Pentester es una palabra que se usa mucho y se entiende poco. Muchas empresas que contratan pentesting nunca se detienen a pensar qué es exactamente esa figura profesional que va a trabajar sobre sus sistemas. Otras asumen que es "alguien que sabe hackear" sin distinguirlo de otros perfiles de ciberseguridad. Y después aparece la confusión: ¿es lo mismo que un security engineer? ¿un ethical hacker? ¿un analista de seguridad?. La respuesta corta es no. Son profesionales distintos con funciones diferentes, y entender qué hace específicamente un pentester importa.

Este artículo explica qué es un pentester como figura profesional: qué hace, cómo piensa, qué tipos existen según especialización, en qué se diferencia de otros roles de seguridad, y por qué las empresas lo contratan. No es una guía para convertirse en uno ni un manual operativo para contratarlo — es el marco conceptual necesario para entender por qué esta función existe en la industria.

TL;DR — Un pentester es un profesional especializado en intentar romper sistemas de forma autorizada para encontrar vulnerabilidades antes que lo haga un atacante real. No es un hacker genérico ni un administrador de sistemas reciclado. Combina profundidad técnica, mentalidad adversarial y capacidad de comunicación en una mezcla poco común. Se especializa por área (web, infraestructura, cloud, mobile) y las empresas lo incorporan interno o contratado cuando necesitan validar su postura de seguridad contra ataques realistas.

Qué hace un pentester

El trabajo central de un pentester es simular ataques contra sistemas autorizados para identificar vulnerabilidades antes que un atacante real las encuentre. Pero eso suena más simple de lo que es, porque oculta varias dimensiones simultáneas del rol.

Un pentester es técnico profundo. No alcanza con saber usar herramientas — tiene que entender cómo funcionan los sistemas que ataca a nivel arquitectónico. Redes a nivel de paquete, sistemas operativos a nivel de kernel, aplicaciones a nivel de protocolo, bases de datos a nivel de storage interno. Sin esa base, puede ejecutar exploits ajenos pero no puede adaptar ataques a contextos nuevos ni descubrir vulnerabilidades específicas que nadie reportó antes.

Es creativo de una forma particular. Los sistemas se diseñan con casos de uso esperados en mente, y el trabajo del pentester es encontrar casos de uso inesperados que rompan la seguridad. Eso requiere una mentalidad específica: ver lo que los diseñadores no vieron, probar entradas que los desarrolladores no anticiparon, buscar combinaciones improbables que generen comportamientos no previstos.

Es metódico. A pesar de la imagen popular del hacker improvisando, el pentesting profesional sigue metodologías reconocidas (OWASP Testing Guide, PTES, NIST SP 800-115). Hay un orden, un proceso, criterios de completitud. El pentester creativo también es disciplinado — las dos cosas no compiten.

Es paciente. La mayor parte del trabajo diario de un pentester es reconocimiento y enumeración, no explotación glamorosa. Horas leyendo respuestas HTTP, mapeando endpoints, revisando headers, catalogando tecnologías. El hallazgo crítico típicamente aparece después de mucho tiempo de ese trabajo menos espectacular.

Y —quizás lo más importante desde la perspectiva empresarial— es comunicador. Porque el valor comercial del pentesting no está en el hackeo en sí, sino en el reporte que lo documenta. Un hallazgo técnico brillante mal explicado no genera acción. Un hallazgo medianamente interesante bien explicado se remedia rápido. Los pentesters que no pueden escribir bien tienen techo profesional duro, independientemente de su capacidad técnica.

La diferencia con otros roles de ciberseguridad

Hay confusión frecuente entre pentester y otros perfiles técnicos. Aclarar las diferencias ayuda a entender qué problema específico resuelve un pentester.

Un security engineer diseña, implementa y mantiene controles defensivos. Configura firewalls, despliega EDR, integra SIEMs, escribe reglas de detección. Trabaja del lado azul (blue team) construyendo defensas. Un pentester trabaja del lado rojo (red team) buscando formas de romperlas. Son mentalidades opuestas con objetivos complementarios.

Un SOC analyst monitorea alertas en tiempo real, investiga incidentes, responde a amenazas activas. Reacciona a lo que los sensores detectan. Un pentester genera actividades ofensivas que el SOC debería detectar. Si se coordinan explícitamente, el resultado es un purple team: el pentester/red team ataca y el SOC practica detección en tiempo real.

Un security auditor revisa cumplimiento con frameworks y estándares (ISO 27001, SOC 2, PCI DSS). Verifica procesos, entrevista personal, revisa documentación. Su trabajo es validar que existan los controles documentados. El pentester valida que esos controles funcionen en la práctica contra ataques realistas. Auditor y pentester son complementarios: uno certifica que hay proceso, el otro prueba que el proceso resiste.

