Pentest vs Escaneo de Vulnerabilidades: diferencia real y cuál contratar para tu empresa

Respuesta directa

El escaneo de vulnerabilidades es un proceso automatizado que identifica fallas conocidas en los sistemas, genera una lista de posibles riesgos y puede ejecutarse continuamente a bajo costo, pero no prueba que la explotación sea posible. El pentest es una evaluación manual conducida por especialistas que simula un ataque real, confirma cuáles fallas son explotables y demuestra el impacto concreto en el negocio. Ambos son complementarios: el escaneo rastrea la superficie de ataque todos los días; el pentest valida lo que realmente importa.

En resumen

  • El escaneo automatizado detecta vulnerabilidades conocidas rápidamente, pero genera falsos positivos y no prueba la explotación real.
  • El pentest es conducido por profesionales humanos que encadenan fallas para demostrar el impacto en el negocio, algo que ninguna herramienta hace por sí sola.
  • PCI DSS 4.0 exige ambos: el escaneo ASV trimestral y el pentest anual (o tras cambios significativos) son requisitos distintos, no intercambiables.
  • El costo del escaneo varía de R$ 500 a R$ 8.000/mes según el alcance; el pentest externo parte de R$ 12.000 y puede superar los R$ 80.000 en entornos complejos.
  • El error más caro es presentar el informe de escaneo al auditor como sustituto del pentest: la diferencia se identifica de inmediato y genera una no conformidad.
  • La combinación ideal es escaneo continuo para visibilidad cotidiana y pentest periódico para validar el impacto real y cumplir con el compliance.

Qué es el escaneo de vulnerabilidades y cómo funciona

El escaneo de vulnerabilidades es el proceso de rastreo automatizado de activos digitales —servidores, aplicaciones web, APIs, dispositivos de red— en busca de configuraciones incorrectas, versiones desactualizadas de software y fallas catalogadas en bases como el NVD (National Vulnerability Database) y el CVE. Herramientas como Nessus, Qualys, OpenVAS y Tenable.io ejecutan ese rastreo en minutos u horas, cruzando las características del entorno con firmas de vulnerabilidades conocidas.

El resultado es una lista priorizada por severidad CVSS —Crítica, Alta, Media, Baja— que indica qué sistemas tienen mayor probabilidad de ser comprometidos. Esa lista, sin embargo, no confirma que la falla sea efectivamente explotable en ese contexto específico. Un CVE crítico puede existir en un puerto inaccesible desde el exterior; el escáner no lo sabe. Por eso, tasas de falsos positivos del 20% al 40% son comunes según la herramienta y la configuración del entorno.

La principal ventaja del escaneo es la frecuencia: puede ejecutarse diariamente o casi en tiempo real, garantizando visibilidad continua sobre la superficie de ataque. Para empresas con decenas o cientos de activos, esa cobertura continua es insustituible: ningún equipo de pentesters logra seguir ese ritmo manualmente. El costo también es proporcionalmente bajo: las soluciones SaaS comienzan en torno a R$ 500/mes para alcances pequeños y llegan a R$ 8.000/mes para grandes parques de activos con informes gerenciales incluidos.

Qué es el pentest y por qué es diferente

La prueba de intrusión —o pentest, del inglés penetration test— es una evaluación de seguridad conducida por profesionales especializados que simulan, de forma controlada y autorizada, el comportamiento de un atacante real. El objetivo no es enumerar vulnerabilidades potenciales, sino probar cuáles de ellas son efectivamente explotables en el entorno analizado y cuál sería el impacto concreto: acceso a datos de clientes, movimiento lateral entre sistemas, compromiso de infraestructura crítica.

A diferencia del escáner, el pentester encadena vulnerabilidades. Una falla de baja severidad en un servicio auxiliar puede combinarse con una configuración incorrecta de permisos para escalar privilegios y alcanzar la base de datos principal, un camino que ninguna herramienta automatizada trazaría por sí sola. Esa capacidad de razonamiento contextual es lo que hace al pentest insustituible para evaluaciones de riesgo reales.

Existen distintos tipos de pentest según el alcance y el nivel de conocimiento inicial: caja negra (atacante externo sin información previa), caja gris (credenciales limitadas o documentación parcial) y caja blanca (acceso completo al código fuente y a la arquitectura). Cada modalidad responde a una pregunta de negocio diferente. El costo de un pentest externo de aplicación web comienza en torno a R$ 12.000 para alcances simples y puede superar los R$ 80.000 en entornos corporativos complejos con múltiples sistemas integrados.

