Buscar contratar un pentesting a veces se siente como abrir un catálogo interminable donde todos prometen “seguridad”, pero pocos te dicen qué van a hacer exactamente para conseguirla. Unos le llaman “pruebas avanzadas”, otros “escaneo completo”, y al final muchas propuestas suenan distintas… aunque por dentro sean casi lo mismo. El punto clave es este: separar a quien realmente va a pensar como atacante, de quien solo corre una herramienta, genera un reporte y listo.
Y ojo: elegir mal no solo pega en el presupuesto. Si el diagnóstico es superficial, terminas tomando decisiones con información a medias: arreglas cosas que no tienen impacto, dejas pasar las que sí importan y sigues expuesto sin darte cuenta. Es como pagar por “tranquilidad”, pero sin una reducción real del riesgo.
En TecnetOne hemos preparado esta guía para ayudarte a tomar una decisión con criterio: qué debe incluir un pentesting bien hecho, cómo comparar propuestas sin ahogarte en tecnicismos, qué preguntas hacen que un proveedor se delate (para bien o para mal) y cómo asegurarte de que el resultado sea un plan claro para corregir (no un PDF bonito que se queda guardado en una carpeta).
Un pentesting (o prueba de penetración) es, básicamente, poner a prueba tu seguridad como lo haría un atacante real, pero de forma controlada y con permiso. Un equipo de especialistas intenta encontrar y explotar vulnerabilidades en tus sistemas (apps web, APIs, servidores, nube, red, etc.) para entender qué tan lejos podrían llegar en un escenario real.
La meta no es solo “detectar fallas”, sino medir el impacto y dejarte un plan claro para corregir lo importante primero.
Lo que sí es un pentesting:
Una evaluación controlada, con alcance definido (qué entra y qué no).
Un ejercicio con metodología (mezcla de pruebas manuales + herramientas).
Un entregable con evidencia, prioridades y recomendaciones accionables (para que tu equipo pueda arreglarlo de verdad).
Lo que NO es un pentesting:
Una auditoría 100% documental (aunque pueden complementarse muy bien).
Una promesa de “seguridad total”: la seguridad no es un evento, es un proceso.
Si quieres profundizar en el tema, lee nuestro artículo sobre qué es un pentesting.
Aquí es donde muchísimas empresas se equivocan (y no por falta de ganas, sino por falta de claridad). Porque en el mercado hay proveedores que te venden un escaneo automático con empaque de “pentest premium”… y te lo cobran como si fuera trabajo artesanal.
Es automatizado. Una herramienta revisa tus activos y compara lo que encuentra contra una base de datos de fallos conocidos. Sirve como “foto rápida” y para monitoreo continuo, pero tiene un límite enorme: no entiende el contexto.
La herramienta no sabe si ese servidor está aislado en una red sin salida o si guarda información crítica. Tampoco valida bien si algo es explotable en tu caso.
Aquí hay estrategia y criterio humano. Sí, se usan herramientas, pero el valor está en lo que hace el pentester con lo que encuentra: conecta puntos, encadena fallas y simula cómo avanzaría un atacante real hasta llegar a algo que de verdad duele (datos, permisos, dinero, operaciones).
Además, un pentester puede encontrar cosas que un scanner no ve: errores de configuración “raros”, permisos mal pensados y, sobre todo, fallas que dependen de cómo funciona tu negocio.
Regla práctica: si te prometen el “reporte final” en 24 horas, lo más probable es que sea un escaneo automatizado. Un pentest real requiere tiempo para analizar, probar, validar impacto y documentar bien.
No te quedes solo con el precio, la marca o el logo bonito. Si quieres calidad, asegúrate de que la propuesta responda a estos puntos:
Cualquiera puede decir “tenemos expertos”. Lo que importa es el equipo que va a ejecutar la prueba. Pide certificaciones prácticas (de las que se aprueban hackeando en laboratorio, no con examen de opción múltiple). Ejemplos típicos: OSCP, OSEP. No es “por la sigla”, es porque te da una señal de que el equipo sabe ejecutar, no solo teorizar.
El pentesting serio no es improvisado: sigue un proceso. El proveedor debería apoyarse en marcos conocidos (por ejemplo, OWASP para web/API o estándares para redes). Esto te asegura que la prueba es ordenada, cubre lo esencial y no depende del “humor del consultor”.
Este punto es oro. Los scanners detectan “fallas técnicas”, pero no entienden tu operación.
Ejemplo simple: una herramienta te alerta sobre un certificado SSL o headers. Un pentester revisa si un usuario puede:
comprar por $0 manipulando campos,
ver pedidos de otros clientes cambiando un ID,
saltarse pasos del checkout o aprobación,
escalar permisos por un flujo mal diseñado.
Si tu propuesta no menciona lógica de negocio, normalmente estás frente a algo superficial.