Un threat intelligence analyst investiga grupos de amenaza, tácticas adversariales, tendencias de ataques. Produce inteligencia que defensores y pentesters usan. No ataca sistemas; investiga a los que lo hacen. Es un rol más cercano al análisis y la investigación que a la operación técnica.

Un security researcher descubre vulnerabilidades nuevas (zero-days) en software público. Publica CVEs, habla en conferencias académicas, genera investigación. A diferencia del pentester, no trabaja contra sistemas de clientes específicos; trabaja contra software disponible públicamente con el objetivo de divulgación responsable.

Todos estos son perfiles válidos de ciberseguridad, y una empresa madura típicamente necesita varios. El pentester específicamente resuelve la pregunta "¿qué tan vulnerables somos realmente contra un ataque?" — algo que ningún otro rol responde directamente.

Los tipos de pentester según especialización

Así como en medicina existen especialistas distintos para áreas distintas, en pentesting existen perfiles especializados. No es realista esperar que un pentester sea excelente en todas las áreas — el campo es demasiado amplio. Los subtipos más comunes:

Web application pentester

Especializado en aplicaciones web modernas: SPAs, APIs REST, GraphQL, microservicios. Domina OWASP Top 10 y mucho más allá de eso. Vive en Burp Suite, conoce vulnerabilidades de autenticación, autorización, lógica de negocio, inyecciones, y manejo de sesiones. Es el perfil más demandado del mercado porque casi todas las empresas tienen aplicaciones web críticas.

Network e infrastructure pentester

Se mueve cómodo entre Active Directory, Windows Server, sistemas Linux, redes internas corporativas. Fuerte en movimiento lateral, escalación de privilegios, ataques contra protocolos de red. Herramientas típicas: nmap, Metasploit, CrackMapExec o su fork moderno NetExec, BloodHound. Es el perfil para pentests internos corporativos y evaluación de redes empresariales tradicionales.

Cloud security pentester

Especializado en AWS, Azure, Google Cloud. Identifica configuraciones IAM problemáticas, buckets expuestos, privilegios excesivos en funciones serverless, secretos en pipelines CI/CD. Es un nicho creciente por la migración masiva a cloud — todavía hay relativamente pocos profesionales realmente buenos en esta área.

Mobile pentester

Dedicado a iOS y Android. Análisis de binarios, tráfico de red de apps, almacenamiento local, comunicación con backend, detección de reverse engineering. Requiere conocimiento específico de los sistemas móviles que no se transfiere automáticamente desde web o infraestructura. Es especialización profunda y relativamente escasa.

Red teamer

Va más allá del pentester estándar. Suma habilidades de adversary emulation, operational security, evasión avanzada de detección. Trabaja engagements largos (meses, no semanas), con objetivos específicos en lugar de descubrimiento amplio. Requiere experiencia previa como pentester más entrenamiento específico en técnicas y herramientas como Cobalt Strike o sus alternativas open source Sliver y Mythic. El perfil lo cubrimos en Red teaming: qué es y cuándo contratarlo.

Hardware e IoT pentester

Muy nicho. Ataca dispositivos físicos, firmware embebido, protocolos industriales (ICS/SCADA), dispositivos IoT. Herramientas que combinan software con hardware especializado (JTAG, analizadores lógicos, radios SDR). Relevante solo para industrias específicas: manufactura, energía, defensa, dispositivos médicos.

Exploit developer

Nicho ultra-técnico. Desarrolla exploits propios para vulnerabilidades descubiertas por él mismo o por otros. Conoce arquitectura de procesadores, internals de sistemas operativos, técnicas de evasión de mitigaciones modernas (ASLR, DEP, CFG). Es donde se hace la investigación que termina en CVEs y las herramientas que los pentesters regulares usan después.

Un pentester senior puede cubrir competentemente 2-3 de estas áreas con profundidad real. Un pentester que dice ser bueno en todas generalmente no es bueno en ninguna — el campo es demasiado grande.

Cómo piensa un pentester

Entender cómo piensa un pentester ayuda a ver por qué el rol aporta algo que otros roles no aportan, y por qué las empresas lo contratan.

Mentalidad adversarial

El pentester mira un sistema como lo haría un atacante, no como lo hizo el equipo que lo construyó. Donde los desarrolladores ven "acá está el formulario de login que autentica al usuario", el pentester ve "acá hay un punto de entrada que probablemente valida menos de lo que cree, que probablemente responde diferente a inputs válidos e inválidos, que probablemente tiene un rate limit que puede saltarse". No es cinismo — es el entrenamiento específico del rol.

