¿Cuánto cuesta un pentest para empresas brasileñas?

Respuesta directa

Un pentest de alcance básico (infraestructura externa hasta 10 IP) parte de R$ 8.000–R$ 15.000 con empresas regionales. Las pruebas completas de aplicación web quedan entre R$ 18.000–R$ 45.000. El red team con simulación avanzada de APT cuesta R$ 60.000–R$ 150.000+. El precio varía según el alcance, la profundidad técnica, las certificaciones de los analistas (OSCP, CREST) y el plazo de entrega.

En resumen

  • Pentest de infraestructura externa básico: R$ 8.000–R$ 25.000
  • Prueba de aplicación web con lógica de negocio: R$ 18.000–R$ 45.000
  • Red team / Simulación de APT: R$ 60.000–R$ 150.000+
  • Los analistas con OSCP/CREST cobran entre 40 % y 70 % más que los no certificados, y entregan más valor
  • Un precio bajo sin metodología documentada es una alerta roja: un informe genérico no sirve para auditoría
  • El pentest anual es una exigencia de PCI DSS, ISO 27001 y contratos con instituciones financieras

Tabla de precios de pentest en Brasil en 2026

Los valores a continuación reflejan el mercado brasileño de seguridad ofensiva en 2026, tomando en cuenta el alcance, la profundidad y las credenciales de los profesionales involucrados. Las empresas del Sur y Sudeste con marcas reconocidas tienden a cobrar los valores superiores de cada rango; los proveedores sin certificaciones internacionales quedan en el rango inferior.

**Infraestructura externa (hasta 10 IP):** R$ 8.000–R$ 15.000 / hasta 10 días hábiles **Infraestructura interna (on-premise):** R$ 12.000–R$ 28.000 / 10–15 días hábiles **Aplicación web (OWASP Top 10):** R$ 18.000–R$ 35.000 / 10–15 días hábiles **Aplicación web (lógica de negocio + autenticación):** R$ 30.000–R$ 55.000 / 15–20 días hábiles **API security (REST/GraphQL):** R$ 15.000–R$ 30.000 / 7–12 días hábiles **Mobile (iOS + Android):** R$ 20.000–R$ 40.000 / 10–15 días hábiles **Cloud (AWS/Azure/GCP):** R$ 25.000–R$ 60.000 / 10–20 días hábiles **Red team / Simulación APT (alcance abierto):** R$ 60.000–R$ 150.000+ / 30–60 días

Qué está incluido en el precio de un pentest

Un pentest profesional incluye cinco entregables: (1) Informe ejecutivo — resumen de riesgo, impacto de negocio y prioridades de remediación para la dirección; (2) Informe técnico — vulnerabilidades con CVSS, evidencias de explotación, PoC reproducible y recomendaciones de corrección; (3) Reunión de kickoff — alineación de alcance, reglas de compromiso y ventanas de prueba; (4) Sesión de debriefing — presentación de los hallazgos al equipo técnico y a la gerencia; (5) Reprueba gratuita — verificación de la remediación de las vulnerabilidades críticas/altas (las empresas serias incluyen al menos una reprueba gratis).

Los proveedores que entregan solamente un informe PDF sin debriefing ni reprueba están vendiendo el producto mínimo. Las empresas que necesitan pentest para cumplimiento (PCI DSS, ISO 27001, LGPD) deben exigir que el informe incluya la metodología utilizada (PTES, OWASP, OSSTMM o NIST SP 800-115) y esté firmado por un analista certificado.

Gestión de Amenazas · Gratis

¿Tu entorno tiene vulnerabilidades que un pentest encontraría? Decripte ofrece una evaluación técnica inicial gratuita para mapear la superficie de ataque antes de que inviertas en una prueba completa.

Sin tarjeta, sin compromiso. Descubre en minutos qué ya se filtró de tu empresa y cuál es tu riesgo real.

Pentest anual vs. programa continuo: qué tiene más sentido

El pentest anual cumple los requisitos de cumplimiento (PCI DSS 11.3, ISO 27001 Anexo A 8.8), pero ofrece cobertura limitada: identifica vulnerabilidades en una fotografía del entorno. Un entorno que cambia mensualmente — nuevas API, releases de aplicación, cambios de configuración — puede haber quedado expuesto durante 11 meses antes de la próxima prueba.

Un programa de seguridad ofensiva continuo combina: pentest anual completo (alcance amplio) + pentests trimestrales de aplicaciones nuevas + bug bounty para descubrimiento continuo + revisión de configuración mensual (CSPM en la nube). El costo anual de un programa continuo para empresas de mediano porte queda entre R$ 80.000 y R$ 200.000, y reduce el time-to-detect de vulnerabilidades críticas de 12 meses a semanas.