El informe de pentest entrega algo que el escáner nunca entrega: una narrativa de ataque reproducible, con evidencias (capturas de pantalla, volcados de datos, logs), prueba de impacto y recomendaciones priorizadas por el riesgo real, no por el CVSS teórico. Ese documento es lo que los auditores de seguridad, los consejos directivos y las aseguradoras de ciberriesgo necesitan ver.

Gestión de Amenazas · Gratis

Solicita ahora un diagnóstico gratuito y descubre cuáles vulnerabilidades de tu entorno son realmente explotables, antes de que un atacante lo descubra por ti.

Sin tarjeta, sin compromiso. Descubre en minutos qué ya se filtró de tu empresa y cuál es tu riesgo real.

Tabla comparativa: pentest vs escaneo de vulnerabilidades

La tabla a continuación consolida las diferencias operativas entre ambos enfoques. Úsala para alinear expectativas con los stakeholders y justificar presupuestos internamente: | Criterio | Escaneo de Vulnerabilidades | Pentest | |---|---|---| | **Ejecución** | Automatizada (herramienta) | Manual (profesional especializado) | | **Profundidad** | Superficial — compara versiones y firmas | Profunda — encadena fallas, explora el contexto | | **Frecuencia** | Continuo o diario | Puntual (anual, semestral o tras cambios) | | **Costo medio** | R$ 500–R$ 8.000/mes | R$ 12.000–R$ 80.000+ por ciclo | | **Falso positivo** | Alto (20–40%) | Bajo — todo lo reportado fue confirmado | | **Prueba de impacto** | No — indica riesgo potencial | Sí — demuestra explotación real y consecuencia | | **Conformidad PCI DSS** | Escaneo ASV trimestral (Req. 11.3.2) | Pentest anual obligatorio (Req. 11.4) | | **Entregable principal** | Lista de CVEs por severidad CVSS | Informe narrativo con evidencias y cadena de ataque | | **Tiempo de ejecución** | Minutos a horas | Días a semanas |

Ninguna fila de la tabla vuelve un enfoque superior al otro: responden a preguntas diferentes. El escaneo responde: ¿qué activos están expuestos ahora? El pentest responde: ¿qué puede hacer con eso un atacante real?

Cuándo contratar cada uno (y cuándo contratar los dos)

Contratar un escaneo de vulnerabilidades tiene sentido como práctica continua, independientemente del tamaño de la empresa. Si operas cualquier activo digital —servidor, aplicación web, API, VPN— necesitas saber, casi en tiempo real, si se publicó una nueva falla crítica que afecte tu entorno. Eventos como el Log4Shell (CVE-2021-44228) mostraron que las empresas con escaneo continuo identificaron la exposición en horas; las que no tenían monitoreo tardaron semanas. El escaneo es, por lo tanto, el piso mínimo de visibilidad.

Contratar un pentest tiene sentido en al menos cuatro situaciones: (1) antes de lanzar un producto o sistema nuevo en producción; (2) tras cambios arquitectónicos significativos —migración a la nube, integración de APIs de terceros, rediseño de autenticación—; (3) como requisito de conformidad —PCI DSS, ISO 27001, SOC 2 y regulaciones sectoriales como las circulares del Banco Central para fintechs exigen pentest periódico—; (4) cuando tu empresa procesa datos sensibles y necesita demostrar due diligence a aseguradoras, clientes corporativos o consejos.

La combinación de ambos en un programa de seguridad ofensiva estructurado es lo que diferencia a las empresas maduras de las reactivas. El escaneo garantiza que ningún activo quede a ciegas entre los ciclos de pentest; el pentest valida si los controles que implantaste a partir de los resultados del escaneo realmente funcionan contra un adversario humano. Las empresas que operan solo con escaneo acumulan listas de CVEs sin priorizar. Las que operan solo con pentest anual quedan ciegas durante 11 meses. Las que combinan ambos tienen un ciclo de mejora continua medible.

Gestión de Amenazas · Gratis

Sin tarjeta, sin compromiso — entiende tu riesgo real antes de invertir.

Sin tarjeta, sin compromiso. Descubre en minutos qué ya se filtró de tu empresa y cuál es tu riesgo real.

El error que sale caro: confundir escaneo con pentest

El equívoco más común en el mercado brasileño es presentar un informe de escaneo de vulnerabilidades como evidencia de pentest para fines de conformidad o due diligence. Los auditores PCI QSA, los revisores ISO 27001 y los equipos de seguridad de grandes clientes identifican esa diferencia de inmediato, y la consecuencia es una no conformidad, la falla en procesos de homologación de proveedores o la invalidación de pólizas de seguro cibernético.

