El análisis de vulnerabilidades te dice "esto está mal". El pentesting te demuestra "esto te puede arruinar". Confundirlos lleva a falsa seguridad —o a pagar de más por algo que no necesitas. Esta guía aclara ambos conceptos en términos operativos, no académicos.
Las definiciones esenciales
Análisis de vulnerabilidades (vulnerability scanning)
Es la identificación automatizada de debilidades conocidas en sistemas, redes y aplicaciones. Funciona mediante:
- Escaneo activo contra targets (Nessus, Qualys, OpenVAS, Rapid7, Tenable).
- Comparación con bases de datos de vulnerabilidades públicas (CVE, NVD).
- Detección de configuraciones inseguras (CIS Benchmarks).
- Reportes con clasificación por CVSS (Common Vulnerability Scoring System).
Lo que no hace: explotar las vulnerabilidades. El resultado es una lista priorizada de hallazgos potenciales, muchos de los cuales pueden ser falsos positivos.
Pentesting (penetration testing)
Es una prueba manual y dirigida donde un profesional simula un atacante real. Sus características clave:
- Combina herramientas automatizadas + ingenio humano.
- Explota vulnerabilidades para demostrar impacto real.
- Encadena vulnerabilidades (vulnerabilidad A + B = compromiso total).
- Pivota entre sistemas (de la app al backend, del backend al directorio activo).
- Documenta paso a paso cómo se logró el acceso.
- Confirma o descarta falsos positivos del scanner.
El pentester piensa como atacante. El scanner solo aplica patrones.
Diferencias punto por punto
| Dimensión | Análisis de vulnerabilidades | Pentesting |
|---|---|---|
| Modalidad | Automatizada | Manual + automatizada |
| Explotación | No | Sí, con evidencia |
| Falsos positivos | Frecuentes | Filtrados |
| Profundidad | Superficial (lo conocido) | Profundo (combinaciones, lógica de negocio) |
| Tiempo típico | Horas a días | 1–6 semanas |
| Costo | USD 200–3.000 por scan | USD 5.000–60.000 por engagement |
| Cobertura | Amplia (toda la superficie) | Acotada (alcance definido) |
| Frecuencia recomendada | Mensual o continuo | Anual + tras cambios |
| Capacidad de hallar vulnerabilidades 0-day o lógicas | No | Sí |
Las cuatro metodologías de pentesting que importan
1. OWASP WSTG (Web Security Testing Guide)
Estándar de facto para pentesting de aplicaciones web. Define cómo probar autenticación, autorización, gestión de sesiones, lógica de negocio, configuración del servidor, control de entrada, criptografía y APIs. Es la base para cualquier pentest web serio en 2026.
2. OSSTMM (Open Source Security Testing Methodology Manual)
Metodología abarcativa (general): cubre seguridad física, redes, comunicaciones, humanos. Usada para ejercicios amplios. Es más rígida en métricas (RAV: Risk Assessment Value) pero menos práctica que OWASP en aplicaciones web modernas.
3. PTES (Penetration Testing Execution Standard)
Framework procedural muy detallado: pre-engagement, recolección, análisis de vulnerabilidades, explotación, post-explotación, reporting. Excelente para organizar engagements complejos. La mayoría de proveedores serios la usa como columna vertebral.
4. NIST SP 800-115
Estándar técnico de Estados Unidos para test de seguridad. Define fases (planning, discovery, attack, reporting), técnicas y consideraciones legales. Útil cuando hay requerimientos contractuales con clientes estadounidenses o regulación federal aplicable.
Para aplicaciones iOS y Android, OWASP MASTG (Mobile Application Security Testing Guide) es el estándar. Cubre criptografía móvil, almacenamiento, comunicaciones, autenticación, código, resistencia a tampering.
Tipos de pentest según conocimiento previo
- Black box: el pentester no tiene información previa. Simula atacante externo sin acceso. Es el más cercano a un ataque real, pero más lento y menos eficiente.
- Gray box: el pentester tiene información parcial (credenciales básicas, doc técnica). Es el balance más usado: combina realismo y eficiencia.
- White box: el pentester tiene acceso completo (código fuente, arquitectura, credenciales privilegiadas). Permite cobertura máxima en menos tiempo.
Pentest vs Red Team vs Bug Bounty
| Aspecto | Pentest | Red Team | Bug Bounty |
|---|---|---|---|
| Objetivo | Identificar vulnerabilidades en alcance acotado | Simular ataque real con objetivo de negocio | Crowd-sourced de vulnerabilidades |
| Plazo | 1–6 semanas | 4–12 semanas | Continuo |
| Conocimiento del defensor (Blue Team) | Sí, coordinado | No (simulación de adversario) | No |
| Evade detección | No es objetivo | Sí, parte del ejercicio | Depende del investigador |
| Costo típico | USD 5K–60K | USD 30K–200K | USD por hallazgo (USD 100–50.000+) |
| Madurez requerida | Media | Alta (Blue Team operativo) | Media-alta (capacidad de gestionar reportes) |
Frecuencia recomendada por tipo de empresa
| Empresa | Análisis vulnerabilidades | Pentest | Red Team |
|---|---|---|---|
| Startup B2B SaaS | Mensual (automático) | Anual al producto | Opcional |
| Fintech regulada | Continuo | Semestral a sistemas críticos | Cada 18–24 meses |
| E-commerce mediano | Mensual | Anual al sitio + payment | Opcional |
| OIV / OSE (Ley Marco) | Continuo | Anual | Cada 2 años |
| Empresa industrial / OT | Trimestral | Anual a infra crítica | Selectivo |
Qué exige la normativa chilena
ISO 27001:2022 — control A.8.8
"Gestión de las vulnerabilidades técnicas". La norma exige:
- Identificación oportuna de vulnerabilidades técnicas en los sistemas en uso.
