Una conversación que se repite en prácticamente todas las empresas que evalúan pentesting por primera vez: el CISO pide tres cotizaciones, recibe tres propuestas, y los precios oscilan entre USD 3.000 y USD 45.000 para "lo mismo". El CFO mira los números, pregunta por qué la variación es de 15x, y ahí empieza el problema. Porque no es lo mismo — pero explicarle al CFO por qué no lo es requiere contexto que nadie le dio antes.

Este artículo es ese contexto. Cómo se estructuran realmente los costos de seguridad ofensiva en 2026, qué factores explican las diferencias de precio, con qué frecuencia contratar según el perfil de la empresa, y cómo justificar la inversión en términos que el directorio entienda. No es una lista de precios — es el marco para entender qué se paga y por qué.

Este es el último artículo de la serie sobre seguridad ofensiva. Si venís siguiendo desde el hub principal, ya tenés contexto completo. Si llegaste directamente acá, el artículo se sostiene solo pero cobra más sentido después de entender qué es pentesting y qué es red teaming.

TL;DR — Los precios varían por factores estructurales, no arbitrarios: alcance técnico, días-persona involucrados, seniority del equipo, especialización requerida, y nivel de entregables. Un pentest web chico empieza en USD 5.000; uno grande con múltiples aplicaciones puede superar USD 50.000. Red teaming arranca en USD 50.000 y escala hasta USD 250.000+. La pregunta útil no es "¿por qué es caro?" sino "¿estoy comprando servicio o teatro?" — la respuesta determina si vale lo que sea que cueste.

Por qué los precios varían tanto

Las diferencias de precio en seguridad ofensiva no son arbitrarias, aunque a veces lo parezcan. Responden a factores estructurales que explican por qué un mismo "pentest de aplicación web" puede cotizar USD 4.000 en un proveedor y USD 25.000 en otro, sin que ninguno esté necesariamente mintiendo.

Días-persona como unidad fundamental

El costo base de cualquier engagement es tiempo de profesional cualificado multiplicado por rate. Un pentester senior en LATAM factura entre USD 150-300 por hora, un regular entre USD 100-180, un junior entre USD 70-120. Un engagement de 15 días con dos pentesters (uno senior y uno regular) son aproximadamente 240 horas de trabajo — entre USD 28.000 y USD 45.000 solo en personal, antes de overhead, gestión y margen.

Esa matemática básica explica por qué ciertos precios son imposibles. Un "pentest profesional" por USD 3.000 no puede incluir 240 horas de profesional senior — ni siquiera 30 horas. Lo que ese precio compra es un escaneo automatizado con algo de revisión manual, facturado como pentest. No es engaño necesariamente; es un servicio distinto con nombre confuso.

Alcance técnico

El alcance determina cuántas horas requiere el engagement. Una aplicación web chica con 10 endpoints requiere significativamente menos tiempo que una plataforma SaaS con cientos de endpoints, múltiples roles de usuario, integraciones con APIs externas, y flujos complejos de facturación.

Factores técnicos que amplían el alcance:

  • Cantidad de aplicaciones, endpoints, IPs, o superficies a testear
  • Niveles de privilegio distintos (usuario básico, usuario premium, admin, super-admin) — cada uno debe probarse
  • Flujos de negocio complejos que requieren análisis de lógica
  • Integraciones con sistemas externos
  • Tecnologías no estándar que requieren tiempo de familiarización del equipo
  • Cumplimiento de frameworks específicos (PCI DSS requiere metodología formal distinta a pentest genérico)

Seniority y especialización del equipo

Un pentester senior cuesta más que un junior por buenas razones: encuentra más, encuentra más rápido, y produce reportes más accionables. Para ciertos engagements la diferencia entre ambos es crítica; para otros, un equipo mixto con supervisión senior funciona igual de bien a menor costo.

Las especialidades que comandan premium:

  • Cloud security (AWS, Azure, GCP) por escasez relativa de profesionales senior
  • Mobile pentesting específicamente iOS por la complejidad del ecosistema
  • Exploit development para casos que requieren investigación propia
  • Red teaming por la combinación de habilidades avanzadas requeridas

Un proveedor que asigna juniors a engagements complejos cobra menos pero entrega menos. Uno que asigna seniors a todo cobra más pero puede estar sobre-dimensionando engagements simples.

