Um pentest (teste de invasão) é uma prática de segurança ofensiva na qual especialistas simulam ataques reais contra os sistemas, redes ou aplicações de uma organização para encontrar vulnerabilidades antes que criminosos possam explorá-las. A prática segue metodologias reconhecidas como PTES, OWASP e NIST SP 800-115, e é exigida ou recomendada por normas como ISO 27001, PCI-DSS e, no contexto brasileiro, a LGPD. Empresas de médio e grande porte realizam pentests periodicamente e após qualquer mudança significativa em sua infraestrutura.
Este guia explica o que é um pentest, como ele funciona na prática, os tipos, quanto custa, o que diferencia um relatório forte de um genérico e quando sua empresa deve realizar um. Ele é a base para qualquer tomador de decisão que precise justificar, comprar ou avaliar um teste de penetração.
O que é um pentest e por que ele existe
Um pentest é um ataque simulado e autorizado, realizado por profissionais que utilizam as mesmas técnicas de um adversário real, com o objetivo de medir o risco concreto de uma organização. A diferença entre um pentest e um ataque real é apenas uma: a intenção. O pentester encontra a falha, prova que ela é explorável e entrega o caminho para corrigi-la, em vez de causar danos.
A razão de sua existência é simples. A maioria das ferramentas de segurança avalia o risco em teoria. Um scanner de vulnerabilidades sinaliza que uma porta está aberta ou que uma versão de software está desatualizada. Um pentest responde à pergunta que o conselho realmente quer responder: um invasor pode realmente entrar, se mover pela rede e alcançar os dados críticos? Essa distinção entre risco teórico e risco explorável é o valor central do teste.
De acordo com o relatório IBM Cost of a Data Breach 2024, o custo médio global de uma violação de dados atingiu 4,88 milhões de dólares, o valor mais alto já registrado. O Verizon DBIR demonstra consistentemente que a maioria das violações envolve a exploração de vulnerabilidades conhecidas e o fator humano. Um pentest ataca exatamente esses dois pontos: encontra a falha explorável e testa como a organização responde.
Como um pentest funciona na prática
Um pentest funciona em fases sequenciais que reproduzem o comportamento de um atacante real, desde o reconhecimento inicial até a documentação do impacto. Metodologias como PTES (Penetration Testing Execution Standard) e NIST SP 800-115 formalizam essas fases para garantir consistência e cobertura.
As fases essenciais são:
- Planejamento e escopo. Define o que será testado (alvos, sistemas, aplicações), o nível de acesso concedido e as regras de engajamento. Este é o passo que previne ruído operacional e estabelece responsabilidade legal.
- Coleta de informações sobre o alvo, desde fontes públicas até mapeamento de infraestrutura exposta. Isso espelha o que um atacante faria antes de agir.
- Enumeração e análise de vulnerabilidades. Identificação de serviços, versões, configurações e possíveis falhas. É aqui que as técnicas manuais se combinam com ferramentas, pois um scanner sozinho não encontra falhas de lógica de negócio.
- O passo que separa um pentest de um scan. O especialista tenta explorar as falhas encontradas para provar que elas são reais e para medir o impacto.
- Pós-exploração e movimento lateral. Uma vez dentro, o pentester avalia até onde pode ir: escalando privilégios, alcançando outros sistemas, chegando aos dados críticos. É isso que demonstra o risco real de um comprometimento.
- Documentação e relatórios. Um registro de todas as descobertas, com evidências, classificação de severidade e uma recomendação de remediação priorizada.
A profundidade de cada fase depende do modelo de teste, detalhado adiante em caixa preta, caixa cinza e caixa branca.
Pentest, varredura de vulnerabilidades e Red Team: as diferenças
Confundir esses três conceitos é o erro mais comum entre compradores de segurança ofensiva pela primeira vez. Eles resolvem problemas diferentes e não se substituem.
A escaneamento de vulnerabilidades é automatizado e sinaliza falhas potenciais em escala, sem provar que são exploráveis. A teste de penetração é executado por humanos, valida quais falhas são realmente exploráveis e mede o impacto de um comprometimento dentro de um escopo e prazo definidos. A Equipe vermelha o exercício vai além: simula um adversário real e persistente, sem escopo restrito e sem avisar a equipe de defesa, a fim de testar não apenas a tecnologia, mas também as pessoas e os processos de detecção e resposta da organização.
