La mayoria de las empresas descubren sus vulnerabilidades de dos maneras: haciendo un pentest, o sufriendo un ataque. La segunda opcion suele salir bastante mas cara.
En esta guia voy a explicar exactamente que es un test de penetracion, los tipos que existen, los rangos de precio reales en el mercado espanol y los casos en los que no es opcional. Si al final quieres una valoracion para tu empresa, hay un formulario de contacto al final.
Que es un pentest (y que no es)
Un pentest, o test de penetracion, es una simulacion controlada de un ciberataque real contra tu infraestructura, aplicaciones o equipo humano. El objetivo es identificar vulnerabilidades explotables antes de que lo haga un atacante real.
Lo que no es un pentest:
- Un escaneo automatizado de vulnerabilidades (eso es un vulnerability scan, mucho mas barato y mucho menos informativo).
- Una auditoria de cumplimiento normativo (que revisa si los controles existen, no si funcionan).
- Una revision de politicas de seguridad.
Un pentest lo hace un equipo humano especializado que intenta activamente comprometer tus sistemas usando las mismas tecnicas que usaria un atacante. La diferencia es que tienen contrato firmado y te entregan un informe al final.
Dato clave: El 93% de las redes empresariales son vulnerables a ataques internos segun el informe de Positive Technologies 2024. El pentest es la unica forma de saberlo antes de que alguien mas lo descubra.
Tipos de pentest segun el objetivo
No todos los pentests son iguales. El alcance define el precio y lo que vas a obtener:
Por nivel de informacion compartida
El equipo ataca sin informacion previa, simulando un atacante externo que no conoce tu infraestructura. Es el escenario mas realista para simular un ataque desde internet. Mas lento y mas caro por hora de trabajo, pero da una vision muy precisa de como te ve un atacante real.
El escenario mas comun. El equipo tiene acceso limitado (credenciales de usuario basico, documentacion parcial) para simular un empleado interno, un proveedor comprometido o un atacante que ya ha obtenido acceso inicial. Muy eficiente en coste-beneficio.
Acceso completo: codigo fuente, arquitectura, credenciales de administrador. Permite la revision mas exhaustiva posible. Ideal para aplicaciones criticas donde quieres certeza total, no solo una simulacion de ataque.
Por objeto del test
| Tipo | Que se evalua | Para quien |
|---|---|---|
| Pentest de red | Infraestructura de red, servidores, firewalls, VPN, segmentacion | Cualquier empresa con infraestructura propia o en cloud |
| Pentest de aplicacion web | Webs, APIs, portales de cliente, aplicaciones SaaS propias | E-commerce, fintech, healthtech, cualquier empresa con presencia web |
| Pentest de aplicacion movil | Apps iOS y Android: autenticacion, cifrado, comunicaciones | Empresas con app propia |
| Ingenieria social | Equipo humano: phishing simulado, llamadas, pretexting | Empresas que quieren evaluar el factor humano |
| Red team engagement | Ataque completo: red, sistemas, personas, fisico | Empresas con madurez de seguridad alta que quieren simulacion realista |
Cuanto cuesta un pentest en Espana
Los precios varian segun el alcance, el nivel de complejidad y el proveedor. Estos son los rangos reales del mercado espanol en 2026:
La variable que mas mueve el precio no es el tamano de la empresa, sino el alcance del perimetro evaluado: cuantas IPs, cuantas aplicaciones, cuantos sistemas criticos entran en el test.
Cuidado con los precios anormalmente bajos: Un pentest por debajo de 2.000 EUR en la mayoria de casos es un escaneo automatizado con un informe de herramienta encima. No tiene el mismo valor. Un pentest real requiere tiempo humano de un especialista con experiencia.
Desglose de costes por modalidad
| Modalidad | Rango de precio | Duracion tipica | Notas |
|---|---|---|---|
| Pentest web (1 app, caja gris) | 3.000 - 6.000 EUR | 3-5 dias | Mas comun en PYMEs. Cubre OWASP Top 10 y vectores especificos |
| Pentest web (multiple apps o API compleja) | 6.000 - 12.000 EUR | 5-10 dias | E-commerce, portales con muchas funcionalidades, APIs REST |
| Pentest de red interna | 5.000 - 15.000 EUR | 3-7 dias | Varia mucho segun numero de IPs y segmentos de red |
| Pentest de infraestructura completa | 12.000 - 25.000 EUR | 2-4 semanas | Red + sistemas + aplicaciones. Tipico para certificacion ISO 27001 |
| Campana de phishing simulado | 2.000 - 5.000 EUR | 2-4 semanas (campana) | Mide cuantos empleados caen. Se combina habitualmente con formacion |
| Red team engagement | 25.000 - 60.000+ EUR | 4-12 semanas | Simulacion de ataque avanzado (APT). Para empresas con madurez alta |
Cuando necesita tu empresa un pentest
Hay situaciones en las que el pentest deja de ser opcional:
Las entidades certificadoras esperan que hayas evaluado activamente tus vulnerabilidades. Un pentest previo a la auditoria reduce el riesgo de sorpresas y demuestra madurez en el proceso de gestion de riesgos.
La directiva NIS2 obliga a las entidades criticas e importantes a implementar medidas de seguridad que incluyen evaluaciones tecnicas regulares. Los pentests son la prueba mas objetiva de que esas evaluaciones son reales.
