Pentesting (Test de Penetración)
Evaluación de seguridad autorizada que simula ataques reales contra sistemas, redes o aplicaciones para identificar vulnerabilidades explotables antes de que lo hagan los ciberdelincuentes. En el contexto forense, los informes de pentesting son evidencia clave para demostrar negligencia en seguridad, evaluar responsabilidades tras brechas de datos y documentar el estado de seguridad de una organización.
Pentesting (test de penetración)
El mercado global de pentesting alcanzó los 2.740 millones de dólares en 2025, con una proyección de 7.410 millones para 2034 (Fortune Business Insights). En España, el mercado de pentesting se valoró en 44,29 millones de dólares en 2025, con un crecimiento del 15,6% anual, impulsado por el RGPD (Art. 32) y la Directiva NIS2 que exigen tests de seguridad regulares. Más del 70% de las empresas ya utilizan Penetration Testing as a Service (PTaaS), reflejando la evolución hacia modelos de testing continuo frente al pentesting puntual tradicional (Cyphere, 2025).
Definición técnica
El pentesting (penetration testing o test de penetración) es una evaluación de seguridad técnica en la que profesionales autorizados simulan ataques cibernéticos reales contra la infraestructura, aplicaciones o sistemas de una organización para identificar vulnerabilidades explotables. A diferencia del análisis de vulnerabilidades (que solo identifica debilidades potenciales), el pentesting demuestra activamente que las vulnerabilidades son explotables y documenta el impacto real de su explotación.
Tipos de pentesting por conocimiento previo:
| Tipo | Conocimiento del pentester | Simula | Uso |
|---|---|---|---|
| Black box | Ninguna información previa | Atacante externo sin privilegios | Evaluación más realista |
| White box | Acceso completo (código fuente, arquitectura, credenciales) | Auditoría interna completa | Evaluación más exhaustiva |
| Grey box | Información parcial (credenciales de usuario, documentación parcial) | Atacante con acceso interno limitado | Equilibrio realismo/profundidad |
Tipos de pentesting por objetivo:
| Objetivo | Alcance | Herramientas típicas |
|---|---|---|
| Red (infraestructura) | Servidores, redes, Active Directory | Nmap, Metasploit, BloodHound |
| Web | Aplicaciones web, APIs | Burp Suite, OWASP ZAP, sqlmap |
| Móvil | Apps iOS/Android | Frida, MobSF, Objection |
| Wireless | WiFi, Bluetooth | Aircrack-ng, Kismet |
| Social engineering | Factor humano | Gophish, SET |
| Physical | Acceso físico a instalaciones | Lockpicking, clonación de tarjetas |
| Cloud | AWS, Azure, GCP | ScoutSuite, Prowler, Pacu |
| Red Team | Simulación completa de ataque avanzado (APT) | Combinación de todas las anteriores |
Pentesting vs Red Team
El pentesting tradicional evalúa vulnerabilidades técnicas en un alcance definido durante un período limitado (1-4 semanas). El Red Team simula un ataque avanzado persistente (APT) completo, incluyendo ingeniería social, intrusión física y evasión de defensas, durante semanas o meses, evaluando no solo la tecnología sino también los procesos y personas de la organización.
Metodología de un pentesting profesional
Definición de alcance y reglas de compromiso (RoE)
Antes de iniciar el test, se acuerdan por escrito: los sistemas incluidos y excluidos del alcance, los horarios permitidos para el testing, las técnicas permitidas y prohibidas, los contactos de emergencia en caso de caída de servicio, y la autorización formal firmada por la dirección. SIN autorización escrita, un pentesting es un delito (Art. 197 bis CP).
Reconocimiento (Reconnaissance)
Recopilación de información sobre el objetivo: dominios, subdominios, IPs públicas, empleados (LinkedIn, OSINT), tecnologías utilizadas, servicios expuestos. Herramientas: Nmap, Shodan, theHarvester, dnsrecon.
