Cómo elegir una empresa de test de intrusión (guía del comprador 2026)
La mayoría de los informes de pentest que nos piden revisar son escaneos automatizados en un PDF bonito. Así se elige una empresa de test de intrusión que de verdad prueba.

Hace un tiempo, un posible cliente nos reenvió el informe de pentest de un competidor y nos hizo una sola pregunta: ¿esto sirve de algo? Tenía 60 páginas, con su marca, muy seguro de sí mismo. También era un escaneo de Nessus al que simplemente le habían cambiado el nombre de la herramienta. Sin pruebas manuales. Sin lógica de negocio. Sin ninguna prueba de que alguien hubiera entrado de verdad en algún sitio. Solo puntuaciones CVSS y una calificación “media” por una cabecera de seguridad HTTP que faltaba.
Ese informe, o un primo cercano suyo, lo vemos constantemente. Y va al corazón de cómo elegir una empresa de test de intrusión, porque el entregable tiene un aspecto casi idéntico tanto si un tester senior pasó dos semanas viviendo dentro de tu aplicación como si un script se ejecutó durante la noche. La factura también puede parecerse. Esta guía trata de leer más allá de la portada y distinguir las pruebas reales del “scan-and-dump”.
Nos dedicamos profesionalmente a los engagements ofensivos. Sabemos lo que cuesta entregar uno bueno y sabemos exactamente dónde se recortan las esquinas cuando sale barato. Esto es lo que comprobaríamos si estuviéramos sentados en tu lado de la mesa.
Puntos clave
- Juzga al tester, no al logotipo. Pregunta quién estará en tu engagement, sus años en seguridad ofensiva y sus certificaciones (OSCP, OSWE, CREST, GPEN) – no el marketing del proveedor.
- Exige una metodología alineada con un estándar público (OWASP WSTG, OWASP ASVS, PTES) y un informe de muestra redactado que puedas leer antes de firmar.
- El retest después de tus correcciones debería estar incluido, no ser un extra de pago. Un pentest sin retest de validación es medio servicio.
- La señal de alarma más clara: un precio fijo bajo, una entrega en 24 horas y ninguna llamada de scoping. Eso es un escaneo automatizado vestido de traje.
- El riesgo de verdad vive en las pruebas manuales de lógica de negocio y control de acceso. Los escáneres se pierden casi todo eso.
¿Qué vende en realidad una empresa de test de intrusión?
Un test de intrusión es un ataque acotado en el tiempo y orientado a objetivos sobre tus sistemas, realizado por una persona que intenta entrar como lo haría un adversario real. De eso se trata todo. Una persona razona sobre tu aplicación concreta, encadena problemas pequeños hasta una brecha real y demuestra el impacto. Un escaneo de vulnerabilidades alimenta ese trabajo, pero por sí solo no es un test de intrusión.
Esto importa porque ambos se venden bajo la misma palabra con calidades radicalmente distintas. Así que, cuando estás resolviendo cómo elegir una empresa de test de intrusión, en realidad estás resolviendo una sola cosa: ¿estoy comprando experiencia humana o automatización con un margen? Profundizamos en esa diferencia en un artículo aparte sobre test de intrusión frente a escaneo de vulnerabilidades, pero la versión corta es sencilla. Los escáneres encuentran firmas conocidas. Los testers encuentran lógica.
Aquí viene la parte incómoda. Los hallazgos que de verdad comprometen a las empresas – control de acceso roto, IDOR, bypass de autenticación, SSRF que pivota hacia los metadatos del cloud, abuso de lógica de negocio en un flujo de pago o de transferencia de fondos – casi nunca los saca a la luz una herramienta. OWASP clasifica el Broken Access Control como el riesgo web número uno, y en nuestros engagements los fallos de control de acceso y de lógica están sistemáticamente entre lo más grave que reportamos. Ningún escáner recorre tu flujo de trabajo de varios pasos y se da cuenta de que una petición como GET /api/v2/accounts/1043/statements devuelve tan tranquilamente la cuenta 1044 cuando cambias un solo dígito. Una persona sí.
¿Qué debes buscar en una empresa de test de intrusión?
Cuatro cosas: las personas, el método, el entregable y lo que ocurre después de las correcciones. El resto es envoltorio.