Si vas a lanzar una aplicacion web con datos de clientes, una API publica o un sistema de pago, hacer un pentest antes del lanzamiento es la diferencia entre encontrar el problema tu o que lo encuentre alguien en internet.
Cada migracion cloud, cada integracion nueva, cada cambio de arquitectura puede introducir vulnerabilidades nuevas. Los pentests post-cambio son mas cortos y baratos porque el alcance es mas acotado.
Si has sufrido un ataque, saber exactamente como entraron y que mas podrian haber comprometido es imprescindible antes de volver a la normalidad. Un pentest post-incidente cierra el circulo.
Cada vez mas empresas, especialmente en banca, seguros, salud y sector publico, exigen a sus proveedores evidencia de pruebas de penetracion antes de firmar contratos. El pentest pasa a ser un requisito comercial.
NIS2 e ISO 27001: cuando el pentest deja de ser opcional
ISO 27001 no obliga explicitamente a hacer un pentest, pero el control A.8.8 (gestion de vulnerabilidades tecnicas) y el proceso de analisis de riesgos hacen que en la practica sea muy dificil obtener la certificacion sin haber evaluado activamente tus sistemas. Las auditoras certificadoras preguntan por ello.
NIS2 es mas directa. El articulo 21 de la directiva exige a las entidades afectadas implementar medidas que incluyen "pruebas y auditorias de seguridad periodicas". Cuando la transposicion espanola entre en vigor, las entidades criticas e importantes que no puedan demostrar que realizan estas pruebas se exponen a sanciones de hasta 10 millones de euros o el 2% de su facturacion global.
La logica es simple: si tienes que cumplir con NIS2 o ISO 27001, un pentest anual no es un gasto discrecional. Es parte del coste de cumplimiento.
Sectores mas afectados por NIS2 en Espana: Energia, banca, infraestructura de mercados financieros, sanidad, agua potable, infraestructura digital, transporte, administracion publica, espacio. Si tu empresa opera en cualquiera de estos sectores, los pentests regulares son practicamente obligatorios.
Como elegir un proveedor de pentesting
No todos los proveedores son iguales. Estas son las preguntas que debes hacer antes de contratar:
- Metodologia: Que estandares siguen: OWASP Testing Guide, PTES (Penetration Testing Execution Standard), NIST SP 800-115, OSSTMM. Un proveedor serio tiene metodologia documentada.
- Certificaciones del equipo: OSCP, CEH, GPEN, CREST. No son obligatorias, pero son una senal de nivel tecnico real.
- Experiencia en tu sector: Un pentest en un hospital tiene implicaciones distintas a uno en una plataforma e-commerce. El proveedor deberia tener referencias en tu sector.
- Calidad del informe: Pide un ejemplo de informe. Debe incluir: hallazgos con severidad (CVSS), evidencia de explotacion, impacto real, recomendaciones priorizadas y un resumen ejecutivo para no tecnicos.
- Retesting incluido: Un proveedor serio incluye una ronda de retesting para verificar que las vulnerabilidades encontradas han sido corregidas. Si no lo incluye, pregunta el coste.
Evaluacion de seguridad sin coste
Antes de lanzar un proceso de pentest, hacemos una primera evaluacion de tu superficie de ataque: que sistemas estan expuestos, que vectores son mas criticos y que tipo de test tiene mas sentido para tu situacion. Sin compromiso.
Solicitar evaluacion gratuitaPreguntas frecuentes
Cuanto cuesta un pentest en Espana?
Depende del alcance. Un pentest de aplicacion web basica esta entre 3.000 y 6.000 EUR. Un test de infraestructura completa para una empresa de 50-200 empleados suele estar entre 8.000 y 20.000 EUR. Los red team engagements completos pueden superar los 40.000 EUR. El precio real lo determina el numero de sistemas en alcance y la complejidad.
Cada cuanto tiempo hay que hacer un pentest?
La practica habitual es al menos una vez al ano. Ademas, tras cambios importantes en infraestructura, antes de certificaciones (ISO 27001, ENS) y despues de incidentes. Para empresas afectadas por NIS2, la periodicidad es practicamente obligatoria.
Que diferencia hay entre pentest y vulnerability scan?
Un vulnerability scan es una herramienta automatizada que lista vulnerabilidades conocidas. Un pentest es un ataque real ejecutado por humanos que intenta explotar esas vulnerabilidades para ver que impacto real tendrian. El scan te dice que puede estar mal; el pentest te dice que puede hacer un atacante con ello.
NIS2 obliga a hacer pentests?
NIS2 obliga a realizar pruebas de seguridad periodicas. Los pentests son la forma mas objetiva de cumplir con ese requisito. Para entidades criticas (sanidad, banca, energia, infraestructura digital), la ausencia de pruebas de seguridad regulares puede llevar a sanciones de hasta 10 millones de euros o 2% de la facturacion global.
Puedo hacer el pentest internamente?
Para objetivos de cumplimiento normativo (ISO 27001, NIS2), el pentest debe ser realizado por un equipo independiente: o externo, o un equipo interno totalmente separado del equipo de desarrollo y operaciones. La independencia es lo que le da validez a los resultados.