Profundidad de entregables

El pentest en sí es la mitad del servicio. La otra mitad es documentación, comunicación, remediation support, retesting. Los proveedores serios invierten significativamente en esa segunda mitad — es donde vive el valor real para el cliente.

Un reporte básico de 30 páginas con lista de hallazgos cuesta menos que un reporte completo de 150 páginas con resumen ejecutivo, documentación técnica detallada, evidencia, recomendaciones priorizadas, y plan de remediación por fases. Ambos son reportes de pentest pero no son el mismo producto.

Servicios adicionales que afectan precio:

  • Retesting de hallazgos remediados (incluido vs costo adicional)
  • Sesiones de debrief con equipos técnicos del cliente
  • Presentaciones ejecutivas a management y directorio
  • Disponibilidad post-entrega para consultas durante remediación
  • Actualizaciones del reporte si cambian circunstancias relevantes

Geografía del proveedor

Los proveedores basados en Estados Unidos o Europa Occidental facturan entre 30-60% más que los basados en LATAM para servicios comparables. Los factores detrás de la diferencia son múltiples — costo de vida del equipo, overhead operativo, expectativas de cliente, reputación de marca.

Una empresa LATAM puede legítimamente elegir proveedor local por costo, regional por balance, o internacional por razones específicas (requisito de compliance, cliente global que lo exige, especialización no disponible localmente). Ninguna opción es "mejor" en abstracto — depende del caso.

Rangos de precio reales en 2026

Los números siguientes son rangos observables en el mercado LATAM 2026, combinando proveedores locales, regionales e internacionales. Son referencias generales, no cotizaciones vinculantes — cada caso tiene particularidades que afectan precios.

Vulnerability assessment

USD 1.500 a 5.000. Escaneo automatizado amplio, revisión manual ligera de resultados, reporte estándar. Útil como baseline inicial o complemento a pentesting. No es pentesting pese a veces venderse como tal.

Pentest web de aplicación chica a mediana

USD 5.000 a 15.000. Aplicación con 10-50 endpoints, 2-3 roles de usuario, complejidad moderada. Una a tres semanas de trabajo con un pentester regular o senior. Reporte profesional con 10-30 hallazgos típicos.

Pentest web de aplicación compleja

USD 15.000 a 35.000. Plataforma SaaS con cientos de endpoints, múltiples roles, integraciones APIs, lógica de negocio compleja. Tres a seis semanas con equipo de dos pentesters. Reporte extenso con remediation planning.

Pentest de infraestructura externa

USD 5.000 a 20.000. Rango externo de IPs expuestas a internet, servicios públicos, VPN, correo. Alcance varía significativamente según cantidad de hosts. Dos a cuatro semanas típicamente.

Pentest de infraestructura interna

USD 15.000 a 50.000. Red corporativa completa con Active Directory, servidores, workstations. Más complejo que externo por volumen y variedad de sistemas. Tres a seis semanas.

Pentest mobile (iOS + Android)

USD 12.000 a 30.000 por plataforma. Análisis de binario, tráfico, almacenamiento, comunicación con backend. Requiere pentester especializado. Típicamente dos a cuatro semanas por plataforma.

Pentest cloud

USD 10.000 a 40.000. Configuración IAM, servicios expuestos, privilegios, secretos, logging. Varía mucho según tamaño del entorno cloud y cantidad de servicios en uso.

Compliance-driven pentest (PCI DSS, HIPAA, SOC 2)

USD 15.000 a 40.000. Pentest con metodología específica del framework, documentación formal para auditoría, frecuentemente requiere certificaciones específicas del proveedor. Típicamente anual.

Red team engagement chico

USD 50.000 a 100.000. Objetivo acotado, duración 6-10 semanas, equipo de dos a tres red teamers. Sin ingeniería social física o con ingeniería digital limitada.

Red team estándar

USD 100.000 a 200.000. Adversary emulation de grupo específico, 3-4 meses, equipo completo, múltiples vectores incluyendo ingeniería social. Entregables técnicos y ejecutivos completos.

Red team extendido

USD 200.000 a 500.000+. 6+ meses, múltiples adversarios, assumed breach scenarios, ejercicios físicos, red team continuo. Territorio de empresas grandes con programas de seguridad maduros.

Purple team engagement

USD 30.000 a 80.000. Ejercicio colaborativo de 3-4 semanas. Más económico que red team puro y frecuentemente más útil para empresas en proceso de maduración defensiva.

