Hard2bit
← Volver al blog de ciberseguridad

Metodologías de pentesting: OWASP, PTES, OSSTMM, NIST y MITRE ATT&CK explicadas

Por Thilina Manana · COO y Director Técnico de Seguridad hard2bit · Publicado: 14 de julio de 2026 · Actualizado: 14 de julio de 2026
Metodologías de pentesting: OWASP, PTES, OSSTMM, NIST y MITRE ATT&CK

«Nos han hecho un pentest» puede significar cosas muy distintas según quién lo diga.

En algunos casos, la empresa ha recibido poco más que un escaneo automatizado acompañado de un informe con colores. En otros, un equipo especializado ha definido objetivos, reconstruido la superficie de ataque, validado manualmente los hallazgos, encadenado vulnerabilidades y demostrado hasta dónde podría avanzar un atacante real.

La diferencia no está únicamente en las herramientas. Está en la metodología: el marco que define qué debe probarse, con qué profundidad, bajo qué límites y cómo deben documentarse los resultados.

Una metodología no garantiza por sí sola un buen pentest. También hacen falta experiencia, criterio técnico y conocimiento del negocio. Sin embargo, sin un marco reconocible, el alcance puede depender demasiado de las preferencias del analista y resulta difícil saber si la prueba fue completa, repetible o comparable con ejercicios anteriores.

En este artículo analizamos cinco de las referencias más utilizadas en seguridad ofensiva: OWASP Web Security Testing Guide, PTES, OSSTMM, NIST SP 800-115 y MITRE ATT&CK.

No son equivalentes ni compiten necesariamente entre sí. Algunas estructuran el encargo completo; otras profundizan en una superficie concreta, ayudan a medir la seguridad operacional o permiten emular el comportamiento de adversarios reales.

En un pentest profesional suelen combinarse varias.

Este artículo complementa nuestro análisis de las ⁠herramientas que utiliza un pentester profesional, donde explicamos qué instrumental puede emplearse durante cada fase.

Por qué la metodología importa más que la herramienta

Una herramienta responde a una pregunta técnica concreta.

Nmap puede indicar qué puertos responden. Burp Suite permite manipular una petición. BloodHound representa relaciones de control dentro de Active Directory. Ninguna de ellas decide por sí sola si se ha cubierto adecuadamente el alcance, qué riesgos son relevantes para el negocio o cuándo existe evidencia suficiente para cerrar una prueba.

La metodología aporta, ante todo, cobertura. Obliga a comprobar más que los caminos sencillos o familiares para el analista y evita que la calidad del ejercicio dependa únicamente del conjunto de herramientas preferido por quien lo ejecuta.

También aporta repetibilidad. Dos profesionales pueden utilizar técnicas distintas, pero deberían recorrer objetivos y fases comparables, conservar evidencias equivalentes y aplicar criterios coherentes.

La tercera aportación es la trazabilidad. El cliente debe poder relacionar cada hallazgo con un activo, una prueba, una evidencia, un impacto y una recomendación.

Por último, la metodología permite comparar. Cuando el alcance y el método se mantienen suficientemente estables, la organización puede revisar el resultado de este año frente al del anterior y comprobar si su postura de seguridad ha mejorado.

Sin ese marco, un pentest puede convertirse en una demostración puntual de habilidad. Con él, se transforma en un control de seguridad gobernable y repetible.

No existe una única metodología universal

Hablar de «la metodología de pentesting» puede llevar a error.

Una aplicación web, una red interna, un entorno cloud y un ejercicio de red team no requieren exactamente el mismo enfoque. Tampoco persiguen siempre el mismo objetivo.

Un pentest web necesita profundidad en autorización, sesiones y lógica de negocio. Un test de infraestructura exige mayor énfasis en descubrimiento, servicios, segmentación y privilegios. Un red team se centra en reproducir una amenaza concreta y comprobar si la organización detecta y contiene el ataque.

Por eso los equipos profesionales no suelen elegir un único documento y aplicarlo de manera literal. Construyen una metodología de trabajo que combina diferentes referencias según la superficie evaluada, los objetivos del cliente, el modelo de caja negra, gris o blanca, el riesgo aceptable durante la prueba, el sector regulatorio, el tipo de entregable y la necesidad de evaluar también la detección y la respuesta.

En Hard2bit utilizamos los marcos como una base estructurada, no como una lista mecánica. El objetivo es conservar cobertura y trazabilidad sin perder la capacidad de adaptar las pruebas al contexto real de cada organización.

Qué aporta cada marco

PTES sirve principalmente para estructurar el encargo completo. OWASP WSTG aporta profundidad técnica en aplicaciones web y APIs. NIST SP 800-115 resulta especialmente útil para la planificación y gobernanza de evaluaciones técnicas. OSSTMM introduce una visión más amplia y cuantificable de la seguridad operacional. MITRE ATT&CK, por su parte, ayuda a modelar y emular el comportamiento de adversarios reales.

La pregunta correcta no es cuál es mejor, sino qué combinación responde mejor al objetivo de la prueba.

