Si alguna vez pediste tres cotizaciones de "pentest" a proveedores distintos y te llegaron precios entre USD 1.500 y USD 40.000 para "lo mismo", ya sabés que algo raro pasa en este mercado. Spoiler: no es lo mismo. Uno de esos tres probablemente te está vendiendo un escaneo automatizado con un reporte bonito, otro un pentest real pero acotado, y el tercero algo intermedio.

Esta guía es para que puedas distinguir cuál es cuál. Cómo funciona un pentest hecho bien, qué fases debe seguir, qué tipos existen según lo que querés testear, cuánto cuesta cada cosa de verdad, y qué señales miran los que saben cuando evalúan una propuesta.

No es una guía técnica para pentesters. Es una guía para quien contrata el servicio y no quiere que le vendan humo.

TL;DR — Un pentest real lo hace una persona, no una herramienta. Tiene cinco fases, dura entre una y cuatro semanas, cuesta entre USD 5.000 y USD 30.000 según alcance, y termina con un reporte que explica qué está roto, cómo se rompe y cómo arreglarlo. Cualquier cosa por menos de USD 3.000 o que promete "resultados inmediatos" es un scan automatizado con marketing.

Qué es realmente un pentest

Un pentest es un intento autorizado y estructurado de romper la seguridad de un sistema para encontrar vulnerabilidades antes que lo haga alguien con malas intenciones. La palabra clave es autorizado: sin un contrato firmado con alcance explícito, hackear el mismo sistema sería delito.

La diferencia con otras formas de evaluación de seguridad está en la profundidad. Un escaneo automatizado (Nessus, OpenVAS, Qualys) corre miles de checks conocidos y te dice "el servidor X tiene el CVE-2023-1234 sin parchar". Un pentest real hace eso y además intenta encadenar vulnerabilidades, evadir controles, escalar privilegios y demostrar impacto real. El scan te dice qué podría pasar; el pentest te muestra qué efectivamente pasa si alguien ataca.

Esa diferencia se nota cuando lees el reporte. El de un scan es una lista de CVEs con severidad automática. El de un pentest cuenta una historia: "desde este punto entré acá, desde ahí pude leer esta credencial, con eso accedí a aquel sistema, y terminé con la base de datos de clientes descargada". El segundo es lo que necesitás para priorizar realmente qué arreglar.

Las cinco fases de un pentest real

Todo pentest serio sigue una metodología reconocida — OWASP Testing Guide para web, PTES (Penetration Testing Execution Standard) para infraestructura, NIST SP 800-115 para contextos corporativos tradicionales. Los nombres cambian pero las fases son básicamente las mismas.

Fase 1: reconocimiento

El pentester no empieza a atacar nada. Empieza a investigar. Busca información pública sobre vos en Google, LinkedIn, GitHub, foros. Descubre qué dominios tenés registrados, qué tecnologías usás, qué empleados aparecen en redes profesionales, qué información filtró tu empresa en algún breach anterior.

Esto es el equivalente al ladrón que mira tu casa desde afuera durante una semana antes de entrar. No hace ruido, no toca nada, pero llega al ataque sabiendo bastante más de lo que asumirías.

Una mala señal si un proveedor salta directo a las pruebas técnicas sin mostrar esta fase en su metodología.

Fase 2: enumeración

Ahora sí empieza la interacción con tus sistemas, pero todavía de forma liviana. El pentester escanea qué puertos tenés abiertos, qué servicios corren detrás de cada puerto, qué versiones específicas están instaladas. Acá entra nmap, que es a un pentester lo que un destornillador a un carpintero — no arranca el día sin abrirlo.

El output de esta fase es un inventario preciso del terreno: "este servidor tiene SSH en el puerto 22 con OpenSSH 8.2, un servicio web en el 443 corriendo nginx 1.18 con WordPress 6.3, y un puerto 3306 abierto con MySQL 8.0". Cada una de esas cosas es una puerta potencial.