Bug bounty program (ongoing)

Variable. Típicamente USD 50.000 a 500.000+ anuales en recompensas más costos de plataforma. No reemplaza pentesting pero complementa con testeo continuo.

Cómo se estructura una cotización profesional

Entender qué contiene una cotización profesional ayuda a evaluar propuestas. Las cotizaciones serias incluyen consistentemente los mismos elementos, aunque varíe el formato.

Resumen ejecutivo. Una página que explica qué se va a hacer, por qué, y qué se entrega. Para que el decisor no técnico pueda entender la propuesta sin pedir traducción.

Alcance técnico detallado. Qué exactamente está dentro del pentest, qué queda fuera, qué metodología se aplica. Idealmente con referencia a estándares reconocidos (OWASP Testing Guide, PTES, NIST SP 800-115).

Equipo asignado. Nombres o al menos perfiles de los profesionales que trabajarán, con certificaciones vigentes. Si la cotización no incluye esto o promete "asignamos después", bandera potencial.

Cronograma. Semanas específicas de trabajo, fases, hitos, fechas de entregables. Permite evaluar si el tiempo es coherente con el alcance propuesto.

Entregables. Qué documentos recibís, qué reuniones incluye, qué comunicación durante el engagement, qué soporte post-entrega. La diferencia en profundidad de entregables frecuentemente explica diferencias de precio más que las horas de testing en sí.

Términos legales. Reglas de engagement, confidencialidad bilateral, manejo de hallazgos críticos, procedimientos de emergencia, responsabilidades de ambas partes.

Inversión. El precio, con desglose idealmente por fase o componente. Opciones de pago (fixed price vs time & materials). Qué está incluido y qué se facturaría aparte.

Condiciones de retesting. Si la remediación y verificación de hallazgos está incluida o es costo adicional. Puede parecer detalle menor pero impacta significativamente en el costo total real del programa de seguridad anual.

Frecuencia recomendada por perfil de empresa

La pregunta "¿cada cuánto contratamos pentesting?" depende del perfil de la empresa y del riesgo inherente. Algunas orientaciones generales observables en empresas maduras.

PyMEs en etapa inicial de ciberseguridad

Si la empresa recién está implementando controles básicos (MFA, EDR, backups), el pentesting puede esperar hasta que esos controles estén establecidos. Un pentest antes de tener la base básica encuentra problemas que la empresa no puede remediar, y el ejercicio se diluye.

Recomendación general: completar primero el stack básico (ver Guía de ciberseguridad para PyMEs LATAM) y después un pentest anual como parte del programa continuo.

Empresas medianas establecidas

Pentest anual mínimo es el estándar de la industria. Cubre aplicaciones críticas e infraestructura core. Frecuentemente requerido por auditorías externas (ISO 27001, SOC 2).

Empresas con aplicaciones que cambian mucho pueden beneficiarse de pentest semestral — la realidad es que las aplicaciones de seis meses atrás son distintas a las actuales. Dos pentests al año rotando áreas puede ser más útil que uno grande anual.

Empresas en sectores regulados

Finanzas, salud, infraestructura crítica, telecomunicaciones. Típicamente requieren pentesting anual por regulación o framework de compliance, frecuentemente con más frecuencia para aplicaciones críticas.

Patrón típico en bancos y fintechs serios: pentest anual completo de infraestructura, pentests trimestrales de aplicaciones críticas (core banking, home banking, APIs de pagos), red team anual o bianual, programa continuo de bug bounty.

Empresas tech y SaaS

Las aplicaciones son el producto, y cambian constantemente. Pentesting puntual una vez al año genera ventanas de meses donde nuevas vulnerabilidades introducidas no se detectan.

Patrón común en SaaS maduros: pentest anual grande de la plataforma completa, pentests más chicos ante releases mayores, integración de security testing en CI/CD para detección continua, y frecuentemente bug bounty program para testeo permanente por múltiples investigadores.

Empresas con programa de seguridad maduro

Cuando la empresa tiene equipo interno de seguridad, SOC operativo, y procesos establecidos, el pentesting es una pieza de un programa más amplio. Patrón típico: pentest externo anual por firma independiente, red team o purple team anual, bug bounty continuo, pentesting interno continuo por equipo propio entre evaluaciones externas.