- Evaluación de la exposición.
- Implementación de medidas apropiadas para abordar el riesgo.
En auditorías formales, esto se acredita con: política de gestión de vulnerabilidades, evidencia de escaneos periódicos, registro de remediación y pentests anuales a sistemas críticos.
Ley 21.663 (Ley Marco de Ciberseguridad)
Aplicable a Operadores de Importancia Vital (OIV) y Operadores de Servicios Esenciales (OSE). Los reglamentos de la ANCI (Agencia Nacional de Ciberseguridad) exigen evaluaciones técnicas regulares, que en la práctica incluyen:
- Análisis de vulnerabilidades sistemático.
- Pentesting periódico de sistemas críticos.
- Reportes a la ANCI con evidencia de remediación.
Ley 21.719 — control de seguridad de datos personales
Indirectamente, la Ley 21.719 exige "medidas técnicas apropiadas al riesgo". Para tratamientos a gran escala o datos sensibles, esto implica pentesting periódico de los sistemas que tratan esos datos.
Cómo evaluar un proveedor de pentesting
Preguntas para una RFP o conversación comercial:
- ¿Cuál es el CV específico de los pentesters asignados? Certificaciones (OSCP, OSWE, CRTO, eWPTX), experiencia, casos previos comparables.
- ¿Qué metodología siguen? (esperar OWASP, PTES o NIST como base).
- ¿Cuál es el alcance exacto (in-scope, out-of-scope, reglas de engagement)?
- ¿Cómo se documenta cada hallazgo? (deben incluir reproducción paso a paso, no solo descripción).
- ¿Hay retest tras remediación? (debería ser estándar).
- ¿Cómo se gestiona la confidencialidad? (NDA, cifrado del reporte, retención).
- ¿Tienen seguro de responsabilidad civil profesional?
Anti-patrones que evitar
- Llamar "pentest" a un scanner ejecutado por consultor: hay proveedores que ejecutan Nessus y entregan el reporte casi sin valor agregado. No es pentest.
- Pentests anuales sin retest: un pentest sin verificación de la remediación es media entrega.
- Alcance demasiado amplio o demasiado estrecho: el alcance debe ser proporcional al presupuesto. Pentests "de toda la empresa" en 3 semanas son insuficientes.
- No coordinar con el equipo interno: sin coordinación se generan falsas alarmas y posibles indisponibilidades.
¿Necesitas pentesting o análisis de vulnerabilidades?
Confiden360 ejecuta pentests web, móviles, API e infraestructura siguiendo OWASP WSTG, MASTG y PTES, con consultores certificados (OSCP, eWPTX) y retest incluido. Cotización con alcance claro en 48 h.
Solicitar pentest → Ver servicio →Preguntas frecuentes
¿Cuál es la diferencia esencial entre pentesting y análisis de vulnerabilidades?
El análisis es un escaneo automatizado que detecta debilidades conocidas, sin explotarlas. El pentesting es una prueba manual que simula un atacante real: explota las vulnerabilidades, combina técnicas, pivota entre sistemas y demuestra impacto realista.
¿Cuánto cuesta un pentest en Chile?
Rangos típicos Chile 2026: USD 5.000–12.000 para pentest web de alcance medio, USD 12.000–25.000 para pentest de infraestructura, USD 8.000–20.000 para pentest móvil, USD 25.000–60.000 para red team de 4–8 semanas.
¿Con qué frecuencia debo hacer pentesting?
Análisis de vulnerabilidades automatizado mensual o continuo, pentest anual a cada activo crítico, pentest extra tras cambios significativos, y red team cada 2–3 años para empresas con madurez alta.
¿ISO 27001:2022 exige pentesting?
El control A.8.8 exige procesos de identificación y tratamiento de vulnerabilidades; en la práctica se cumple con análisis automatizado periódico + pentesting. Los auditores esperan verlo en sistemas críticos.
¿La Ley Marco de Ciberseguridad chilena exige pentesting?
La Ley 21.663 y los reglamentos de la ANCI exigen a Operadores de Importancia Vital y Operadores de Servicios Esenciales realizar evaluaciones técnicas regulares que en la práctica incluyen pentesting.
¿Qué metodologías de pentesting existen?
Las cuatro más usadas son: OWASP WSTG (web), OSSTMM (general), PTES y NIST SP 800-115. Para móviles existe OWASP MASTG.
¿Diferencia entre pentest, red team y bug bounty?
Pentest: alcance acotado, plazo definido. Red team: simulación adversarial con objetivo de negocio, suele evadir defensas. Bug bounty: programa continuo con investigadores externos pagando por hallazgos.
¿Qué entrega un buen pentest?
Informe ejecutivo, informe técnico por hallazgo (con CVSS, reproducción y recomendación), evidencia gráfica, kill chain si aplica, y retest gratuito tras la remediación.