Un pentest (o test de intrusión) es una prueba de seguridad controlada en la que un profesional intenta comprometer tus sistemas del mismo modo que lo haría un atacante real, pero con autorización y con el objetivo de reportar las vulnerabilidades. En este artículo explicamos qué tipos existen, cómo se estructura el trabajo y cuándo tiene sentido encargar uno.

Qué es exactamente un pentest

El pentest, penetration test o test de intrusión es un ejercicio ofensivo en el que se simula un ataque real contra una infraestructura, aplicación o entorno concreto, con el fin de identificar vulnerabilidades explotables. A diferencia de un simple escaneo automático, el pentest implica explotación de los hallazgos para demostrar el impacto real que tendrían en un escenario adverso.

El resultado no es una lista de posibles problemas, sino una demostración documentada de qué es lo que un atacante podría llegar a conseguir y cómo remediarlo.

Tipos de pentest según la información disponible

Una de las clasificaciones más habituales distingue el tipo de prueba por la cantidad de información que recibe el auditor al inicio:

Black box (caja negra)

El auditor no dispone de ningún dato interno sobre los sistemas. Arranca con la misma información que tendría un atacante externo: un dominio, una IP pública o el nombre de la empresa. Es el escenario más realista para medir la exposición a atacantes desconocidos, aunque también el más lento y costoso, porque obliga a invertir tiempo en reconocimiento.

White box (caja blanca)

El auditor recibe acceso completo: credenciales, código fuente, arquitectura, diagramas. Permite una revisión exhaustiva en menos tiempo y es ideal para encontrar el máximo número de vulnerabilidades posibles. Se recomienda para aplicaciones críticas o antes de una puesta en producción.

Gray box (caja gris)

Un equilibrio entre las dos anteriores. Se aporta información parcial: por ejemplo, credenciales de un usuario estándar sin privilegios, o una descripción general de la arquitectura. Simula de forma realista a un atacante que ya tiene un punto de apoyo (un empleado, un cliente, un partner comprometido).

Para la mayoría de empresas, el gray box ofrece la mejor relación entre profundidad de análisis y realismo del escenario. El black box puro suele reservarse para ejercicios de red team más amplios.

Tipos de pentest según el objetivo

Además del nivel de información, los pentest se clasifican también por lo que se audita:

  • Pentest externo: evalúa los sistemas accesibles desde internet (servidores, VPN, correo, web pública)
  • Pentest interno: simula un atacante que ya está dentro de la red corporativa (empleado, portátil comprometido, visitante con Wi-Fi)
  • Pentest de aplicación web: centrado en una o varias aplicaciones web, siguiendo normalmente la metodología OWASP
  • Pentest de aplicación móvil: revisa apps iOS y Android (almacenamiento, comunicaciones, API)
  • Pentest de API: específico para servicios REST, GraphQL o SOAP expuestos a consumidores
  • Pentest de infraestructura cloud: evalúa configuraciones de AWS, Azure, GCP y servicios gestionados
  • Pentest Wi-Fi: busca debilidades en las redes inalámbricas corporativas y de invitados
  • Ingeniería social: ejercicios de phishing, vishing y presencial para medir la concienciación del personal

Las fases de un pentest

Aunque los detalles varían según el alcance, la mayoría de pentests siguen cinco fases muy reconocibles:

1. Reconocimiento

Se recopila toda la información posible sobre el objetivo: dominios, subdominios, IPs, tecnologías, personas. En un pentest externo esto puede incluir OSINT (búsqueda en fuentes abiertas), fugas de credenciales en brechas públicas y huellas digitales de los servicios expuestos.

2. Escaneo y enumeración

Una vez identificados los activos, se analiza qué servicios exponen, qué versiones utilizan y qué vulnerabilidades conocidas podrían afectarles. Aquí se combinan herramientas automatizadas (Nmap, Nessus, Burp, ZAP) con revisión manual para validar y descartar falsos positivos.

3. Explotación

El auditor intenta aprovechar las vulnerabilidades encontradas para demostrar su impacto real: acceso a datos, ejecución de comandos, escalado de privilegios, movimiento lateral. Solo lo que se consigue explotar pasa al informe como hallazgo crítico.

4. Post-explotación

Una vez dentro, se evalúa hasta dónde puede llegar el atacante y qué activos están expuestos desde esa posición: bases de datos, Active Directory, credenciales adicionales, información sensible. Esta fase es la que transforma un hallazgo técnico en una narrativa de riesgo comprensible para la dirección.

5. Reporte

Es el entregable final. Un buen informe incluye un resumen ejecutivo para la dirección, el detalle técnico de cada vulnerabilidad, las pruebas que demuestran la explotación, la clasificación de riesgo (CVSS) y recomendaciones concretas de remediación priorizadas.

Cuándo necesita tu empresa un pentest

No existe una regla única, pero estas son las situaciones más habituales en las que encargar un pentest aporta un valor claro:

  • Antes del lanzamiento de una nueva aplicación o plataforma
  • Después de un cambio arquitectónico relevante (migración a la nube, nueva integración)
  • Como requisito de clientes, auditorías o licitaciones
  • Periódicamente (anual o semestralmente) en sistemas críticos o expuestos
  • Después de un incidente de seguridad, para validar la reparación
  • Como control técnico dentro de un SGSI ISO 27001 (control 8.29) o una adecuación ENS

Pentest vs análisis de vulnerabilidades

Son dos cosas distintas que a veces se confunden. Un análisis de vulnerabilidades es mayoritariamente automático: se ejecuta un scanner, se obtiene un listado de hallazgos y se entrega. Es rápido, barato y útil para un control continuo, pero contiene falsos positivos y no demuestra impacto.

Un pentest incluye el análisis de vulnerabilidades como primera fase, pero añade la validación manual y la explotación. Es más caro y más lento, pero el resultado es defendible frente a dirección, auditores y clientes porque muestra lo que un atacante podría conseguir de verdad.

Relación con ISO 27001 y ENS

Si tu empresa está certificada o quiere certificarse, el pentest aporta evidencia directa de varios controles:

  • ISO 27001:2022: controles 8.8 (gestión de vulnerabilidades técnicas), 8.29 (pruebas de seguridad) y 8.25 (ciclo de vida de desarrollo seguro)
  • ENS: medidas del Marco Operacional relativas a control de acceso, protección de las comunicaciones y monitorización, especialmente en categorías Media y Alta

Incluir un pentest recurrente en el plan de seguridad no es solo una buena práctica: puede ahorrar tiempo y hallazgos en la auditoría externa de certificación.

¿Necesitas un pentest para tu empresa?

En una consulta gratuita de 30 minutos analizamos tu entorno y te proponemos el alcance más adecuado: qué tipo de pentest, qué tamaño y qué coste aproximado. Sin compromiso.

Solicitar consulta gratuita →