Ethical hacking y pruebas de penetración reales para validar exposición, impacto y remediación antes de un incidente.
Un pentest —o prueba de penetración, test de penetración— es una evaluación de seguridad controlada en la que un equipo especializado simula los mismos ataques que ejecutaría un adversario real. A diferencia del escaneo automático de vulnerabilidades, que se limita a listar posibles debilidades sin verificarlas, el pentesting las explota activamente para confirmar su impacto concreto sobre la organización.
El objetivo es medir el riesgo real sobre los tres pilares de la seguridad de la información: Confidencialidad (¿puede un atacante acceder a datos que no le corresponden?), Integridad (¿puede modificarlos o manipularlos?) y Disponibilidad (¿puede interrumpir los sistemas o servicios?).
En Chile, la Ley Marco de Ciberseguridad (Ley 21.663) establece obligaciones de seguridad para operadores de infraestructura crítica, mientras que la Ley 21.719 de Protección de Datos Personales exige medidas técnicas proporcionales para proteger la información de las personas. El pentesting es la herramienta más directa para demostrar que esas medidas funcionan bajo condiciones de ataque real.
Verificamos que solo los usuarios autorizados acceden a datos sensibles. Probamos autenticación, control de acceso y filtración de información.
Comprobamos que los datos no pueden ser alterados sin autorización. Buscamos inyecciones, manipulación de parámetros y vulnerabilidades de lógica de negocio.
Evaluamos si es posible interrumpir los servicios. Identificamos configuraciones débiles que permiten denegación de servicio o abuso de recursos.
En Chile, tres marcos normativos crean una obligación directa o indirecta de demostrar controles técnicos de seguridad: la Ley Marco de Ciberseguridad (Ley 21.663) para operadores de servicios esenciales e infraestructura crítica, la Ley 21.719 de Protección de Datos Personales para toda empresa que trate datos de personas naturales, y las normas internacionales adoptadas contractualmente (ISO 27001, PCI-DSS). Un informe de pentesting con CVSS es la evidencia técnica más aceptada en auditorías regulatorias para demostrar que las medidas implementadas funcionan bajo condiciones reales de ataque.
Evaluamos cada vector posible de compromiso con las mismas herramientas y técnicas que usan los atacantes reales.
Análisis de puertos, servicios, protocolos y configuraciones de red interna y perimetral. Detección de firewalls bypasseables y segmentación débil.
SQLi, XSS, SSRF, IDOR, broken auth e insecure deserialization. Cobertura del OWASP Top 10 y WSTG sobre todas las rutas de la aplicación.
REST, GraphQL y SOAP. Bypass de autorización, mass assignment, rate-limit bypass y exposición de datos sensibles en endpoints.
Simulación realista de un actor adversario. Movimiento lateral, persistencia, exfiltración de datos y evasión de EDR/AV con objetivos concretos.
Misconfiguraciones en cloud: roles IAM sobreasignados, buckets expuestos, secrets en CI/CD y exposición de metadatos de instancias.
Un proceso riguroso y documentado desde el primer contacto hasta la verificación final de remediación.
4 fases, entregables en cada etapa, retesting incluido al cierre.
Alcance, activos en scope, metodología (black / grey / white box) y firma de NDA + autorización legal.
OSINT, fingerprinting de tecnologías y mapeo de superficie de ataque interna y externa.
Exploits, chaining, escalación de privilegios y movimiento lateral con evidencia documentada.
Reporte ejecutivo + técnico con CVSS, PoC y guía de remediación. Retesting gratuito incluido.
Cada modalidad ofrece una perspectiva distinta. Combinamos enfoques para la evaluación más realista posible.
El escenario más realista. Nuestro equipo actúa exactamente como un atacante externo sin credenciales ni documentación interna.
Acceso limitado (credenciales de usuario estándar, documentación básica). Equilibra realismo con profundidad de análisis técnico.