Cómo contratar un pentest sin pagar caro por poco

Cinco criterios para evaluar a un proveedor de pentest: (1) Certificaciones de los analistas — exija al menos un profesional con OSCP (Offensive Security Certified Professional) o equivalente (CREST, CEH Practical, GPEN); (2) Metodología documentada — el proveedor debe citar PTES, OWASP Testing Guide, OSSTMM o NIST; (3) Muestras de informe — pida un ejemplo anonimizado; los informes genéricos ('Vulnerabilidad X detectada. Recomendamos corrección.') no sirven para auditoría; (4) Seguro de responsabilidad profesional (E&O) — los profesionales serios tienen seguro para cubrir daños accidentales durante la prueba; (5) Reglas de compromiso formales — el contrato debe detallar IP autorizadas, ventana de pruebas, procedimiento de emergencia y confidencialidad.

Gestión de Amenazas · Gratis

Sin tarjeta, sin compromiso — entiende tu riesgo real antes de invertir.

Sin tarjeta, sin compromiso. Descubre en minutos qué ya se filtró de tu empresa y cuál es tu riesgo real.

Por qué un precio bajo es una alerta roja en pentest

Los pentests anunciados por R$ 1.000–R$ 5.000 típicamente son: escaneo automatizado de vulnerabilidades (Nessus, OpenVAS) con generación de informe semiautomático — sin explotación manual, sin análisis de lógica de negocio, sin verificación de falsos positivos. Este enfoque tiene valor limitado: las herramientas automatizadas identifican del 30 % al 40 % de las vulnerabilidades que identifica una prueba manual; los falsos positivos llegan al 60 % de los hallazgos no verificados.

Para cumplimiento (PCI DSS, ISO 27001, BACEN), los escáneres automatizados no sustituyen a un pentest manual calificado. La ANPD y los auditores de conformidad piden evidencia de una prueba manual realizada por un profesional acreditado, no solo el output de un escáner. Comprar barato y que el informe sea rechazado en la auditoría es el escenario más caro posible.

Pentest y LGPD: qué exige la ley

La LGPD (Art. 46) exige que los controladores adopten 'medidas de seguridad, técnicas y administrativas aptas para proteger los datos personales'. Aunque la ley no cita el pentest explícitamente, la ANPD interpreta que la ausencia de pruebas de seguridad en sistemas que procesan datos personales constituye ausencia de diligencia mínima, especialmente después de un incidente.

Las empresas que sufrieron una filtración de datos y no realizaban pentests regulares han recibido agravante de penalidad por negligencia. En contrapartida, las organizaciones que demuestran un programa de pruebas periódicas documentado han conseguido mitigación de multa por buena fe y accountability. El costo de un pentest anual (R$ 20.000–R$ 50.000 para una pyme) es irrelevante comparado con el riesgo de multa de la ANPD (hasta R$ 50 millones por infracción).

Comparativo

TipoAlcancePrecio (R$)PlazoPara quién
VA AutomatizadoInfraestructura1.500–5.0001–3 díasConformidad inicial
Pentest Infra ExternaHasta 10 IP externas8.000–25.0001–2 semanasPyme, exigencia contractual
Pentest Web AppAplicación web completa18.000–55.0002–3 semanasE-commerce, SaaS, fintech
Pentest CloudAWS / Azure / GCP25.000–60.0002–3 semanasCloud-native, SaaS
Red TeamAlcance abierto (APT)60.000–150.000+4–8 semanasEnterprise, gobiernos, bancos

Términos clave

OSCP
Offensive Security Certified Professional — certificación práctica de penetration testing de Offensive Security, considerada el estándar de oro de la industria. Exige la explotación real de 5 máquinas en 24 horas sin ayuda de herramientas automáticas.
CVSSv3
Common Vulnerability Scoring System versión 3 — escala 0–10 que mide la severidad de las vulnerabilidades. Crítico (9.0–10.0), Alto (7.0–8.9), Medio (4.0–6.9), Bajo (0.1–3.9).
Red Team
Simulación avanzada de ataque que imita tácticas, técnicas y procedimientos (TTP) de grupos APT reales. Alcance abierto: el equipo ofensivo puede usar cualquier vector (físico, social, técnico) para alcanzar los objetivos definidos.
PTES
Penetration Testing Execution Standard — metodología abierta que define las 7 fases de un pentest profesional: precompromiso, recolección de inteligencia, modelado de amenazas, análisis de vulnerabilidades, explotación, posexplotación e informe.

Cómo decidir y contratar bien

  1. Definir alcance y objetivos: Enumere los sistemas a probar (IP, URL, aplicaciones), defina los objetivos (encontrar vulnerabilidades críticas, probar el proceso de detección, validar controles) y aclare las restricciones (ventanas de horario, sistemas fuera del alcance).
  2. Solicitar cotizaciones de al menos 3 proveedores: Envíe el alcance por escrito y exija una propuesta que incluya: metodología, certificaciones de los analistas, cronograma, entregables (informes ejecutivo y técnico, reprueba) y seguro de responsabilidad.
  3. Evaluar muestras de informe: Pida un informe de ejemplo anonimizado. Los buenos informes incluyen: contexto de negocio del riesgo, cadena de explotación documentada con capturas de pantalla, CVSS por vulnerabilidad y recomendaciones específicas (no genéricas).
  4. Firmar Reglas de Compromiso (RoE): Formalice: IP/URL autorizadas, ventana de pruebas, punto de contacto de emergencia, procedimiento si un sistema cae, confidencialidad y destrucción de datos tras la prueba.
  5. Acompañar el kickoff técnico: Participe en la reunión inicial con el equipo técnico interno para alinear expectativas, confirmar alcances y definir el canal de comunicación para alertas durante la prueba.
  6. Recibir y priorizar los hallazgos: Organice las vulnerabilidades por criticidad (CVSS) × facilidad de explotación × impacto de negocio. Las vulnerabilidades críticas deben remediarse en un plazo de 30 días, las altas en 60 días, las medias en 90 días.
  7. Solicitar reprueba: Tras remediar las vulnerabilidades críticas y altas, solicite la reprueba incluida en el contrato. El certificado de reprueba es el documento que prueba ante los auditores que el problema fue corregido.

