datos críticos. Esto es lo que muestra el riesgo real de un compromiso.
- Documentación e informes. Un registro de cada hallazgo, con evidencia, clasificación de gravedad y una recomendación de remediación priorizada.
La profundidad de cada fase depende del modelo de prueba, detallado más abajo bajo caja negra, caja gris y caja blanca.
Pentest, escaneo de vulnerabilidades y equipo Red: las diferencias
Confundir estos tres conceptos es el error más común entre quienes compran seguridad ofensiva por primera vez. Resuelven problemas diferentes y no se reemplazan mutuamente.
A escaneo de vulnerabilidades es automatizado y marca posibles fallas a escala, sin demostrar que sean explotables. A pentest es operado por humanos, valida qué fallos son realmente explotables y mide el impacto de un compromiso dentro de un ámbito y plazo definidos. A Equipo Rojo el ejercicio va más allá: simula un adversario real y persistente, sin un alcance limitado y sin avisar al equipo de defensa, con el fin de probar no solo la tecnología sino también a las personas y los procesos de detección y respuesta de la organización.
La regla práctica: un escaneo es para higiene continua, un pentest es para validar el riesgo en puntos específicos y un Red Team es para medir la madurez de detección de una organización que ya es madura. La mayoría de las empresas comienzan con un pentest y evolucionan a Red Team una vez que su SOC y sus controles están establecidos.
Tipos de pentest
Los tipos de pentest varían según el objetivo que se esté probando y el nivel de conocimiento previo concedido al especialista. Elegir el tipo correcto es lo que garantiza que la prueba responda a la pregunta de riesgo que importa a la organización.
Por nivel de acceso:
Modelo
Conocimiento previo
Simula
¿Cuándo usar?
Por objetivo:
- Penetration test externo: evalúa el perímetro expuesto a Internet (sitios web, VPN, servidores públicos, correo electrónico).
- Pentest interno: simula una amenaza ya dentro de la red, ya sea un empleado interno o un atacante que ha superado el perímetro.
- Prueba de penetración de aplicaciones web: se centra en las fallas de aplicación, guiado por el OWASP Top 10 (inyección, autenticación rota, exposición de datos).
- Prueba de penetración móvil y de API: evalúa aplicaciones y las interfaces que las alimentan.
- Ingeniería social: pone a prueba el factor humano con ataques simulados de phishing y pretexting.
Prueba de penetración de infraestructura en la nube: evalúa configuraciones de AWS, Azure o GCP, donde la mala configuración es la causa principal de exposición.
Metodologías de pentest reconocidas
Una pentest seria se ejecuta con una metodología formal, no con la improvisación de quien la ejecuta. La metodología garantiza cobertura, reproducibilidad y comparación entre pruebas a lo largo del tiempo. Las principales referencias:
- Estándar de Ejecución de Pruebas de Penetración (PTES) define las siete fases estándar de una prueba, desde la pre-participación hasta la presentación de informes.
- Guía de Pruebas OWASP y OWASP Top 10: la referencia para pruebas de aplicaciones web y la lista de las fallas más críticas.
- NIST SP 800-115: la guía técnica del NIST para la evaluación de la seguridad de la información.
- OSSTMM una metodología de pruebas de seguridad manual orientada a métricas.
- MITRE ATT&CK: una base de conocimientos de tácticas y técnicas de adversarios reales, utilizada para mapear y simular el comportamiento de amenazas.
Con estas metodologías, más allá de elevar la calidad técnica, es lo que hace que el informe sea defendible ante auditores y reguladores.
Cuánto cuesta una prueba de penetración
El costo de un pentest varía según el alcance, la complejidad y la profundidad, y en el mercado brasileño generalmente se cotiza por proyecto o por día de trabajo especializado. No hay una lista de precios porque probar un único sitio web corporativo y probar toda una infraestructura financiera son trabajos de órdenes de magnitud diferentes.
Los principales factores que influyen en el precio:
- Tamaño del alcance: el número de IP, aplicaciones, puntos finales y entornos a probar.
- Probar modelo: caja negra, caja gris, o caja blanca (la caja blanca suele requerir más horas).
- Complejidad técnica: las aplicaciones personalizadas, la arquitectura en la nube y los sistemas heredados aumentan el esfuerzo.
- Antigüedad del equipo: los profesionales con certificaciones como OSCP aportan una profundidad que ninguna herramienta reemplaza, y eso se refleja en el precio.
- Requisito de cumplimiento: Las pruebas dirigidas a PCI-DSS o ISO 27001 exigen un rigor documental adicional.
El error clásico al comprar es elegir por el precio más bajo. Una prueba barata suele ser un escaneo automatizado disfrazado de pentest, que entrega una lista de falsos positivos y ninguna prueba de explotación. El criterio de decisión adecuado es la profundidad de la metodología y la calidad del informe, no el precio de forma aislada.
Pentest y cumplimiento: LGPD, ISO 27001 y PCI-DSS
La prueba de penetración es un control reconocido por múltiples estándares de seguridad y protección de datos, que sirve como evidencia objetiva de que la organización evalúa activamente sus riesgos. Aunque no todos los estándares utilizan la palabra “prueba de penetración” literalmente, todos requieren la verificación periódica de vulnerabilidades.