Fase 3: explotación

La fase que la gente imagina cuando piensa en "pentesting". El atacante intenta aprovechar las vulnerabilidades identificadas para obtener acceso no autorizado. Puede ser un bug conocido con exploit público, una configuración incorrecta, una credencial débil, una lógica rota en la aplicación.

Acá es donde un pentester bueno se separa de uno mediocre. El mediocre tira exploits hasta que algo funciona. El bueno entiende por qué debería funcionar, adapta el ataque al contexto específico, y cuando algo no sale como esperaba sabe cómo pivotar.

Herramientas típicas en esta fase: Metasploit para exploits conocidos, Burp Suite para aplicaciones web, sqlmap para SQL injection, scripts custom para casos específicos.

Fase 4: post-explotación

Entrar es solo el principio. Un pentest serio documenta qué se puede hacer una vez adentro, porque ese es el impacto real que le importa al cliente.

Acá el pentester escala privilegios (pasar de usuario limitado a administrador), hace movimiento lateral (saltar de un servidor comprometido a otros sistemas internos), busca datos sensibles (bases de datos, backups, credenciales guardadas), y evalúa persistencia (si es posible mantener acceso después de reinicios).

El objetivo no es causar daño — los pentests serios no exfiltran datos reales, no modifican producción, no dejan puertas traseras. El objetivo es demostrar hasta dónde podría llegar un atacante real.

Fase 5: reporting

La fase menos glamorosa y la más importante. Un hallazgo brillante mal reportado no vale nada. Un hallazgo medianamente interesante bien explicado genera acción inmediata del cliente.

Un reporte de pentest decente tiene al menos estas partes:

  • Resumen ejecutivo — una o dos páginas que el CEO entienda, con nivel de riesgo general y hallazgos más críticos en lenguaje no técnico
  • Metodología aplicada — qué marco se usó, qué alcance cubrió, qué quedó fuera
  • Hallazgos detallados — cada vulnerabilidad con descripción, severidad, evidencia (screenshots, comandos), pasos para reproducirla, impacto de negocio y recomendación de remediación
  • Timeline ejecutivo — qué pasó en qué orden durante el engagement
  • Plan de remediación priorizado — qué arreglar primero y por qué

Un reporte que llega en 48 horas después del último día de testing, que tiene menos de 20 páginas para un pentest mediano, o que solo incluye lista de CVEs con severidad automática, no es un reporte de pentest. Es un entregable de compliance falsificado.

Tipos de pentest según qué querés testear

"Pentest" a secas no existe. Siempre es un pentest de algo. Los tipos más comunes según alcance:

Network pentest externo. Ataca tu infraestructura desde internet, como lo haría alguien que no tiene acceso previo a tu red. Prueba servidores expuestos, VPN, servicios públicos, DNS, correo. Es el punto de partida estándar para la mayoría de las empresas.

Network pentest interno. Simula que alguien ya entró a tu red corporativa — empleado malicioso, contratista, phishing exitoso, dispositivo comprometido. Prueba cuánto daño puede hacer desde adentro. Más profundo y generalmente más costoso que el externo.

Web application pentest. Se enfoca en una o más aplicaciones web específicas. Autenticación, autorización, lógica de negocio, inyecciones, manejo de sesiones, APIs. Si tu empresa vive de una aplicación web, este es el pentest que más necesitás hacer regularmente.

API pentest. Variante del anterior enfocada en APIs REST, GraphQL, SOAP. Cada vez más importante porque la mayoría de los ataques modernos pasan por APIs mal diseñadas, no por la interfaz web tradicional.

Mobile pentest. Aplicaciones iOS y Android. Incluye análisis del binario, tráfico de red, almacenamiento local, comunicación con backend. Requiere pentesters especializados — no cualquier pentester web puede hacer mobile bien.

Cloud pentest. Infraestructura AWS, Azure, GCP. Permisos IAM mal configurados, buckets públicos, funciones serverless inseguras, contenedores con privilegios excesivos. Es un nicho creciente con pocos profesionales realmente buenos.