Código fuente, arquitectura, credenciales de admin y diagramas de red disponibles. Máxima profundidad técnica, mínimo tiempo muerto.
La inversión varía según el alcance, la complejidad de tus sistemas y la profundidad requerida.
1-2 aplicaciones web, < 10 endpoints
$3,000 - $6,000 USD
Timeline: 3-5 días de testing
Network, 20-50 VMs, sistemas multi-layer
$15,000 - $25,000 USD
Timeline: 2-3 semanas de testing
Múltiples apps, infrastructure completa, social engineering
$30,000 - $50,000+ USD
Timeline: 4+ semanas de testing
Estos son casos reales de pentesting que ejecutamos. Los nombres están anonimizados pero los números son verídicos.
API REST con autenticación JWT, 50+ endpoints, Python + Node.js
Situación: Crecimiento rápido, regulación financiera creciente, nunca habían hecho pentesting profesional. App en producción con 1M+ transacciones diarias.
Hallazgos clave (15 días de testing):
Resultado: Remedición en 2 semanas. Cliente pasó auditoría de Banco Central con nuestro reporte. Re-test confirmó cierre de todos los críticos. Inversión: $18,000 USD. Evitó multa regulatoria estimada en $500,000+.
Infraestructura AWS, web + mobile apps, payment processing integrado
Situación: Preparándose para entrar en marketplace de retailer mayor. Requerían pentesting como parte de onboarding.
Hallazgos clave (18 días de testing):
Resultado: Aprobados por retailer. Ganaron contrato de $5M/año. Remediación completada en 3 semanas, re-test confirmó todos cerrados. Inversión: $22,000 USD. ROI: 227x en año 1.
Todo lo que necesitas saber antes de contratar pentesting, ethical hacking o una prueba de penetración para empresas.
Recursos relacionados:
cuándo hacer pentesting,
pentesting web para empresas,
ciberseguridad para empresas,
ransomware en Chile
y
servicio de ciberseguridad.
No hay un tiempo fijo. Antes de comenzar hacemos una evaluación del alcance: qué tipo de prueba se realizará, cuántos sistemas o aplicaciones están involucrados y cuál es la complejidad del entorno. Con esa información estimamos la duración. Dependiendo del caso puede ser cuestión de días o extenderse varias semanas.
En la gran mayoría de los casos, no. Coordinamos horarios de menor tráfico y usamos técnicas controladas. Antes del inicio firmamos el alcance exacto para evitar sorpresas.
Para entornos productivos críticos ofrecemos modalidad safe-mode que excluye exploits destructivos o que puedan causar indisponibilidad.
Más del 80% del trabajo es manual. Usamos herramientas automáticas como apoyo para reconocimiento y escaneo inicial, pero la explotación, el análisis de lógica de negocio y la validación de hallazgos son siempre manuales. Cada prueba es personalizada según el entorno y los objetivos del cliente — no lanzamos scanners genéricos y llamamos eso un pentest.
Entregamos dos documentos: uno ejecutivo (para directivos) y uno técnico (para ingenieros). Ambos incluyen:
La recomendación estándar es al menos una vez al año, y adicionalmente después de cualquier cambio mayor en la arquitectura, lanzamiento de nuevas funcionalidades o ante requisitos de cumplimiento (ISO 27001, PCI-DSS, SOC 2).
Un escaneo automatizado lista posibles vulnerabilidades sin verificarlas. Un pentest las explota activamente para confirmar su impacto real, encadena vulnerabilidades y demuestra el camino completo de ataque — información que un escáner nunca puede entregar.
Sí. Realizamos revisiones de configuración y pruebas de penetración en Azure, AWS y GCP, incluyendo IAM, storage, Kubernetes, redes virtuales y pipelines CI/CD. Cumplimos con las políticas de pentesting de cada proveedor.
¿Buscas una asesoría integral? Ver Asesoría en Ciberseguridad →
La mayoría de las brechas se descubren demasiado tarde. Una evaluación inicial gratuita puede cambiar eso esta semana.