Testers senior, con nombre y credenciales
Pregunta directamente. ¿Quién estará en mi engagement? ¿Cuántos años lleva haciendo trabajo ofensivo? ¿Qué ha publicado, presentado o reportado? Una firma sólida responde sin pestañear. Las certificaciones son un indicador razonable de destreza práctica – OSCP y OSWE de Offensive Security, CREST CRT y CCT, GPEN y GXPN te obligan a explotar sistemas de verdad en lugar de marcar casillas de opción múltiple. Una salvedad que repetiremos: las certificaciones son un suelo, no un techo. Un tester con una pared llena de insignias y sin instinto para los fallos de lógica te seguirá entregando un volcado de escáner.
Cuidado con el “bait-and-switch”. Un consultor senior pulido vende el trabajo y luego un junior con un escáner lo entrega. Consigue por escrito el nombre del tester asignado.
Una metodología que puedas contrastar con un estándar
Un proveedor creíble alinea su trabajo con algo público. Para aplicaciones web eso significa la OWASP Web Security Testing Guide (WSTG) y OWASP ASVS para la profundidad de la cobertura, y PTES para la forma del engagement en su conjunto. Si un proveedor no puede decirte qué categorías cubre ni cómo prueba la autenticación, la gestión de sesiones, el control de acceso, la inyección y la lógica de negocio, ese es un problema que se oye en la primera llamada.
Pregunta qué parte de la prueba es manual. En un engagement web, la pasada automatizada – un escaneo activo de Burp Suite, algunas plantillas de nuclei, ffuf para descubrimiento de contenido – es quizá el primer día. El valor llega después. Es entonces cuando una persona manipula los JWT, prueba cada referencia a objeto en busca de IDOR y abusa del único flujo que los desarrolladores dieron por hecho que nadie tocaría jamás.
Un informe de muestra sobre el que actuarías de verdad
Insiste en una muestra redactada antes de comprar. Léela como ingeniero, no como comprador. Un buen hallazgo tiene un título claro, el impacto de negocio en lenguaje llano, pasos de reproducción exactos (la petición, el parámetro, el payload), evidencias, una severidad que puedas defender y una corrección concreta. No “cross-site scripting detectado – remediar.”
Si la muestra es una exportación de escáner con un logotipo nuevo, ya tienes tu respuesta. La prueba: tus desarrolladores deberían poder reproducir y corregir un hallazgo solo con el informe, sin una llamada posterior que lo traduzca.
Retest incluido, no vendido aparte
Este punto separa rápido a las firmas serias. Después de que remedies, alguien tiene que verificar que las correcciones funcionan de verdad y no han abierto agujeros nuevos. Ese retest pertenece al engagement, no a una factura posterior. Lo tratamos como parte del trabajo, porque un pentest que se detiene en “aquí están los fallos” te deja adivinando si estás a salvo. Un retest limpio resulta ser, además, exactamente lo que tus auditores y tus clientes corporativos quieren ver.
¿Cuáles son las señales de alarma al elegir un proveedor de pentest?
La más estridente: un precio fijo sospechosamente bajo, una entrega de 24 a 48 horas y ninguna conversación de scoping. Las pruebas reales no se pueden presupuestar con precisión sin entender tu alcance – cuántas aplicaciones, cuántos roles, cuántos endpoints de API, si es autenticado, cuáles son tus objetivos. Una firma que presupuesta antes de preguntar está presupuestando un escaneo.
Algunas más con las que nos topamos constantemente:
- “Usamos pruebas impulsadas por IA” como todo el argumento de venta. La automatización también nos ayuda. Pero si el elemento diferenciador es una herramienta en lugar de las personas que la manejan, estás comprando la herramienta.
- Ninguna prueba de explotación. “Potencialmente vulnerable” más una puntuación CVSS y sin reproducción es una suposición del escáner. Los hallazgos reales muestran la petición y el resultado.
- Informe y a correr. Un buen engagement termina con una llamada en la que los testers guían a tus ingenieros por los hallazgos críticos y responden a las preguntas incómodas.
- Todo es crítico, o todo es informativo. Una severidad mal calibrada significa que nadie razonó sobre tu riesgo real. Desconfía también de los informes rellenos de hallazgos informativos de poco valor para parecer voluminosos.
- Esquivan la pregunta de “quién prueba”. Si no quieren nombrar al tester o las certificaciones, da por hecho que la respuesta no te gustaría.