PTES: la estructura completa de un pentest

El Penetration Testing Execution Standard, normalmente abreviado como PTES, es una de las referencias más útiles para estructurar un encargo de principio a fin.

Su objetivo es proporcionar a clientes y proveedores un lenguaje común sobre el alcance y la ejecución de una prueba de penetración. El estándar se organiza en siete grandes fases: interacción previa, recogida de inteligencia, modelado de amenazas, análisis de vulnerabilidades, explotación, post-explotación e informe.

La fortaleza de PTES es que no empieza con el escaneo. Empieza antes, cuando se definen el objetivo, los límites, las comunicaciones, las ventanas de prueba, la gestión de evidencias y las reglas de enfrentamiento.

La fase previa contempla cuestiones como los rangos autorizados, los servicios de terceros, las pruebas de denegación de servicio, la ingeniería social, los contactos de emergencia y los criterios para detener el ejercicio.

Esto resulta esencial porque un pentest técnicamente correcto puede convertirse en un problema si afecta a sistemas fuera del alcance, provoca una indisponibilidad no autorizada, accede a datos que no era necesario consultar o utiliza técnicas que el cliente no había aprobado.

Lo que PTES aporta especialmente bien

PTES obliga a conectar la prueba técnica con el negocio.

Durante el modelado de amenazas propone identificar activos, procesos, actores plausibles y capacidades del atacante. Así, el equipo no prueba todos los sistemas con la misma intensidad, sino que prioriza las rutas con mayor relevancia para la organización.

También separa con claridad el análisis de vulnerabilidades de la explotación. Encontrar una condición potencialmente insegura no equivale a demostrar que puede utilizarse para obtener acceso o causar impacto.

La explotación se plantea como una actuación precisa y planificada, no como el lanzamiento indiscriminado de pruebas de concepto.

La limitación de PTES

El contenido público de PTES continúa siendo útil, pero muchas de sus páginas llevan años sin una revisión estructural importante.

Por eso no debe aplicarse como si fuera un catálogo técnico actualizado a 2026. Sus fases siguen siendo válidas, pero las técnicas concretas deben complementarse con referencias actuales para cloud, Entra ID, APIs, contenedores, Kubernetes, aplicaciones móviles y entornos de inteligencia artificial.

PTES funciona mejor como esqueleto del encargo que como manual exhaustivo de técnicas modernas.

OWASP WSTG: profundidad para aplicaciones web y APIs

La OWASP Web Security Testing Guide, o WSTG, es la referencia técnica más reconocida para estructurar pruebas de seguridad sobre aplicaciones web.

A diferencia de PTES, no pretende gobernar todo el encargo. Su especialidad es indicar qué áreas deben revisarse dentro de una aplicación: configuración, identidades, autenticación, autorización, sesiones, validación de entradas, tratamiento de errores, criptografía, lógica de negocio, cliente web y APIs.

Esta profundidad hace que sea especialmente valiosa en una ⁠auditoría de seguridad de aplicaciones web o en una ⁠auditoría de seguridad de APIs.

WSTG no es lo mismo que OWASP Top 10

Es importante no confundir ambos documentos.

El OWASP Top 10 es un recurso de concienciación que resume grandes categorías de riesgo. La WSTG es una guía de pruebas mucho más extensa y operativa.

El Top 10 ayuda a comunicar prioridades. La WSTG ayuda a construir casos de prueba.

La edición OWASP Top 10:2025 mantiene Broken Access Control en la primera posición, sitúa Security Misconfiguration en la segunda e incorpora Software Supply Chain Failures como categoría propia.

Sin embargo, limitar un pentest web al Top 10 sería insuficiente.

Una aplicación puede no presentar ninguna vulnerabilidad obvia de las categorías más conocidas y seguir siendo explotable mediante un flujo de aprobación manipulable, una condición de carrera, una separación incorrecta entre clientes, una recuperación de cuenta insegura o una combinación de funciones legítimas.

La WSTG aporta cobertura, pero la lógica de negocio exige conocimiento de la aplicación y pruebas manuales.

Cómo se utiliza en la práctica

Un pentest profesional no suele copiar cada prueba de la WSTG de forma literal.

El equipo selecciona y adapta los casos según la tecnología, los roles disponibles, las funciones de la aplicación, la arquitectura, la sensibilidad de los datos, el modelo de amenaza y el tiempo contratado.

Los controles aplicables deben quedar trazados, especialmente cuando algunas pruebas se descartan por no resultar relevantes o por introducir un riesgo excesivo en producción.

La metodología aporta cobertura. El consultor aporta interpretación.

NIST SP 800-115: planificación y gobierno de evaluaciones técnicas

La publicación NIST SP 800-115, Technical Guide to Information Security Testing and Assessment, ofrece recomendaciones para diseñar, ejecutar y mantener procesos de evaluación técnica de seguridad.

No se limita al pentesting. Incluye revisión documental, análisis de configuraciones, revisión de logs, identificación de sistemas, escaneo, validación de vulnerabilidades, pruebas de contraseñas, ingeniería social y pruebas de penetración.