- LGPD (Lei nº 13.709/2018, Brasil): requiere medidas de seguridad técnicas y administrativas para proteger los datos personales. Una prueba de penetración es una de las formas más directas de demostrar esa diligencia a la ANPD, especialmente después de un incidente.
- ISO/IEC 27001:2022 aborda la gestión de vulnerabilidades técnicas y la evaluación continua de controles, y una prueba de penetración es la práctica habitual para cumplir con esos requisitos.
- PCI-DSS v4.0: para cualquier persona que procese datos de titulares de tarjetas, las pruebas de penetración son obligatorias, con una frecuencia definida y una reevaluación después de cambios significativos.
- Resolución 4.658 del BACEN (Brasil): para las instituciones financieras, refuerza el requisito de pruebas y evaluaciones de seguridad.
En resumen, una prueba de penetración ya no es solo una buena práctica técnica. Se ha convertido en un requisito de cumplimiento y una defensa legal.
Con qué frecuencia ejecutar una prueba de penetración
La recomendación del mercado es realizar una prueba de penetración al menos una vez al año, y siempre después de cambios significativos en la infraestructura, en aplicaciones críticas o en la arquitectura de red. La frecuencia anual es el piso, no el techo.
Disparadores que justifican una nueva prueba independientemente del calendario: lanzar o actualizar en gran medida una aplicación, migrar a la nube, una fusión o adquisición, un requisito de un nuevo contrato o auditoría, y la respuesta a un incidente. Los entornos de alta criticidad, como el sector financiero, tienden a adoptar una cadencia semestral o trimestral para sus activos más expuestos.
Cómo Mercurius realiza una prueba de penetración
Mercurius aborda el pentesting con una mentalidad ofensiva real, dirigida por ingenieros certificados (OSCP, OSWE, entre otras credenciales) que piensan como el atacante para proteger como un estratega. El diferenciador no es ejecutar una herramienta. Es demostrar el riesgo explotable, mapear el camino que tomaría un adversario y traducir el hallazgo técnico en una decisión comercial para la junta directiva.
Cada proyecto sigue metodologías reconocidas (PTES, OWASP, NIST SP 800-115) y se mapea a MITRE ATT&CK, con un informe que prioriza la remediación por impacto real, no por la severidad genérica de un escáner.
Preguntas frecuentes sobre pentesting
¿Cuál es la diferencia entre una prueba de penetración (pentest) y una evaluación de vulnerabilidades? Una evaluación de vulnerabilidades es automatizada y enumera posibles fallos a escala, sin demostrar que sean explotables. Una prueba de penetración es realizada por especialistas que explotan los fallos para demostrar que son reales y para medir el impacto de una intrusión. Una señala el riesgo teórico, la otra valida el riesgo explotable.
¿Se requiere legalmente una prueba de penetración? Las leyes de protección de datos, como la LGPD en Brasil, no utilizan la palabra "pentest" literalmente, pero exigen medidas de seguridad técnica adecuadas para proteger los datos personales, y un pentest es una de las formas más aceptadas para demostrar esa diligencia. Para las empresas que procesan datos de titulares de tarjetas, el PCI-DSS hace que la prueba sea explícitamente obligatoria.
¿Cuánto tiempo dura una prueba de penetración? Depende del alcance. Una prueba enfocada en una sola aplicación generalmente toma de una a dos semanas. Un proyecto que abarque infraestructura externa e interna más aplicaciones puede extenderse durante varias semanas, incluyendo la documentación y la reevaluación de las correcciones.
Un buen informe de pentest debe contener lo siguiente: Un informe serio incluye un resumen ejecutivo en lenguaje empresarial, la lista de hallazgos con pruebas de explotación, la clasificación de gravedad y el impacto real, una recomendación de remediación priorizada y, idealmente, un mapeo a MITRE ATT&CK. Un informe que solo entrega una lista de salida de un escáner no es una prueba de penetración.
¿Puede una prueba de penetración derribar mis sistemas? Una prueba de penetración profesional se ejecuta con reglas de operación acordadas que minimizan el riesgo operacional. Las técnicas de alto impacto solo se ejecutan con autorización explícita y, cuando es necesario, en un entorno controlado o fuera del horario crítico. La discusión del alcance en la fase de planificación existe precisamente para esto.
¿Cuál es la diferencia entre un pentest y un Red Team? Una prueba de penetración tiene un alcance y un marco de tiempo definidos y se centra en encontrar y demostrar vulnerabilidades en objetivos específicos. Un Equipo Rojo simula un adversario real y persistente, sin un alcance limitado y sin advertir al equipo de defensa, para también probar la capacidad de detección y respuesta de la organización. El Equipo Rojo es el siguiente paso para las empresas con controles ya maduros.
¡Ve tu red como lo haría un atacante, antes de que lo haga uno!
Mercurius realiza Red Team dirigidos por humanos, pruebas de penetración y evaluaciones en la nube que no solo enumeran vulnerabilidades, sino que demuestran la ruta exacta que un adversario tomaría para llegar a sus bienes más preciados y cómo cerrarla.