A regra prática: um scan é para higiene contínua, um pentest é para validar riscos em pontos específicos, e um Red Team é para medir a maturidade de detecção de uma organização que já é madura. A maioria das empresas começa com um pentest e evolui para Red Team assim que seu SOC e controles estão estabelecidos.
Tipos de pentest
Os tipos de pentest variam de acordo com o alvo que está sendo testado e o nível de conhecimento prévio concedido ao especialista. Escolher o tipo certo é o que garante que o teste responda à pergunta de risco que importa para a organização.
Por nível de acesso:
Modelo
Conhecimento Prévio
Simulações
Quando usar
Por alvo:
- Pentest externo avalia o perímetro exposto à internet (sites, VPN, servidores públicos, e-mail).
- Pentest interno: simula uma ameaça já dentro da rede, seja um invasor interno ou um atacante que rompeu o perímetro.
- Pentest de aplicação web: foca em falhas de aplicação, guiado pelo OWASP Top 10 (injeção, autenticação quebrada, exposição de dados).
- Teste de penetração mobile e API: avalia aplicativos e as interfaces que os alimentam.
- Engenharia social: testa o fator humano com phishing e pretexting controlados.
Pentest de infraestrutura em nuvem avalia configurações da AWS, Azure ou GCP, onde a má configuração é a principal causa de exposição.
Metodologias de pentest reconhecidas
Um pentest sério é executado com metodologia formal, não com a improvisação de quem o executa. A metodologia garante cobertura, repetibilidade e comparação entre testes ao longo do tempo. As principais referências:
- PTES (Padrão de Execução de Teste de Penetração): define as sete fases padrão de um teste, desde o pré-engajamento até o relatório.
- OWASP Testing Guide e OWASP Top 10: a referência para testes de aplicativos web e a lista das falhas mais críticas.
- NIST SP 800-115: o Guia Técnico do NIST para Avaliação de Segurança da Informação.
- OSSTMM: uma metodologia de testes de segurança manual orientada a métricas.
- MITRE ATT&CK: uma base de conhecimento de táticas e técnicas de adversários reais, usada para mapear e simular o comportamento de ameaças.
Usando estas metodologias, além de elevar a qualidade técnica, é o que torna o relatório defensável perante auditores e reguladores.
Quanto custa um pentest
O custo de um pentest varia de acordo com o escopo, a complexidade e a profundidade, e no mercado brasileiro geralmente é precificado por projeto ou por dia de trabalho especializado. Não existe uma tabela de preços pois testar um único site corporativo e testar toda uma infraestrutura financeira são trabalhos de ordens de magnitude diferentes.
Os principais fatores que influenciam o preço:
- Tamanho do escopo: o número de IPs, aplicativos, endpoints e ambientes para testar.
- Teste do modelo: caixa preta, caixa cinza ou caixa branca (caixa branca geralmente exige mais horas).
- Complexidade técnica: aplicativos personalizados, arquitetura em nuvem e sistemas legados aumentam o esforço.
- Senioridade da equipe: profissionais com certificações como OSCP entregam uma profundidade que nenhuma ferramenta substitui, e isso se reflete no preço.
- Requisito de conformidade: testes voltados para PCI-DSS ou ISO 27001 exigem rigor adicional na documentação.
O erro clássico na compra é escolher pelo menor preço. Um teste barato geralmente é uma varredura automatizada disfarçada de pentest, que entrega uma lista de falsos positivos e nenhuma prova de exploração. O critério de decisão correto é a profundidade da metodologia e a qualidade do relatório, não o preço isoladamente.
Testes de penetração e conformidade: LGPD, ISO 27001 e PCI-DSS
Um pentest é um controle reconhecido por múltiplos padrões de segurança e proteção de dados, servindo como evidência objetiva de que a organização avalia ativamente seus riscos. Embora nem todo padrão use a palavra “pentest” literalmente, todos eles exigem a verificação regular de vulnerabilidades.
- LGPD (Lei 13.709/2018, Brasil): requer medidas de segurança técnicas e administrativas para proteger dados pessoais. Um pentest é uma das maneiras mais diretas de demonstrar essa diligência à ANPD, especialmente após um incidente.
- ISO/IEC 27001:2022: aborda o gerenciamento contínuo de vulnerabilidades técnicas e a avaliação contínua de controles, e um pentest é a prática usual para atender a esses requisitos.