Esta mentalidad es genuinamente distinta a la mentalidad constructiva de los desarrolladores y a la mentalidad defensiva de los security engineers. Por eso las empresas no pueden simplemente pedirle a su equipo interno de desarrollo o de seguridad que "haga el pentest". Sin entrenamiento adversarial específico, los resultados son muy distintos.

Asunción de falibilidad sistémica

El pentester asume que cada control falla eventualmente, en alguna combinación no anticipada. Donde la empresa ve "tenemos firewall más EDR más MFA, estamos protegidos", el pentester ve "tienen tres capas que pueden fallar cada una por razones distintas en momentos distintos, y un atacante solo necesita que una falle en el momento correcto".

Esto explica por qué los reportes de pentest a veces incluyen hallazgos que parecen teóricos: "credenciales guardadas en texto plano en script de backup" puede no ser explotable hoy si el script está bien protegido, pero es una vulnerabilidad latente que se materializa cuando cambie el contexto. Los pentesters piensan en futuros probables, no solo en presente inmediato.

Pensamiento en superficies conectadas

Un pentester no mira tu infraestructura por áreas del organigrama — mira por superficies de ataque conectadas. La aplicación web conectada a la base de datos conectada al servidor de backups conectado a la red interna. Un atacante no respeta divisiones departamentales; busca el camino más corto desde donde está hasta el objetivo, sin importar qué equipo sea responsable de cada salto.

Esta perspectiva expone caminos de ataque que los equipos internos raramente ven, precisamente porque los equipos internos están organizados por áreas funcionales. El pentester, al no pertenecer a ninguna, ve las conexiones entre todas.

Paciencia estratégica

El pentester sabe que el hallazgo crítico típicamente aparece después de mucho tiempo de trabajo poco interesante. No se frustra cuando un vector no funciona — rota a otro, y si ese tampoco funciona, a otro. La diferencia entre un pentester senior y uno junior rara vez es la herramienta que usan; es la disposición a persistir sin progreso visible y la capacidad de reconocer cuándo cambiar de enfoque.

Pentester interno vs contratado

Una decisión estratégica que las empresas medianas y grandes enfrentan eventualmente: ¿conviene tener pentester(s) interno(s) o contratar pentesting externo?

El pentester interno

Conoce la infraestructura en profundidad. Tiene contexto histórico sobre decisiones arquitectónicas, legacy, prioridades del negocio. Puede hacer pentesting continuo en lugar de ejercicios puntuales. Responde rápido cuando hay cambios o incidentes.

Sus limitaciones: se familiariza demasiado con lo que conoce y puede desarrollar puntos ciegos. Los incentivos pueden complicarse — reportar demasiadas vulnerabilidades críticas puede parecer que el equipo defensivo hace mal su trabajo. Y en organizaciones chicas, un solo pentester es un punto único de falla profesional.

Tiene sentido cuando la empresa es grande (500+ empleados típicamente), tiene aplicaciones críticas con cambios frecuentes, y puede mantener el rol desafiante y actualizado. Las empresas tech y los bancos tienen equipos internos robustos porque se justifican en volumen.

El pentester contratado

Llega con ojos frescos a cada engagement. Ve patrones desde múltiples clientes que un interno no ve. Está alineado profesionalmente con encontrar problemas — ese es su producto. Y puede traer especialización profunda que justificaría costos si fuera interna (mobile pentester dedicado para una empresa que hace una app al año, por ejemplo).

Sus limitaciones: conoce menos tu contexto específico. Tiene tiempo acotado por engagement. Puede ser más caro por hora facturada aunque total sea menor. Y la continuidad entre engagements depende de asignaciones del proveedor.

Tiene sentido para la mayoría de las empresas medianas, y complementariamente a equipos internos en empresas grandes. El patrón típico en empresas maduras: equipo interno hace pentesting continuo, proveedores externos hacen evaluaciones anuales profundas y especializadas.

El modelo híbrido

Algunas empresas resuelven la tensión con modelos híbridos. Un equipo interno pequeño (1-3 pentesters) que coordina estrategia y hace pentesting continuo, combinado con contratación regular de firmas externas para evaluaciones anuales profundas, especialización que no justifica cubrir interno, o certificaciones que requieren terceros independientes (SOC 2 Type II, PCI DSS).

Este modelo suele ser el más efectivo para empresas medianas-grandes que toman la seguridad ofensiva seriamente.