Esta amplitud es una de sus principales ventajas.

Mientras PTES describe con mayor claridad el ciclo ofensivo, NIST SP 800-115 presta especial atención a la política de evaluaciones, su planificación, la selección de técnicas, los recursos necesarios, la coordinación, las consideraciones legales, el manejo de datos y la mitigación.

Por eso encaja especialmente bien en organizaciones grandes, administraciones públicas y entornos donde el pentest forma parte de un programa más amplio de aseguramiento.

Lo que NIST aporta

NIST ayuda a decidir cuándo conviene utilizar revisión, identificación, análisis, validación técnica o penetración controlada.

Esto evita tratar el pentest como la única forma posible de evaluar seguridad. En algunos casos, una revisión autenticada, una comprobación de configuración o una auditoría de reglas aporta más cobertura y menos riesgo que intentar explotar cada hallazgo.

Su principal limitación

NIST SP 800-115 fue publicada en 2008.

Aunque sus principios de planificación y evaluación siguen siendo válidos, no refleja de forma nativa muchas arquitecturas actuales, como cloud, identidades federadas, Kubernetes, SaaS, pipelines CI/CD, APIs modernas, agentes de IA o identidades no humanas.

Su valor principal en 2026 está en la gobernanza del proceso, no en proporcionar las técnicas más recientes.

OSSTMM: medir la seguridad operacional

El Open Source Security Testing Methodology Manual, desarrollado por ISECOM, plantea la evaluación como una medición de seguridad operacional basada en evidencias y no en suposiciones.

OSSTMM intenta evaluar la superficie completa a través de distintos canales, entre ellos la seguridad humana, la seguridad física, las comunicaciones inalámbricas, las telecomunicaciones y las redes de datos.

Uno de sus elementos diferenciales es el Risk Assessment Value, o RAV, que pretende relacionar superficie operacional, controles y limitaciones para producir una medida comparable.

Qué aporta OSSTMM

Su mayor valor es obligar al evaluador a pensar en términos de exposición, confianza, controles, limitaciones y canales de interacción.

Es más amplio que un pentest tradicional de red y puede ser útil cuando se quiere evaluar seguridad física, humana, inalámbrica y tecnológica bajo un mismo modelo.

También intenta reducir la dependencia de valoraciones puramente subjetivas. La idea de medir de forma consistente la seguridad operacional resulta valiosa cuando una organización desea comparar distintas sedes o ejercicios.

Sus limitaciones prácticas

La versión oficial actual es OSSTMM 3.02, publicada en 2010. Su antigüedad obliga a realizar una adaptación considerable a arquitecturas actuales.

Además, el modelo RAV no está ampliamente extendido en todos los pentests comerciales y puede resultar difícil de explicar a clientes acostumbrados a clasificaciones como CVSS, riesgo técnico e impacto empresarial.

OSSTMM puede aportar rigor y medición, pero no debería aplicarse solo para producir una cifra aparentemente precisa. La métrica debe acompañarse siempre de contexto técnico y de negocio.

MITRE ATT&CK: comportamiento adversario, no metodología completa

MITRE ATT&CK se menciona con frecuencia junto a las metodologías de pentesting, pero técnicamente cumple otra función.

ATT&CK es una base de conocimiento sobre tácticas y técnicas utilizadas por adversarios, construida a partir de observaciones reales. Describe cómo los atacantes interactúan con los sistemas durante diferentes fases de una operación.

No define por sí solo cómo acordar el alcance, cómo gestionar evidencias, cómo evitar daños, cómo clasificar hallazgos ni cómo estructurar el informe.

Por tanto, no sustituye a PTES, OWASP o NIST.

Dónde aporta verdadero valor

ATT&CK resulta especialmente útil para diseñar escenarios de red team, emular grupos de amenaza, mapear técnicas utilizadas durante una intrusión, planificar ejercicios purple team, revisar cobertura de detección y relacionar controles con comportamientos adversarios.

ATT&CK Navigator permite representar técnicas, planificar ejercicios y visualizar cobertura defensiva.

Un ejercicio puede seleccionar técnicas de acceso inicial, persistencia, acceso a credenciales, movimiento lateral y exfiltración, y comprobar si la organización es capaz de observarlas y responder.

ATT&CK evoluciona

A diferencia de otros documentos más estáticos, ATT&CK se actualiza regularmente.

En la versión 19, publicada en 2026, MITRE dividió la antigua táctica Defense Evasion en dos: Stealth y Defense Impairment.

Esto demuestra por qué no conviene diseñar informes o controles basándose en una estructura fija que nunca se revise.

Para profundizar en la diferencia entre una prueba técnica y una emulación adversaria, consulta nuestra guía sobre ⁠pentesting, red team y BAS.

Las fases de un pentest profesional

Aunque cada marco utiliza nombres diferentes, un encargo serio recorre una secuencia reconocible.

El modelo de siete fases de PTES es una buena referencia práctica.

1. