¿Qué es exactamente un pentest?
Un pentest es un ataque simulado, autorizado y controlado contra tus sistemas, realizado por especialistas en seguridad ofensiva que usan las mismas técnicas que un atacante real — pero documentando cada hallazgo en lugar de explotarlo con fines maliciosos. El objetivo es encontrar las vulnerabilidades explotables antes de que lo haga alguien sin buenas intenciones.
Tipos de pentest
- Black box: el pentester no tiene información previa del sistema, igual que un atacante externo real.
- Gray box: se otorga acceso limitado (credenciales de usuario, por ejemplo), simulando una amenaza interna o una cuenta comprometida.
- White box: acceso completo a código y arquitectura, para una revisión exhaustiva.
- Pentest web / aplicación: enfocado en vulnerabilidades como SQLi, XSS, IDOR o fallas de autenticación en apps y APIs.
- Pentest de infraestructura: red interna, servidores, Active Directory, segmentación.
- Red team: simulación de un ataque real completo, incluyendo ingeniería social, para probar detección y respuesta, no solo vulnerabilidades técnicas.
Pentest vs. escaneo de vulnerabilidades: no son lo mismo
Un vulnerability scan es automatizado y lista vulnerabilidades conocidas por firma — útil, pero superficial. Un pentest va más allá: encadena varias vulnerabilidades menores para demostrar impacto real (por ejemplo, de un XSS a robo de sesión a acceso administrativo completo). Si tu proveedor solo corre un scanner y te entrega el PDF sin interpretar, no estás recibiendo un pentest real.
¿Cada cuánto se debe hacer?
Mínimo una vez al año, y adicionalmente cada vez que haya un cambio significativo en la infraestructura.
Además de la cadencia anual, se recomienda un pentest después de:
- Lanzar una aplicación o API nueva a producción.
- Migrar infraestructura a la nube o cambiar de proveedor.
- Fusiones, adquisiciones o integración de redes de terceros.
- Un incidente de seguridad, para validar que la remediación cerró realmente la brecha.
- Requisitos de cumplimiento o exigencias contractuales de clientes/socios (cada vez más común en LATAM cuando se factura a empresas extranjeras).
Qué debe incluir un buen reporte de pentest
Un reporte útil no es una lista de vulnerabilidades genéricas exportadas de una herramienta. Debe incluir evidencia de explotación paso a paso, severidad basada en impacto real de negocio (no solo CVSS), y recomendaciones de remediación específicas y priorizadas — más un retest posterior para confirmar que sí se corrigieron.
¿Cuándo fue tu último pentest?
Black Husk Security realiza pentesting web, de infraestructura y red team para empresas en México y LATAM.
Solicitar un pentest