Escaneo y enumeración
Identificación activa de puertos abiertos, servicios en ejecución, versiones de software, y vulnerabilidades conocidas (CVEs). Herramientas: Nessus, OpenVAS, Nikto, dirb.
Explotación
Intento de explotar las vulnerabilidades identificadas para obtener acceso no autorizado. Se documenta cada paso con capturas de pantalla y logs. Herramientas: Metasploit, Burp Suite, sqlmap, exploit-db.
Post-explotación y pivoting
Si se obtiene acceso, se evalúa: qué datos son accesibles, es posible escalar privilegios, se puede acceder a otros sistemas (movimiento lateral), y cuál es el impacto real de la vulnerabilidad.
Informe y remediación
El entregable final incluye: resumen ejecutivo, metodología empleada, vulnerabilidades encontradas clasificadas por criticidad (CVSS), evidencia de explotación, impacto de negocio, y recomendaciones de remediación priorizadas.
Pentesting y peritaje forense: la conexión clave
Para un perito informático forense, el pentesting es relevante en varios escenarios:
Escenarios donde pentesting y forense se encuentran:
| Escenario | Rol del pentesting | Rol del perito |
|---|---|---|
| Post-brecha | El pentesting previo (o su ausencia) demuestra diligencia o negligencia | El perito documenta la brecha y evalúa si un pentesting la habría prevenido |
| Cumplimiento normativo | RGPD Art. 32, NIS2 exigen evaluaciones de seguridad | El perito verifica si las evaluaciones se realizaron correctamente |
| Litigio por daños | Los resultados del pentesting son prueba del estado de seguridad | El perito interpreta los resultados del pentesting para el tribunal |
| Due diligence M&A | Pentesting evalúa riesgos ciber en fusiones/adquisiciones | El perito certifica los hallazgos del pentesting |
| Investigación de insider | Pentesting red team incluye tests de ingeniería social | El perito investiga si el insider explotó las mismas vulnerabilidades |
Valor probatorio del informe de pentesting:
- Un informe de pentesting realizado antes de una brecha que documentó la vulnerabilidad explotada es evidencia de conocimiento previo y posible negligencia si no se remedió
- La ausencia de pentesting puede considerarse incumplimiento del Art. 32 RGPD (“evaluaciones regulares de la eficacia de las medidas técnicas”)
- Los informes de pentesting son admisibles como prueba pericial en tribunales españoles cuando cumplen los estándares de documentación
Caso práctico: pentesting como prueba de negligencia tras ransomware
Nota: El siguiente caso es un ejemplo compuesto y anonimizado basado en tipologías reales de peritaje informático. No representa un caso específico real.
Contexto: Un hospital privado de Barcelona sufrió un ataque de ransomware que cifró los sistemas de historial clínico, paralizando la actividad durante 5 días y afectando datos de 120.000 pacientes. La aseguradora (póliza de ciberseguro) denegó la cobertura alegando incumplimiento de los requisitos de seguridad de la póliza, que incluían “penetration testing anual”.
Investigación forense:
- Revisión del pentesting: El hospital había contratado un pentesting 8 meses antes del ataque. El informe identificaba 3 vulnerabilidades críticas: RDP expuesto a internet sin MFA, controlador de dominio sin parchear (EternalBlue), y contraseñas débiles en cuentas de administración
- Estado de remediación: El perito forense verificó que NINGUNA de las 3 vulnerabilidades críticas había sido remediada en los 8 meses transcurridos. Los parches pendientes se documentaron en los logs de Windows Update
- Vector de ataque: El ransomware entró por el RDP expuesto (exactamente la vulnerabilidad documentada en el pentesting), utilizó EternalBlue para movimiento lateral, y las contraseñas débiles facilitaron el acceso al Domain Admin
- Cadena de responsabilidad: El perito documentó que las tres vulnerabilidades identificadas en el pentesting fueron las tres explotadas en el ataque, demostrando negligencia en la remediación
Resultado: El informe pericial determinó que el hospital tenía conocimiento documentado de las vulnerabilidades (informe de pentesting) y no actuó para remediarlas. La AEPD impuso sanción de 500.000 EUR por infracción grave del RGPD (datos de salud desprotegidos). La aseguradora fue respaldada judicialmente en la denegación de cobertura por incumplimiento de requisitos de la póliza.