El objetivo no es coleccionar vulnerabilidades en PDF: es corregirlas. Asegúrate de que el servicio incluya una segunda vuelta para validar parches (retesting). Sin eso, te quedas con la duda de si se arregló bien o solo se “tapó” por encima.
Huimos de los reportes automáticos de 300–500 páginas que nadie lee. Un buen entregable tiene dos niveles:
Para dirección / negocio: resumen ejecutivo, riesgos priorizados y traducción a impacto (operación, reputación, cumplimiento, dinero).
Para el equipo técnico: evidencia (PoC), pasos para reproducir y guía clara para remediar (no solo “actualizar librerías” y ya).
Si el reporte no ayuda a tomar decisiones ni a arreglar rápido, no es un buen pentest: es papel.
Conoce más sobre: Pruebas de Penetración en la Nube: ¿Qué necesitas saber?
Antes de contratar, vale la pena hacerle al proveedor algunas preguntas que suenan incómodas… pero te ahorran dolores de cabeza. La forma en la que responden suele decirte más que cualquier PDF de propuesta.
Ojo con esto. Subcontratar no siempre es malo, pero sí debe ser transparente. Si el proveedor termina delegando tu pentest a freelancers o terceros que tú no conoces (y sin control claro), estás aumentando el riesgo: más manos tocando información sensible, más puntos de fuga. Lo mínimo es que te digan quién ejecuta, bajo qué condiciones y con qué acuerdos de confidencialidad.
Un pentest puede ser intenso y, si no se maneja bien, puede generar lentitud o caídas (sobre todo si se prueba en producción). Un proveedor serio te habla de:
ventanas de prueba (horarios),
límites y reglas para no afectar operación,
y un canal directo para frenar la prueba si algo se complica (sí, tipo “botón rojo”).
Si te responden con un “no pasa nada” o “eso nunca pasa”, mala señal. En seguridad, el que promete cero riesgo normalmente está vendiendo humo.
Tu equipo de TI no está para jugar a “adivina si esto es real”. Un buen proveedor valida los hallazgos antes de reportarlos y te entrega solo lo que realmente aplica y es explotable. Si la respuesta es ambigua o un “ustedes lo revisan”, probablemente vas a terminar pagando por trabajo extra.
No siempre necesitas “la opción más agresiva”. La modalidad ideal depende de tu objetivo, tiempos y presupuesto. Estas son las tres más comunes:
Podría interesarte leer: 7 Errores Comunes en el Pentesting y Cómo Evitarlos
Sí, da coraje que casi nadie publique precios cerrados, pero aquí “depende” suele ser la respuesta más honesta. El costo cambia según tres cosas:
1) Alcance (scope): No es lo mismo probar 5 activos que 500. Cantidad de IPs, dominios, módulos, APIs, roles… todo suma horas.
2) Complejidad del sistema: Una landing o web simple se evalúa rápido. Una plataforma con transacciones, múltiples roles, integraciones y APIs complejas requiere mucho más trabajo humano (y ahí está el valor).
3) Profundidad de la prueba: ¿Quieres una revisión rápida para detectar lo obvio o un ejercicio profundo que simule un adversario real encadenando fallas? Mientras más profundidad, más tiempo, más análisis y mejor calidad en hallazgos.
En TecnetOne no creemos en la seguridad tipo “caja negra” donde te entregan un reporte, te asustan con hallazgos y luego te dejan solo con el problema. La forma en la que trabajamos es más simple (y más útil): nos integramos como extensión de tu equipo, con especialistas en seguridad ofensiva que entienden tanto la parte técnica como el impacto en el negocio.
La diferencia está en el enfoque: no se trata solo de “encontrar vulnerabilidades”, sino de explicarte qué significan en la vida real. ¿Afecta datos? ¿Puede tumbar operación? ¿Impacta ventas, reputación o cumplimiento? Y, sobre todo, bajar todo eso a un plan de acción claro y priorizado. Si tu equipo de desarrollo o TI necesita contexto para corregir rápido, ahí es donde se nota un servicio bien hecho.
Ver el pentesting como un gasto incómodo suele salir caro. Una brecha de datos o un incidente serio (como ransomware) no solo pega en sistemas: pega en continuidad operativa, confianza del cliente y costos de recuperación. Por eso, más que “cumplir”, lo inteligente es usar el pentest para reducir riesgo real con cambios concretos.
Si estás comparando opciones, busca tres cosas: transparencia, metodología y un equipo con el que puedas hablar claro, sin tecnicismos innecesarios. Y si no tienes claro qué alcance necesitas, no adivines: en TecnetOne podemos hacer una sesión de diagnóstico (discovery) para definir juntos la prueba adecuada y que el resultado sea útil para tu negocio, no solo un PDF para archivar.