La raíz del problema es comercial: algunas empresas venden 'informes de seguridad' a precios muy por debajo del mercado de pentest, entregando en la práctica un escaneo automatizado con una portada personalizada. El informe tiene cientos de páginas, parece técnico, pero no contiene ninguna evidencia de explotación real. Si el documento no describe una cadena de ataque, no tiene capturas de pantalla de datos comprometidos ni shells obtenidas, y no demuestra impacto en el negocio, no es un pentest, independientemente del nombre comercial utilizado.

Antes de contratar, pide siempre: la metodología utilizada (PTES, OWASP Testing Guide, NIST 800-115), el currículum y las certificaciones de los profesionales que ejecutarán el trabajo (OSCP, CEH, CRTE, GPEN) y un ejemplo anonimizado del informe final. Esos tres elementos distinguen un pentest real de un escaneo reempaquetado.

Conformidad y rangos de costo de mercado

Para las empresas sujetas a PCI DSS 4.0, los requisitos son explícitos y no intercambiables: el Requisito 11.3.2 exige escaneo de vulnerabilidades externas trimestral por un Approved Scanning Vendor (ASV); el Requisito 11.4 exige pentest anual conducido por un profesional calificado, con retest tras la remediación de fallas críticas. Presentar solo uno de los dos implica una no conformidad en el informe de ROC o SAQ.

Para las empresas alineadas con la ISO 27001:2022, la norma no prescribe una frecuencia exacta, pero el Control 8.8 (gestión de vulnerabilidades técnicas) y el Control 8.9 (gestión de configuración) suelen atenderse con la combinación de escaneo continuo y pentest periódico. Las organizaciones en proceso de certificación descubren que los evaluadores externos esperan evidencias de ambas prácticas.

En términos de costo de mercado en Brasil en 2026: el escaneo de vulnerabilidades externas para hasta 50 IPs cuesta entre R$ 500 y R$ 2.000/mes en plataformas SaaS; para más de 200 IPs con cobertura de aplicaciones web, entre R$ 3.000 y R$ 8.000/mes. El pentest de aplicación web (alcance único, caja gris, hasta 80 horas) parte de R$ 12.000; el pentest de infraestructura corporativa con múltiples segmentos e informe ejecutivo puede variar de R$ 35.000 a R$ 80.000 o más. Los programas de red team continuo —que combinan ambos enfoques en ciclos trimestrales— comienzan en R$ 150.000/año para empresas medianas.

Términos clave

CVSS
Common Vulnerability Scoring System: sistema estandarizado para puntuar la severidad de vulnerabilidades en una escala de 0 a 10, mantenido por el FIRST. Los escáneres usan el CVSS para priorizar alertas, pero la puntuación no considera el contexto del entorno analizado.
CVE
Common Vulnerabilities and Exposures: identificador único para cada vulnerabilidad conocida públicamente, con el formato CVE-AÑO-NÚMERO. Los escáneres comparan las características del entorno con la base de CVEs para detectar exposiciones.
ASV
Approved Scanning Vendor: empresa acreditada por el PCI Security Standards Council para realizar escaneos de vulnerabilidades externas exigidos por PCI DSS. Solo los informes de un ASV son aceptados para comprobar el Requisito 11.3.2.
PTES
Penetration Testing Execution Standard: metodología abierta que describe las fases de un pentest: reconocimiento, modelado de amenazas, identificación de vulnerabilidades, explotación, posexplotación e informe. Es una de las referencias que distinguen un pentest real de un escaneo reempaquetado.