Marco legal en España
Autorización obligatoria:
- Art. 197 bis CP: Realizar un pentesting SIN autorización escrita del titular del sistema constituye delito de acceso ilícito a sistemas informáticos, con penas de 6 meses a 2 años de prisión. La autorización debe ser explícita, por escrito, con alcance definido
- Consentimiento informado: La organización que autoriza el pentesting debe tener competencia legal para hacerlo (propiedad o gestión de los sistemas). Un pentesting contra infraestructura de terceros (hosting, cloud) requiere autorización del proveedor
Obligación regulatoria de testing:
- Art. 32 RGPD: “un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento”. El pentesting es la forma más directa de cumplir este requisito
- Directiva NIS2 (transpuesta como RDL 7/2025): Art. 21 exige “políticas y procedimientos para evaluar la eficacia de las medidas de gestión de riesgos de ciberseguridad”, incluyendo pentesting
- DORA (Reglamento UE 2022/2554): Obliga a entidades financieras a realizar “testing de penetración guiado por amenazas” (TLPT) periódicamente
- ENS (RD 311/2022): El Esquema Nacional de Seguridad exige auditorías de seguridad que incluyen pruebas de intrusión para sistemas de nivel alto
Estándares profesionales:
- PTES (Penetration Testing Execution Standard): Estándar metodológico de referencia
- OWASP Testing Guide: Guía específica para pentesting de aplicaciones web
- OSSTMM (Open Source Security Testing Methodology Manual): Metodología integral de testing de seguridad
- CREST: Certificación profesional de pentesters reconocida internacionalmente
Sin autorización = delito
Un pentesting realizado sin autorización escrita del titular del sistema es un delito tipificado en el Art. 197 bis del Código Penal español, con penas de 6 meses a 2 años de prisión. Antes de iniciar cualquier test, siempre debe existir un contrato firmado que defina el alcance, las reglas de compromiso y la autorización explícita.
Conceptos relacionados
- WAF (Web Application Firewall) - Los pentesting web evalúan la eficacia del WAF
- Inyección SQL - Una de las vulnerabilidades más buscadas en pentesting web
- XSS (Cross-Site Scripting) - Otra vulnerabilidad prioritaria en pentesting de aplicaciones
- Escalada de privilegios - Técnica de post-explotación evaluada en pentesting
- Brecha de datos - El pentesting previene brechas; su ausencia agrava la responsabilidad
- OSINT - Fase de reconocimiento en todo pentesting
Preguntas frecuentes
¿Cada cuánto tiempo hay que hacer un pentesting?
No existe una frecuencia universal obligatoria por ley, pero el Art. 32 del RGPD exige evaluaciones “regulares”. Las mejores prácticas recomiendan: pentesting completo al menos una vez al año, pentesting adicional tras cambios significativos en la infraestructura (migración cloud, nueva aplicación, cambio de proveedor), y testing continuo (PTaaS) para aplicaciones web críticas. Las entidades financieras bajo DORA deben realizar TLPT cada 3 años como mínimo.
¿Cuánto cuesta un pentesting?
En España, los precios varían según el alcance. Un pentesting web básico de una aplicación puede costar 2.000-5.000 EUR. Un pentesting de infraestructura de red de tamaño medio oscila entre 5.000-15.000 EUR. Un Red Team completo (simulación de APT durante semanas) puede alcanzar 30.000-80.000 EUR. Los precios del mercado español están por debajo de la media europea (44,29 millones USD de mercado total en 2025).
¿Puede un perito informático hacer pentesting?
