La palabra "pentest" evoca a un hacker de sudadera tecleando en la oscuridad, y a muchas empresas les produce un pudor curioso: "¿y si contratamos uno y encuentran algo?". Ese miedo es exactamente al revés. Un pentest existe justamente para que quien encuentre tus fallas sea tu aliado, con un reporte en la mano, y no un atacante real, con un ransomware. Quitémosle el misterio y el miedo.
Qué es un pentest, sin drama
Un penetration test (prueba de penetración) es un ataque simulado y autorizado contra tus propios sistemas, ejecutado por profesionales, con el objetivo de encontrar y demostrar vulnerabilidades antes de que las encuentre un atacante real. Las tres palabras clave: simulado (no busca hacer daño), autorizado (con permiso explícito, un contrato y reglas de compromiso) y demostrar (no solo listar fallas, sino probar qué se puede lograr con ellas). Es contratar a alguien para que intente entrar a tu casa, con tu permiso, y luego te explique por dónde lo logró.
Pentest vs. escaneo de vulnerabilidades: no son lo mismo
Esta confusión hace que muchos crean que ya "hicieron un pentest" cuando corrieron una herramienta. Un escaneo de vulnerabilidades es automatizado: una herramienta revisa tus sistemas y lista fallas potenciales. Es útil y barato, pero se queda en "esto podría ser explotable". Un pentest va más allá: un humano toma esas fallas, las explota de verdad, y —lo más valioso— las encadena (una vulnerabilidad menor + otra menor = compromiso total), demostrando el impacto real. El escáner dice "hay una ventana sin seguro"; el pentester entra por ella, llega a la caja fuerte, y te enseña el camino. Para priorizar de verdad, esto se apoya en entender las vulnerabilidades y cuáles se explotan en el mundo real.
Los sabores que vas a escuchar
Un pentest se define por dos ejes. Según cuánta información recibe el probador: caja negra (nada, como un atacante externo real), caja blanca (acceso y documentación, para revisar a fondo) o caja gris (parcial, el equilibrio común). Y según desde dónde ataca: externo (contra tu perímetro, desde internet) o interno (desde dentro de tu red, simulando a un empleado malicioso o un malware que ya entró). Hay además pentests especializados: de aplicación web, de red, de WiFi, de ingeniería social (phishing simulado) e incluso físicos.
Cómo se ve por dentro: las fases
Un pentest serio sigue una metodología, no improvisa:
- Reconocimiento: reunir información sobre el objetivo, como haría un atacante paciente.
- Escaneo: mapear qué sistemas, puertos y servicios están expuestos.
- Explotación: aprovechar las vulnerabilidades para obtener acceso, sin romper la operación.
- Post-explotación: ver hasta dónde se puede llegar —moverse lateralmente, escalar privilegios—, que es donde se mide el daño real posible.
- Reporte: el entregable que de verdad importa.
Todo ocurre bajo reglas de compromiso acordadas: qué está dentro y fuera de alcance, en qué horarios, y sin tumbar producción. Un buen pentester demuestra el riesgo sin causarlo.
Las fases de un pentest, bajo reglas de compromiso: recon, escaneo, explotación, post-explotación y el reporte accionable que importa.
El entregable que separa un pentest de un truco
El producto final no es "entramos, ja": es un reporte accionable con los hallazgos priorizados por riesgo real, la evidencia de cada uno, y —lo crucial— cómo remediarlos. Un pentest sin un reporte que tu equipo pueda ejecutar es teatro caro. El valor no está en el hackeo; está en el mapa de qué arreglar primero.
El contrapeso honesto: qué NO es
Para que sirva, hay que entender sus límites. Un pentest es una foto en el tiempo, no una garantía perpetua: mañana sale una vulnerabilidad nueva y esa foto envejece. No reemplaza la seguridad continua —el parcheo, el monitoreo, el EDR, la gestión de identidad, el MFA—, los complementa. Y su valor depende del alcance: un pentest de perímetro no te dice nada de tus riesgos internos. Nadie que sea serio te venderá un pentest como un sello de "100% seguro".
La pregunta que vale la pena hacerse
El miedo a hacer un pentest —"¿y si encuentran algo?"— es la pregunta equivocada. Van a encontrar algo; siempre hay algo. La pregunta correcta es: ¿prefieres que lo encuentre tu aliado, con un reporte y un plan de remediación, o tu atacante, con tus datos cifrados y una nota de rescate? Descubrir tus debilidades a propósito y en tus términos es de las inversiones de seguridad más maduras que existen —el punto de partida de un assessment de seguridad serio—.