Wireless pentest. Redes Wi-Fi corporativas. Evalúa si alguien desde la vereda podría comprometer tu red, o si un atacante dentro de la oficina puede saltar desde la red de invitados a la corporativa.

Physical pentest. El más cinematográfico. El pentester intenta entrar físicamente a tu edificio, oficina o datacenter. Tailgating, ingeniería social con recepción, bypass de controles de acceso. Poco común en PyMEs latinoamericanas pero crítico para sectores regulados.

Social engineering pentest. Campañas controladas de phishing, vishing (llamadas telefónicas), smishing (SMS). Mide qué porcentaje de empleados cae en intentos realistas y qué tan rápido reporta el equipo de seguridad.

Red team engagement. No es un tipo de pentest sino otra cosa entera. Si te interesa, lo cubrí en Red teaming: qué es y cuándo contratarlo.

Black box, grey box, white box

Otra clasificación frecuente: cuánta información le das al pentester antes de empezar.

En black box no le das nada. Solo la URL o rango de IPs. Debe descubrir todo desde cero. Simula mejor a un atacante externo real, pero es menos eficiente porque el pentester gasta tiempo en descubrimiento que podrías haberle ahorrado.

En grey box le das información parcial: credenciales de usuario normal, arquitectura de alto nivel, lista de endpoints principales. Es el balance más común y generalmente el que mejor relación costo-beneficio ofrece.

En white box le das todo: código fuente, credenciales admin, diagramas de red, documentación interna. Es el más profundo y el que encuentra más cosas, pero requiere más tiempo y confianza en el proveedor.

Mi recomendación para la mayoría de empresas medianas: grey box. El black box suena más honesto pero gastás plata en cosas que ya sabés. El white box es excelente pero requiere compartir información sensible que puede no ser apropiado con todos los proveedores.

Cuánto sale y qué estás comprando

Rangos de mercado 2026 en LATAM, orientativos:

USD 1.500-3.500. Lo que cuesta es un vulnerability scan automatizado. Útil para tener un baseline, no es pentest. Si alguien te vende "pentest" por esto, está mintiendo.

USD 5.000-10.000. Pentest de una aplicación web chica o red externa acotada. Una semana de trabajo de un pentester con OSCP.

USD 10.000-20.000. Pentest de aplicación web mediana con múltiples roles, o red interna de tamaño medio. Dos a tres semanas.

USD 20.000-35.000. Pentest exhaustivo que combina web, infraestructura y algo de ingeniería social. Cuatro semanas o más.

USD 35.000-60.000. Pentest amplio de organización mediana con múltiples aplicaciones, compliance complejo (PCI DSS Level 1, entornos regulados) o industrias que requieren metodologías especiales.

USD 50.000+. Entra territorio de red teaming o evaluaciones multi-disciplinarias extendidas.

Lo que influye en el precio: cantidad de hosts o endpoints, complejidad de la aplicación, profundidad requerida, certificaciones que el cliente exige al pentester (algunos regulados piden explícitamente OSCP o CREST), tiempo de retesting incluido, nivel de idioma del reporte (español, inglés, ambos).

Lo que no debería influir demasiado: si el pentester trabaja remoto o presencial (remoto es estándar salvo physical pentest), si usa herramientas comerciales o open source (buen pentester usa ambas según convenga), si es firma grande o consultor independiente (hay consultores solos mejores que muchas firmas).

Cómo evaluar una propuesta sin que te vendan humo

Dame cinco minutos con una propuesta y te digo si el proveedor es serio. Esto es lo que miro.

Metodología explícita. Si la propuesta no menciona OWASP, PTES, NIST 800-115 o framework equivalente, mal comienzo. No alcanza con decir "seguimos las mejores prácticas" — eso no significa nada.

Certificaciones del equipo. Para pentesting serio, OSCP es el piso. Para red teaming, OSEP o CRTO mínimo. Si la propuesta lista al equipo con certificaciones vencidas, no relevantes (Security+ no califica para pentester senior), o directamente sin certificaciones, mal.