Si, si tiene las competencias técnicas necesarias y la autorización escrita del titular. Sin embargo, pentesting y peritaje son funciones distintas. El pentester evalúa la seguridad antes de un incidente; el perito investiga después. Si un perito realizó el pentesting previo, podría argumentarse conflicto de intereses si luego debe peritar un incidente en la misma organización. Es recomendable separar ambas funciones.
¿Qué ocurre si el pentesting causa daños en los sistemas?
El contrato de pentesting debe incluir una cláusula de limitación de responsabilidad y un protocolo para incidentes accidentales. El pentester profesional toma precauciones: trabajar en horarios de bajo tráfico, tener backup antes de tests destructivos, y mantener comunicación con el equipo de IT del cliente. Si se causa un daño por negligencia, la responsabilidad contractual recae en el pentester (o su empresa). Por eso es fundamental que los pentesters tengan seguro de responsabilidad civil profesional.
Herramientas habituales de pentesting
El ecosistema de herramientas de pentesting combina soluciones open-source y comerciales:
Herramientas de reconocimiento y escaneo:
| Herramienta | Tipo | Función principal | Coste |
|---|---|---|---|
| Nmap | Open-source | Descubrimiento de hosts y puertos, fingerprinting de servicios | Gratuito |
| Shodan | SaaS | Motor de búsqueda de dispositivos conectados a internet | Freemium |
| theHarvester | Open-source | Recopilación de emails, subdominios, IPs desde fuentes públicas | Gratuito |
| Amass | Open-source | Enumeración de subdominios y mapeo de superficie de ataque | Gratuito |
| Nessus | Comercial | Escaneo automatizado de vulnerabilidades | 3.500+ EUR/año |
Herramientas de explotación:
| Herramienta | Tipo | Función principal | Coste |
|---|---|---|---|
| Metasploit | Open-source/Pro | Framework de explotación con miles de exploits | Gratuito / Pro 15.000+ |
| Burp Suite | Comercial | Proxy de interceptación y testing de aplicaciones web | 450+ EUR/año |
| sqlmap | Open-source | Automatización de inyección SQL | Gratuito |
| Cobalt Strike | Comercial | Simulación de adversarios (C2 framework) | 5.900 USD/año |
| BloodHound | Open-source | Análisis y explotación de relaciones en Active Directory | Gratuito |
Herramientas de post-explotación:
| Herramienta | Tipo | Función principal |
|---|---|---|
| Mimikatz | Open-source | Extracción de credenciales de memoria Windows |
| Impacket | Open-source | Protocolos de red para movimiento lateral |
| PowerShell Empire | Open-source | Framework de post-explotación basado en PowerShell |
| Chisel | Open-source | Tunneling TCP/UDP sobre HTTP |
| LinPEAS/WinPEAS | Open-source | Enumeración automatizada de vectores de escalada de privilegios |
Entregables de un pentesting profesional
Un informe de pentesting de calidad debe incluir los siguientes componentes:
Estructura del informe:
- Resumen ejecutivo: Visión de alto nivel para dirección y consejo, sin jerga técnica. Nivel de riesgo global, hallazgos críticos, y recomendaciones prioritarias
- Alcance y metodología: Sistemas evaluados, tipo de test (black/grey/white box), período de ejecución, estándares seguidos (PTES, OWASP), y herramientas utilizadas
- Hallazgos clasificados por severidad: Cada vulnerabilidad documentada con:
- Identificador único y título descriptivo
- Severidad (Crítica/Alta/Media/Baja/Informativa) según CVSS v3.1
- Descripción técnica detallada
- Evidencia de explotación (capturas de pantalla, logs)
- Impacto de negocio
- Recomendación de remediación con prioridad
- Referencia a CWE/CVE cuando aplique
- Matriz de riesgos: Visualización de vulnerabilidades por probabilidad e impacto
- Plan de remediación priorizado: Acciones ordenadas por criticidad con tiempos estimados
- Anexos técnicos: Logs completos, código de exploits personalizados, configuraciones analizadas
CVSS para clasificación de severidad
El Common Vulnerability Scoring System (CVSS) v3.1 proporciona una puntuación de 0 a 10 para clasificar la severidad de cada vulnerabilidad: Crítica (9.0-10.0), Alta (7.0-8.9), Media (4.0-6.9), Baja (0.1-3.9), Informativa (0.0). Esta clasificación es comprendida universalmente por la industria y por tribunales familiarizados con ciberseguridad.