Cómo decidir y contratar bien

  1. Establece visibilidad continua con escaneo automatizado. Contrata o implanta una solución de escaneo de vulnerabilidades que cubra todos los activos externos (IPs, dominios, APIs) y ejecute rastreos al menos semanalmente, preferentemente diarios. Configura alertas para nuevos CVEs críticos (CVSS ≥ 9.0) con notificación inmediata al equipo de seguridad.
  2. Define el alcance y la frecuencia del pentest. Mapea los sistemas de mayor criticidad: aplicaciones que procesan datos financieros o personales, APIs expuestas a internet, infraestructura de autenticación. Establece ciclos de pentest —al menos anual para conformidad, semestral para entornos en cambio constante— y documenta alcance, reglas de compromiso y contactos de emergencia en un Rules of Engagement formal.
  3. Usa los resultados del escaneo para priorizar el alcance del pentest. Los hallazgos de mayor CVSS y mayor exposición identificados por el escaneo son los candidatos naturales para la validación manual en el pentest. Esto evita que el pentester gaste horas en superficies triviales y concentra el tiempo de trabajo humano donde el riesgo potencial es mayor, maximizando el retorno de la inversión.
  4. Ejecuta el pentest y documenta las evidencias de explotación. Conduce el pentest con un profesional certificado (OSCP, GPEN o equivalente) siguiendo una metodología documentada (PTES o OWASP Testing Guide). Exige un informe con la cadena de ataque narrada, capturas de pantalla de explotación real, impacto en el negocio demostrado y recomendaciones de remediación priorizadas por riesgo efectivo, no por CVSS teórico.
  5. Remedia, valida con retest y actualiza la línea base del escaneo. Tras recibir el informe de pentest, corrige las vulnerabilidades confirmadas por orden de criticidad de impacto real. Solicita un retest de las fallas críticas para confirmar la remediación efectiva. Actualiza las reglas y políticas del escáner para reflejar los nuevos controles implantados y monitorea si las correcciones permanecen estables en el tiempo.
  6. Integra los ciclos en un programa de seguridad ofensiva continuo. Documenta los resultados de cada ciclo en un registro centralizado de vulnerabilidades con métricas de tiempo medio de remediación (MTTR) por severidad. Usa esa métrica para demostrar madurez a auditores, clientes corporativos y aseguradoras. Programa el próximo ciclo de pentest con una anticipación mínima de 60 días para garantizar la disponibilidad de un profesional calificado y una ventana de ejecución adecuada.

Preguntas frecuentes

¿El escaneo de vulnerabilidades sustituye al pentest para fines de PCI DSS?

No. PCI DSS 4.0 trata a ambos como requisitos distintos: escaneo trimestral por ASV (Requisito 11.3.2) y pentest anual por un profesional calificado (Requisito 11.4). Presentar solo el informe de escaneo genera una no conformidad en el informe de auditoría (ROC o SAQ).

¿Con qué frecuencia debo contratar un pentest?

El mínimo recomendado es anual. Para empresas en crecimiento acelerado, con cambios arquitectónicos frecuentes o en mercados regulados (fintechs, healthtechs, e-commerce con datos de tarjeta), lo ideal es semestral. Realiza también un pentest siempre tras cambios significativos: migración a la nube, nuevo sistema de autenticación, integración de APIs críticas.

¿Cuánto cuesta un pentest en Brasil en 2026?

El pentest de aplicación web (alcance único, caja gris) comienza en torno a R$ 12.000. El pentest de infraestructura corporativa con múltiples segmentos varía de R$ 35.000 a R$ 80.000. Desconfía de propuestas muy por debajo de esos rangos: generalmente entregan un escaneo automatizado reempaquetado como pentest.

¿Qué diferencia a un pentest real de un escaneo reempaquetado?

Un pentest real entrega: metodología documentada (PTES, OWASP Testing Guide o NIST 800-115), cadena de ataque narrada con encadenamiento de vulnerabilidades, capturas de pantalla de explotación efectiva, demostración de impacto en el negocio y recomendaciones priorizadas por riesgo real. Si el informe es solo una lista de CVEs con CVSS sin evidencias de explotación, es un escaneo con portada personalizada.

¿Puedo usar una herramienta de escaneo gratuita en lugar de contratar un servicio pago?

Herramientas como OpenVAS y Nikto son válidas para equipos técnicos con capacidad de interpretar resultados y gestionar falsos positivos. Para fines de conformidad (PCI ASV), solo se aceptan herramientas acreditadas. Para empresas sin equipo de seguridad dedicado, las plataformas SaaS gestionadas entregan más valor: filtran falsos positivos, priorizan hallazgos y ofrecen soporte especializado.

¿El pentest debe realizarlo una empresa externa o puede hacerlo el equipo interno?

Los equipos internos pueden realizar evaluaciones de seguridad continuas, pero para fines de conformidad y credibilidad ante auditores y clientes corporativos, el pentest debe ser conducido por un tercero independiente. PCI DSS 11.4.2 especifica que el profesional debe tener independencia organizacional de los sistemas probados. Para ISO 27001 y la due diligence de clientes, también se espera la independencia del evaluador.

Referencias

Cómo lo resuelve Decripte

Del diagnóstico gratuito al servicio gestionado — elige el punto de entrada correcto.

Solicita ahora un diagnóstico gratuito y descubre cuáles vulnerabilidades de tu entorno son realmente explotables, antes de que un atacante lo descubra por ti.

Empieza gratis con la Gestión de Amenazas y descubre qué ya está expuesto. Evoluciona a los planes gestionados cuando tenga sentido — sin montar un equipo interno.