Reporte de ejemplo redacted. Un proveedor serio puede mostrarte, bajo NDA, cómo se ve un reporte real previo con datos sensibles tachados. Si se niegan o dan excusas, probablemente el reporte es malo y no quieren que lo veas.

Alcance específico. La propuesta debe listar qué exactamente van a testear, qué queda fuera, qué horarios, qué pasa si encuentran algo crítico que podría ser explotado por otros mientras dura el engagement. Una propuesta vaga es bandera roja enorme.

Retesting incluido. Después de que arreglen los hallazgos, alguien tiene que validar que efectivamente los arreglaron. Si el retesting es un costo adicional no mencionado, eso sale mal después.

NDA bilateral antes de propuesta detallada. Un proveedor serio firma NDA contigo antes de pedirte detalles de tu infraestructura. Si no te piden NDA, probablemente no son serios con la confidencialidad.

Referencias verificables. No hablo de logos en el sitio — hablo de clientes actuales que estén dispuestos a atender una llamada tuya y hablar del servicio recibido. Si no pueden darte dos o tres referencias así, algo anda mal.

Reglas de engagement claras. Qué IPs están dentro, qué IPs están fuera, contactos de emergencia 24/7 por si algo se rompe, ventanas horarias permitidas, procedimiento si descubren una vulnerabilidad crítica que se está explotando en la vida real durante el engagement. Todo esto documentado antes del primer comando.

Señales de alerta concretas

Estas cosas deberían hacerte poner las manos en los bolsillos y buscar otro proveedor:

  • Precio muy por debajo del rango para el alcance que pediste.
  • Entrega prometida en 48 horas para un pentest de tamaño medio (no hay pentest real que se haga en 48 horas).
  • Reporte ejemplo que se ve como output de Nessus con logo del proveedor encima.
  • Equipo sin certificaciones ofensivas reconocidas.
  • Propuesta genérica que podría valer para cualquier cliente sin adaptación al tuyo.
  • Garantías de "encontrar todas las vulnerabilidades" — nadie puede garantizar eso y el que lo dice no entiende el negocio.
  • Descuentos agresivos si firmás rápido. Presión de ventas es indicador de que necesitan tu dinero más de lo que necesitan hacer buen trabajo.
  • Resistencia a explicar metodología cuando preguntás detalles técnicos. Si al segundo email tenés al comercial y nunca conociste al técnico que hará el trabajo, cuidado.

Cada cuánto hacer pentesting

Esto varía según tamaño y obligaciones regulatorias, pero una guía general:

Anualmente como mínimo para empresas con controles ya establecidos, como parte de su programa de seguridad continuo. La mayoría de los frameworks de compliance lo piden (ISO 27001, SOC 2 Type II, PCI DSS).

Antes de cada release mayor de aplicaciones críticas. No tiene sentido lanzar una refactorización enorme sin pentesting previo.

Trimestralmente para aplicaciones de muy alto valor (fintech, health data, infraestructura crítica) o con superficie de ataque que cambia constantemente.

Inmediatamente después de un incidente de seguridad, un cambio arquitectónico grande o una adquisición de otra empresa.

Lo que no funciona es hacer un pentest una vez y olvidarse tres años. Las aplicaciones cambian, las herramientas de ataque evolucionan, y lo que era seguro en 2024 puede no serlo en 2026.

Próximos pasos

Si llegaste hasta acá, probablemente estás evaluando si contratás pentesting o si lo que tenías contratado es realmente un pentest. Dos recursos que complementan esta guía:

Y si lo que te interesa es la disciplina del otro lado —ser pentester, no contratar uno— empezá por Cómo convertirse en pentester desde cero.

Para el contexto completo de las tres disciplinas ofensivas, el hub está en Seguridad Ofensiva: qué es Ethical Hacking, Pentesting y Red Teaming.

¿Estás evaluando una propuesta de pentesting y querés segunda opinión sobre si la estás leyendo bien? Escribinos a contacto@capacero.online.