¿Qué preguntas deberías hacer a una empresa de test de intrusión?
Llévatelas a la llamada comercial. Las respuestas te dicen más que cualquier folleto.
- ¿Quién en concreto probará mis sistemas, y cuál es su trayectoria en seguridad ofensiva y sus certificaciones?
- ¿Qué porcentaje de este engagement es manual frente a automatizado, y qué estándar (OWASP WSTG, PTES, ASVS) seguís?
- ¿Puedo ver un informe de muestra redactado antes de firmar?
- ¿Está incluido en este precio un retest de validación tras la remediación?
- ¿Cómo abordáis en concreto las pruebas de lógica de negocio y de control de acceso?
- ¿Qué necesitáis de mí para dimensionar esto con precisión, y cómo es el calendario?
- ¿Habrá un debrief en directo con mi equipo de ingeniería?
Respuestas concretas, seguras y coherentes son buena señal. Las vagas, o que cada pregunta acabe remitiendo a una lista de precios, son tu pista para seguir buscando.
Cómo lo aborda CyberXplore
Construimos nuestro servicio de test de intrusión de aplicaciones web en torno a lo que los compradores deberían estar exigiendo: testers senior con nombre, una metodología alineada con OWASP WSTG y ASVS, informes sobre los que tus desarrolladores pueden actuar sin un traductor, y un retest gratuito después de que remedies. Cada hallazgo crítico se entrega con la petición exacta, el payload y los pasos de reproducción, además de un debrief en directo con tu equipo. Preferimos explicar un bug de más antes que darte un número CVSS y marcharnos. Si quieres un presupuesto honesto y dimensionado para tu entorno, solicita un presupuesto y empezaremos con una conversación de scoping, no con una etiqueta de precio.
FAQ
¿Cuánto debería costar un test de intrusión?
Depende del alcance y la profundidad, así que trata con recelo cualquier precio fijo que te den sin una llamada de scoping. Una sola aplicación web pequeña es un trabajo muy distinto de una gran plataforma autenticada con decenas de endpoints de API y varios roles. La pregunta correcta no es “cuál es el más barato” sino “qué obtengo por esto” – pruebas manuales, un informe de verdad y un retest, o un escaneo en un PDF.
¿Qué certificaciones debería tener un tester de intrusión?
OSCP y OSWE de Offensive Security, CREST CRT o CCT, y GPEN o GXPN son todas señales sólidas, porque exigen que los candidatos exploten sistemas de verdad en lugar de memorizar teoría. Trata las certificaciones como un listón mínimo, no como prueba de excelencia. Los años de experiencia real en engagements y el olfato para los fallos de lógica de negocio importan igual.
¿Es lo mismo un test de intrusión que un escaneo de vulnerabilidades?
No. Un escaneo de vulnerabilidades es una comprobación automatizada de problemas conocidos y configuraciones incorrectas. Un test de intrusión es una persona intentando entrar activamente, encadenando hallazgos y demostrando un impacto real. Un buen pentest usa el escaneo como una de las primeras entradas y luego dedica la mayor parte del tiempo al trabajo manual que las herramientas no pueden hacer, como las pruebas de control de acceso y de lógica.
¿Cuánto dura un test de intrusión?
La mayoría de los engagements enfocados en aplicaciones web suponen de una a tres semanas de pruebas activas, más el reporte, según el alcance. Una entrega en el mismo día casi siempre significa un escaneo automatizado y no pruebas manuales. Deja margen para un retest después de que tu equipo corrija los hallazgos.
¿Debería incluirse el retest en el precio?
Sí. Después de que remedies, un tester debería verificar que las correcciones cerraron de verdad los problemas y no abrieron otros nuevos. Si un proveedor factura por separado ese retest de validación, súmalo al coste total y pregúntate si el primer engagement estuvo alguna vez realmente completo sin él.
¿Cuál es la mayor señal de alarma por sí sola?
Un precio fijo bajo con una entrega rápida y ninguna conversación de scoping. Las pruebas precisas no se pueden presupuestar sin entender tus aplicaciones, tus roles y tus objetivos. Un presupuesto que llega antes de que nadie haga una pregunta de verdad es casi con seguridad para un escaneo automatizado, no para un test de intrusión.