- PCI-DSS v4.0: para qualquer pessoa que processe dados de titulares de cartão, o teste de penetração é obrigatório, com frequência definida e um novo teste após alterações significativas.
- Resolução do BACEN 4.658 (Brasil): para instituições financeiras, reforça a exigência de testes e avaliações de segurança.
Em resumo, um pentest não é mais apenas uma boa prática técnica. Tornou-se um item de conformidade e uma defesa legal.
Com que frequência executar um pentest
A recomendação do mercado é realizar um pentest pelo menos uma vez por ano, e sempre após mudanças significativas na infraestrutura, em aplicações críticas ou na arquitetura de rede. A frequência anual é o piso, não o teto.
Gatilhos que justificam um novo teste independentemente do calendário: lançamento ou atualização pesada de um aplicativo, migração para a nuvem, uma fusão ou aquisição, um requisito de um novo contrato ou auditoria e a resposta a um incidente. Ambientes de alta criticidade, como o setor financeiro, tendem a adotar uma cadência semestral ou trimestral para seus ativos mais expostos.
Como o Mercurius executa um teste de penetração
A Mercurius aborda o pentesting com uma mentalidade verdadeiramente ofensiva, executada por engenheiros certificados (OSCP, OSWE, entre outras credenciais) que pensam como o atacante para proteger como um estrategista. O diferencial não é rodar uma ferramenta. É comprovar o risco explorável, mapear o caminho que um adversário percorreria e traduzir a descoberta técnica em uma decisão de negócios para a diretoria.
Todo projeto segue metodologias reconhecidas (PTES, OWASP, NIST SP 800-115) e é mapeado para o MITRE ATT&CK, com um relatório que prioriza a remediação por impacto real, não pela severidade genérica de um scanner.
Perguntas frequentes sobre pentest
Qual é a diferença entre um pentest e uma avaliação de vulnerabilidades? Uma avaliação de vulnerabilidade é automatizada e lista falhas potenciais em escala, sem provar que são exploráveis. Um pentest é executado por especialistas que exploram as falhas para provar que são reais e para medir o impacto de um comprometimento. Um aponta para risco teórico, o outro valida o risco explorável.
Um pentest é exigido por lei? Leis de proteção de dados como a LGPD no Brasil não usam a palavra pentest literalmente, mas exigem medidas de segurança técnica adequadas para proteger dados pessoais, e um pentest é uma das formas mais aceitas de demonstrar essa diligência. Para empresas que processam dados de titulares de cartão, o PCI-DSS torna o teste explicitamente obrigatório.
Quanto tempo leva um pentest? Depende do escopo. Um teste focado em uma única aplicação geralmente leva de uma a duas semanas. Um projeto que abrange infraestrutura externa e interna, além de aplicações, pode se estender por várias semanas, incluindo documentação e o reteste de correções.
O que um bom relatório de pentest deve conter? Um relatório sério inclui um resumo executivo em linguagem de negócios, a lista de achados com prova de exploração, a classificação de gravidade e impacto real, uma recomendação de remediação priorizada e, idealmente, um mapeamento para o MITRE ATT&CK. Um relatório que apenas entrega uma lista de saída de scanner não é um pentest.
Um pentest pode derrubar seus sistemas? Um pentest profissional é executado com regras de engajamento acordadas que minimizam o risco operacional. Técnicas de alto impacto são executadas apenas com autorização explícita e, quando necessário, em um ambiente controlado ou fora do horário de pico. A discussão de escopo na fase de planejamento existe justamente para isso.
Qual é a diferença entre um pentest e uma Red Team? Um pentest tem um escopo e prazo definidos e foca em encontrar e provar vulnerabilidades em alvos específicos. Uma Red Team simula um adversário real e persistente, sem um escopo restrito e sem avisar a equipe de defesa, para também testar a capacidade de detecção e resposta da organização. Red Team é o próximo passo para empresas com controles já maduros.
Veja sua rede como um atacante faria — antes que ele o faça!
A Mercurius realiza testes de Red Team com liderança manual, testes de penetração e avaliações de nuvem que não apenas listam vulnerabilidades, mas provam o caminho exato que um adversário seguiria para chegar aos seus ativos mais valiosos e como fechá-lo.