Por qué las empresas contratan pentesters

Más allá de "por seguridad", hay razones específicas que las empresas contratan esta figura. Entenderlas ayuda a tomar la decisión de cuándo y cómo hacerlo.

Validación realista de controles

Los controles de seguridad se diseñan en teoría y se implementan en la práctica. Entre medio hay brechas que solo se manifiestan contra ataques reales. Un pentester valida que lo implementado efectivamente protege contra lo que debería proteger. Es la diferencia entre "tenemos política de passwords complejos" y "probamos si realmente pueden resistir ataques de diccionario y encontramos que 12 cuentas tenían passwords triviales porque la política tiene excepciones que nadie recuerda".

Priorización basada en riesgo real

Toda empresa tiene vulnerabilidades más de las que puede remediar al mismo tiempo. La pregunta no es "¿cuáles tenemos?" sino "¿cuáles importan primero?". Un escaneo automatizado genera listas largas con criticidad teórica. Un pentester genera priorización basada en impacto real demostrado: "estas tres vulnerabilidades combinadas permiten acceso completo a la base de datos de clientes desde internet, empezá por ahí; estas otras quince son importantes pero requieren acceso previo".

Requerimientos regulatorios y de compliance

Muchos frameworks lo exigen explícitamente. PCI DSS para empresas que procesan tarjetas de crédito. HIPAA para salud en Estados Unidos. Varios frameworks de ISO 27001. SOC 2 Type II. Los auditores piden evidencia de pentesting regular y serio. En algunos sectores regulados de LATAM (bancos, aseguradoras, telecos), los reguladores locales exigen pentesting anual.

Requerimientos de clientes enterprise

Cada vez más, vender a clientes empresariales grandes incluye requerimientos de seguridad en los contratos. Pentesting anual por firma independiente es un requisito común para proveedores SaaS, integradores, contratistas. No tener programa de pentesting activo cierra puertas comerciales que los competidores aprovechan.

Debida diligencia en adquisiciones

Cuando una empresa adquiere otra, o cuando entra un inversor grande, cada vez más hay pentesting como parte del due diligence. Nadie quiere descubrir que compró una empresa con la infraestructura crítica comprometida.

Respuesta a incidentes y lecciones aprendidas

Después de un incidente de seguridad serio, el pentesting es parte estándar de la remediación. Para validar que lo que se rompió efectivamente se arregló, para identificar si hay otras vulnerabilidades relacionadas que no se detectaron, y para tranquilizar a stakeholders que el problema está bajo control.

Cultura de seguridad organizacional

Las empresas con cultura de seguridad madura usan pentesting como mecanismo continuo de feedback. Cada pentest genera mejoras específicas y mensurables. Cada reporte se discute en los equipos de ingeniería como aprendizaje, no solo como lista de pendientes. El pentester se vuelve interlocutor habitual, no alguien que aparece una vez al año y desaparece.

El rol en perspectiva

Un pentester es una pieza específica de un programa de ciberseguridad maduro, no un sustituto de otros controles. Su valor se maximiza cuando la empresa ya tiene controles básicos funcionando, procesos de remediación claros, y equipos capaces de actuar sobre los hallazgos. En empresas sin esa base, el pentester encuentra problemas que la empresa no puede resolver, y el ejercicio se diluye.

Visto desde la dirección, el pentester es la función que genera visibilidad honesta sobre el estado real de seguridad. Los paneles de dashboard muestran métricas operativas. Los auditores certifican procesos. El CISO reporta sobre implementación de controles. El pentester es el único rol que dice "intenté romper esto y este es el resultado crudo", sin matices políticos ni intereses alineados con otras áreas. Esa perspectiva tiene un valor específico que ningún otro rol provee.

Y desde el punto de vista de la industria, el rol del pentester evoluciona rápido. La migración masiva a cloud multiplicó el área de cloud pentesting. El crecimiento de APIs cambió el foco del web pentesting tradicional. La adopción de DevSecOps está integrando pentesting al ciclo de desarrollo en lugar de relegarlo a evaluaciones anuales. La IA generativa introduce nuevos vectores de ataque y nuevas herramientas defensivas que el pentesting está empezando a incorporar. El profesional de hace diez años y el de hoy comparten fundamentos pero operan sobre superficies muy distintas.

Próximos pasos

Si llegaste hasta acá y querés profundizar en aspectos específicos:

Para el contexto general, el hub está en Seguridad Ofensiva: qué es Ethical Hacking, Pentesting y Red Teaming.

¿Dudas sobre cómo encaja esta figura profesional en tu estrategia de seguridad, o cuándo incorporar un pentester interno vs contratar externamente? Escribinos a contacto@capacero.online.