Cuándo contratar fuera del calendario regular

Hay eventos que disparan necesidad de pentesting adicional independientemente del calendario planificado:

  • Lanzamiento de aplicación crítica nueva o refactorización mayor
  • Migración de infraestructura (on-premise a cloud, cambio de proveedor cloud, cambio de stack tecnológico)
  • Adquisición de otra empresa (pentesting de la infraestructura adquirida antes de integrarla)
  • Incidente de seguridad (para validar que las vulnerabilidades explotadas están remediadas y no hay otras relacionadas)
  • Requisito de cliente empresarial que exige evidencia de pentesting reciente
  • Cambio significativo de arquitectura que introduce superficie de ataque nueva
  • Preparación para auditoría externa o certificación

Cómo justificar la inversión al directorio

El presupuesto de seguridad ofensiva frecuentemente encuentra resistencia cuando se presenta al directorio. No porque la inversión sea irracional, sino porque el ROI de seguridad es preventivo — es difícil demostrar valor de algo que impidió que pase algo que nunca pasó.

Algunos marcos de argumentación que funcionan mejor que otros.

El argumento de costo evitado

El IBM Cost of a Data Breach Report 2025 documenta que el costo promedio global de una brecha de datos es USD 4.44 millones. En Estados Unidos, USD 10.22 millones. En sectores regulados como salud, USD 7.42 millones. Para LATAM, los costos absolutos son menores pero proporcionalmente comparables al revenue de las empresas afectadas.

Contra esos números, un pentest anual de USD 25.000 representa aproximadamente 0.5% del costo esperado de un solo incidente evitado. Si el pentest reduce la probabilidad de incidente significativo en siquiera 10%, el valor esperado justifica la inversión con margen amplio.

Este argumento es simple pero potente porque usa datos duros documentados en reportes reconocidos, no especulación interna.

El argumento de obligación contractual

Cuando la empresa vende a clientes empresariales, el pentesting frecuentemente es requisito contractual. No tenerlo cierra puertas comerciales que los competidores aprovechan.

Cuantificar: "los clientes que representan 40% de nuestro revenue requieren evidencia de pentesting anual como requisito de proveedor; sin pentesting, perdemos acceso a ese segmento". Este argumento convierte el gasto de seguridad en gasto comercial, que el directorio entiende mejor.

El argumento regulatorio

En sectores regulados, pentesting es requisito legal o de framework obligatorio. El argumento es directo: cumplir la regulación tiene costo; no cumplirla tiene multa mucho mayor más riesgo reputacional y operativo. No hay opción.

Multas documentadas: GDPR (hasta 4% del revenue global anual), LGPD brasileña (hasta 2% del revenue anual), PCI DSS (multas bancarias progresivas más pérdida de capacidad de procesar pagos), regulaciones sectoriales varias.

El argumento de madurez organizacional

Para empresas que apuntan a crecimiento, adquisición, o ronda de inversión significativa, el programa de seguridad ofensiva es parte del due diligence que compradores e inversores van a hacer. No tenerlo puede afectar valuación o hasta frenar la operación entera.

Cuantificar con ejemplos del sector: "la valuación de empresas tech comparables incluye premium de X% por programa de seguridad maduro documentado". Si la empresa planea venderse, la inversión en seguridad se recupera en la valuación final.

El argumento de continuidad operativa

El ransomware moderno puede detener operaciones por días o semanas. El reporte de IBM 2025 documenta que el 70% de empresas afectadas reportan disrupción operativa significativa, con recuperación promedio de más de 100 días.

Para empresas cuyo downtime tiene costo directo medible (ecommerce, SaaS, fintech), traducir: "cada día de downtime cuesta aproximadamente X; la probabilidad anual de ransomware sin pentesting es Y; la reducción de probabilidad con pentesting regular es Z". Ecuación aproximada pero defendible.

El argumento del ROI en detección

Más allá del costo evitado, el pentesting regular mejora las capacidades defensivas de forma mensurable. Cada ejercicio genera lista de detecciones a ajustar, procesos a mejorar, controles a implementar. El programa de seguridad de la empresa se vuelve más eficiente, reduciendo costos operativos downstream en SOC, incident response, y gestión de vulnerabilidades.

Es un argumento más difícil de cuantificar pero cualitativamente potente.

Costo total del programa anual

Más allá del pentest individual, presupuestar seguridad ofensiva implica pensar el programa completo. Elementos típicos de un programa anual:

Pentest anual de aplicaciones críticas. USD 15.000-40.000 según alcance.

Pentest anual de infraestructura. USD 15.000-40.000.

