Ciberseguretat · Pentesting 27 de marc de 2026 10 min de lectura

Pentest: que es, quant costa i quan ho necessita la teva empresa

Un test de penetracio no es una auditoria de papers. Es un atac real contra la teva infraestructura, executat per professionals, per trobar les vulnerabilitats abans que les trobi algu amb males intencions. Aquesta guia explica tipus, preus reals a Espanya i quan ets obligat a fer-ho.

CS

Carlos Salgado CEO & Co-founder · Delbion

La majoria d'empreses descobreixen les seves vulnerabilitats de dues maneres: fent un pentest, o patint un atac. La segona opcio sol sortir considerablement mes cara.

Que es un pentest (i que no es)

Un pentest, o test de penetracio, es una simulacio controlada d'un ciberatac real contra la teva infraestructura, aplicacions o persones. L'objectiu es identificar vulnerabilitats explotables abans que ho faci un atacant real.

El que un pentest no es:

Una exploracio automatitzada de vulnerabilitats (mes barata, molt menys informativa).
Una auditoria de compliment normatiu (que comprova si els controls existeixen, no si funcionen).
Una revisio de politiques de seguretat.

Tipus de pentest segons l'objectiu

1

Caixa negra (Black box)

L'equip ataca sense informacio previa, simulant un atacant extern. L'escenari mes realista per simular un atac des d'internet.

2

Caixa grisa (Grey box)

L'escenari mes comu. L'equip te acces limitat per simular un empleat compromes o un provedor amb acces parcial. Millor relacio cost-benefici.

3

Caixa blanca (White box)

Acces complet: codi font, arquitectura, credencials d'administrador. Permet la revisio mes exhaustiva possible. Ideal per a aplicacions critiques.

Quant costa un pentest a Espanya

3.000 - 6.000 EUR Pentest web basic (1-3 aplicacions)

8.000 - 20.000 EUR Test d'infraestructura completa empresa mitjana

20.000 - 50.000+ EUR Red team engagement complet

Desglos de costos per modalitat

Modalitat	Rang de preu	Duracio tipica
Pentest web (1 app, caixa grisa)	3.000 - 6.000 EUR	3-5 dies
Pentest web (multiples apps o API complexa)	6.000 - 12.000 EUR	5-10 dies
Pentest de xarxa interna	5.000 - 15.000 EUR	3-7 dies
Pentest d'infraestructura completa	12.000 - 25.000 EUR	2-4 setmanes
Campanya de phishing simulat	2.000 - 5.000 EUR	2-4 setmanes
Red team engagement	25.000 - 60.000+ EUR	4-12 setmanes

Quan necessita la teva empresa un pentest

1

Abans d'una auditoria de certificacio (ISO 27001, ENS)

Les entitats certificadores esperen que hagis avaluat activament les teves vulnerabilitats. Un pentest previ a l'auditoria redueix el risc de sorpreses.

2

Per complir amb NIS2

NIS2 obliga les entitats critiques i importants a implementar mesures de seguretat que inclouen avaluacions tecniques regulars. Els pentests son la prova mes objectiva que aquestes avaluacions son reals.

3

Abans de llançar un producte o infraestructura critica

Si vas a llançar una aplicacio web amb dades de clients o una API publica, fer un pentest abans del llançament es la diferencia entre trobar el problema tu o que el trobi algu a internet.

NIS2 i ISO 27001: quan el pentest deixa de ser opcional

ISO 27001 no obliga explicitament a fer un pentest, pero el control A.8.8 (gestio de vulnerabilitats tecniques) fa que en la practica sigui molt dificil obtenir la certificacio sense haver avaluat activament els teus sistemes.

NIS2 es mes directa. L'article 21 de la directiva obliga les entitats afectades a implementar mesures que inclouen proves de seguretat periodiques. Les empreses que no puguin demostrar que realitzen aquestes proves s'exposen a sancions de fins a 10 milions d'euros o el 2% de la facturacio global.

Avaluacio de seguretat sense cost

Abans de llançar un proces de pentest, fem una primera avaluacio de la teva superficie d'atac: quins sistemes estan exposats, quins vectors son mes critics i quin tipus de test te mes sentit per a la teva situacio.

Sol·licitar avaluacio gratuita

Com triar un provedor de pentesting

Metodologia: Quins estandards segueixen: OWASP Testing Guide, PTES, NIST SP 800-115, OSSTMM.
Certificacions de l'equip: OSCP, CEH, GPEN, CREST. No son obligatories pero son un senyal de nivell tecnic real.
Experiencia al teu sector: Un pentest en un hospital te implicacions diferents que un en una plataforma e-commerce.
Qualitat de l'informe: Demana un exemple d'informe. Ha d'incloure: troballes amb severitat (CVSS), evidencia d'explotacio, impacte real, recomanacions prioritzades i un resum executiu per a no tecnics.
Retesting inclos: Un provedor seriós inclou una ronda de retesting per verificar que les vulnerabilitats trobades han estat corregides.

Preguntes frequents

Quant costa un pentest a Espanya?

Depen de l'abast. Un pentest d'aplicacio web basica esta entre 3.000 i 6.000 EUR. Un test d'infraestructura completa per a una empresa de 50-200 empleats sol estar entre 8.000 i 20.000 EUR. Els red team engagements complets poden superar els 40.000 EUR.

Cada quan temps cal fer un pentest?

La practica habitual es almenys un cop a l'any. A mes, despres de canvis importants en infraestructura, abans de certificacions (ISO 27001, ENS) i despres d'incidents. Per a empreses afectades per NIS2, la periodicitat es practicament obligatoria.

NIS2 obliga a fer pentests?

NIS2 obliga a realitzar proves de seguretat periodiques. Els pentests son la forma mes objectiva de complir amb aquest requisit. Per a entitats critiques (sanitat, banca, energia, infraestructura digital), l'absencia de proves de seguretat regulars pot portar a sancions de fins a 10 milions d'euros o 2% de la facturacio global.

CS

Carlos Salgado CEO i Co-founder de Delbion. Especialista en ciberseguretat ofensiva, certificacions ISO 27001 i ENS, i compliment regulatori a Espanya.

Vols saber quines vulnerabilitats te la teva empresa?

Fem una avaluacio inicial gratuita de la teva superficie d'atac: quins sistemes estan exposats, quins vectors son mes critics i quin tipus de pentest te mes sentit per a tu.

Sol·licitar avaluacio gratuita