Preguntas frecuentes

¿Cuánto tiempo lleva un pentest?

Depende del alcance. Infraestructura externa básica: 3–5 días hábiles de prueba + 3–5 días de informe = 1–2 semanas. Aplicación web compleja: 5–10 días de prueba + 5 días de informe = 2–3 semanas. Red team: 4–8 semanas de simulación + 2 semanas de informe.

¿Cuál es la diferencia entre pentest y vulnerability assessment?

El vulnerability assessment (VA) usa herramientas automatizadas para identificar vulnerabilidades conocidas — es rápido, barato y genera mucho ruido (falsos positivos). El pentest es manual: el analista explota las vulnerabilidades, las encadena y demuestra el impacto real en el negocio. El VA identifica lo que existe; el pentest demuestra lo que es explotable.

¿Las empresas pequeñas necesitan pentest?

Depende del contexto. Las pymes sin datos sensibles ni transacciones financieras pueden empezar con VA trimestral + hardening básico. Las pymes que procesan datos personales (LGPD), aceptan pagos (PCI DSS) o trabajan con el gobierno o grandes empresas generalmente necesitan pentest anual, ya sea por exigencia regulatoria o por cláusula contractual del cliente.

¿Debo avisar a alguien interno antes del pentest?

Sí — al menos el gestor de TI/seguridad, el CISO y el área jurídica deben estar al tanto. El equipo de SOC (si existe) puede participar como ejercicio de detección (Purple Team) o quedar ciego a la prueba para medir la capacidad de detección real. Comunicar solo lo mínimo necesario ('need-to-know') preserva el realismo de la prueba.

¿Puedo hacer pentest en el entorno de producción?

Sí, y es recomendable — probar en producción es la única forma de identificar vulnerabilidades en el entorno real que los atacantes encontrarán. El riesgo se gestiona mediante las Reglas de Compromiso: ventanas fuera del horario comercial, controles de rollback planificados y comunicación de emergencia definida. Las pruebas exclusivamente en staging pueden perder configuraciones incorrectas de producción.

¿Qué hacer si el pentest encuentra una vulnerabilidad crítica en producción?

Los proveedores profesionales comunican de inmediato las vulnerabilidades críticas — no esperan el informe final. El protocolo es: el analista documenta y comunica al punto de contacto, el equipo interno evalúa la exposición, decide la mitigación inmediata (patch, regla de WAF, deshabilitar la funcionalidad) o acepta el riesgo monitoreado hasta el patch planificado. El analista deja de explotar esa cadena y aguarda instrucciones.

¿El pentest cubre la seguridad de la nube?

Un pentest de infraestructura cubre la capa de aplicación y los protocolos expuestos en la nube. Pero la seguridad cloud completa requiere Cloud Security Posture Management (CSPM) — evaluación de configuraciones (IAM, permisos de S3, Security Groups, logging). Un pentest cloud específico prueba: malas configuraciones explotables, escalamiento de privilegios en IAM, exposición de metadata y pivoting entre servicios. Costo: R$ 25.000–R$ 60.000 según la profundidad.

¿Cómo justificar el costo del pentest ante la dirección?

Use la fórmula: (probabilidad de incidente × impacto financiero medio) > costo del pentest. Para una empresa con facturación de R$ 20 millones, un incidente de ransomware cuesta en promedio R$ 1,4 millón (rescate + IR + LGPD + lucro cesante). Probabilidad anual estimada: 15–20 %. Valor en riesgo: R$ 210.000–R$ 280.000/año. Costo del pentest: R$ 20.000–R$ 40.000. El ROI es evidente. Añada: el pentest es una exigencia creciente de clientes enterprise y aseguradoras — no hacerlo puede costar contratos.

Referencias

Cómo lo resuelve Decripte

Del diagnóstico gratuito al servicio gestionado — elige el punto de entrada correcto.

¿Tu entorno tiene vulnerabilidades que un pentest encontraría? Decripte ofrece una evaluación técnica inicial gratuita para mapear la superficie de ataque antes de que inviertas en una prueba completa.

Empieza gratis con la Gestión de Amenazas y descubre qué ya está expuesto. Evoluciona a los planes gestionados cuando tenga sentido — sin montar un equipo interno.