Retesting de hallazgos. Frecuentemente incluido pero a veces separado, USD 3.000-10.000.

Tabletop exercises o ejercicios de respuesta a incidentes. USD 10.000-30.000 anuales.

Bug bounty program (si aplica). Entry level: USD 30.000-80.000 anuales incluyendo plataforma y recompensas. Nivel maduro: USD 100.000-500.000+.

Red team o purple team (no todos los años necesariamente). USD 50.000-200.000 cuando se hace.

Herramientas de security testing internas. Si hay equipo interno, licencias de Burp Professional, Nessus, Qualys u otras. USD 5.000-30.000 anuales.

Training del equipo interno. Certificaciones, cursos, laboratorios. USD 3.000-10.000 por profesional anual.

Para una empresa mediana (200-500 empleados, sector no regulado especialmente, programa de seguridad en maduración), un programa anual razonable de seguridad ofensiva está en el rango de USD 50.000 a 120.000 anuales. Para empresas medianas-grandes en sectores regulados, USD 150.000 a 500.000 anuales.

Estos números deben verse en perspectiva del revenue total y el presupuesto total de ciberseguridad. Como referencia, las empresas maduras invierten entre 1% y 3% del revenue en ciberseguridad total; la porción ofensiva típicamente representa 10-20% de ese presupuesto.

Qué no es buena economía en seguridad ofensiva

Algunos patrones de gasto que parecen eficientes pero generalmente no lo son.

Contratar el proveedor más barato consistentemente. El mercado de pentesting tiene dispersión real de calidad. El más barato frecuentemente entrega el menor valor. La pregunta correcta no es "¿quién cobra menos?" sino "¿quién entrega más valor por el presupuesto disponible?".

Saltar retesting para ahorrar costos. Si se remedian los hallazgos pero nadie verifica que la remediación efectivamente cerró las vulnerabilidades, el pentest pierde mucho de su valor. Es ahorro falso.

Postergar pentesting indefinidamente. Cada año sin pentesting acumula riesgo que eventualmente se paga. Las empresas que posponen pentesting hasta que hay incidente terminan pagando mucho más en respuesta a incidentes que lo que habrían pagado en pentesting regular.

Alcance excesivamente acotado. Contratar pentesting solo de la aplicación principal ignorando todo el resto. Los atacantes no respetan los límites del alcance del pentest; entran por donde puedan.

Todas las aplicaciones cada año con mismo proveedor. Rotar proveedores cada 2-3 años aporta perspectiva fresca. Un proveedor familiar con tu infraestructura eventualmente desarrolla puntos ciegos idénticos a los de tu equipo interno.

Pentest puntual sin programa continuo. Un pentest aislado genera información útil durante algunos meses. Sin programa continuo que capture cambios posteriores, la ventana de valor se cierra rápido.

El costo de un incidente vs el costo del pentest

Para cerrar, una comparación concreta que ayuda a internalizar la economía.

Una PyME latinoamericana de 100 empleados con revenue anual de USD 10 millones. Costo típico de un incidente de ransomware: USD 150.000 a 500.000 entre rescate posible (frecuentemente no pagado pero incluye costos relacionados), downtime operativo (10-20 días típicamente), remediación técnica, consultoría forense, notificaciones legales, multas regulatorias si aplican, y pérdida de clientes.

Esa misma empresa invirtiendo en un programa de seguridad ofensiva razonable: USD 30.000-60.000 anuales en pentesting + retesting + ejercicios complementarios.

La matemática es favorable incluso si el programa solo reduce la probabilidad anual de incidente significativo de 20% a 5%. El valor esperado del incidente evitado supera múltiples veces el costo del programa.

Para empresas más grandes o en sectores regulados, los números absolutos crecen pero la proporción favorable se mantiene o incluso mejora. Las empresas que hacen las cuentas de verdad descubren que el programa de seguridad ofensiva no es gasto — es seguro con prima baja contra pérdida alta.

Recursos adicionales

Si este artículo te ayudó a presupuestar seguridad ofensiva, los otros de la serie cubren el contexto completo del rubro:

Guías complementarias de ciberseguridad general en el sitio:

Para el panorama general del rubro, el hub está en Seguridad Ofensiva: qué es Ethical Hacking, Pentesting y Red Teaming.

¿Estás presupuestando seguridad ofensiva para el próximo año fiscal y querés discutir el enfoque para tu caso particular? Escribinos a contacto@capacero.online.