Certificaciones profesionales de pentesting
Certificaciones más reconocidas:
| Certificación | Organismo | Nivel | Coste aproximado |
|---|---|---|---|
| OSCP | Offensive Security | Intermedio-Avanzado | 1.650+ USD |
| OSWE | Offensive Security | Avanzado (web) | 1.650+ USD |
| GPEN | SANS/GIAC | Intermedio | 2.500+ USD (examen) |
| CEH | EC-Council | Básico-Intermedio | 1.200+ USD |
| CREST CRT | CREST | Intermedio | Variable |
| eWPTX | eLearnSecurity | Avanzado (web) | 400+ USD |
| BSCP | PortSwigger | Intermedio (web) | 99 USD |
Relevancia en el mercado español:
En España, las certificaciones más valoradas para pentesters son OSCP (considerada la más práctica y exigente), CREST (reconocida en el ámbito europeo y requerida por algunos contratos gubernamentales), y GPEN (asociada a la formación SANS, de prestigio académico). Para informes periciales, las certificaciones del pentester que realizó el test refuerzan la credibilidad del informe.
Pentesting continuo vs puntual
Evolución del modelo de servicio:
El modelo tradicional de pentesting puntual (una vez al año) está siendo reemplazado por enfoques de testing continuo:
| Modelo | Frecuencia | Ventaja | Limitación |
|---|---|---|---|
| Puntual | Anual o semestral | Evaluación profunda | Obsoleto al día siguiente |
| Continuo (PTaaS) | Diario o semanal | Detección temprana de nuevas vulnerabilidades | Menor profundidad por test |
| Bug Bounty | Continuo | Diversidad de investigadores | Menos control, alcance impredecible |
| Red Team | Semestral o anual | Evaluación holística (tecnología + personas + procesos) | Mayor coste |
Recomendación para el mercado español: Las PYMEs españolas (que representan el 99,8% del tejido empresarial) suelen beneficiarse más de un pentesting web anual (2.000-5.000 EUR) complementado con escaneo automatizado de vulnerabilidades mensual, que de un Red Team completo fuera de su presupuesto.
Referencias y fuentes
Fortune Business Insights - “Penetration Testing Market Size: USD 2.74 billion in 2025, projected USD 7.41 billion by 2034”. fortunebusinessinsights.com
Cognitive Market Research - “Spain Penetration Testing market: USD 44.29 million in 2025, CAGR 15.6%”. cognitivemarketresearch.com
Cyphere - “Penetration Testing Statistics, Trends and Facts 2026: 70%+ firms using PTaaS”. thecyphere.com
RGPD - Reglamento (UE) 2016/679, Art. 32 sobre seguridad del tratamiento. eur-lex.europa.eu
Directiva NIS2 - Directiva (UE) 2022/2555, Art. 21 sobre medidas de gestión de riesgos. eur-lex.europa.eu
DORA - Reglamento (UE) 2022/2554 sobre resiliencia operativa digital, Art. 26-27. eur-lex.europa.eu
OWASP - “Web Security Testing Guide”, guía completa de pentesting web. owasp.org
PTES - “Penetration Testing Execution Standard”. pentest-standard.org
Código Penal - Art. 197 bis sobre acceso ilícito a sistemas informáticos. boe.es
DeepStrike - “Top Penetration Testing Companies in Spain 2025”. deepstrike.io
¿Necesitas un peritaje forense?
Si necesitas ayuda profesional con análisis forense digital, estoy aquí para ayudarte.
Solicitar Consulta Gratuita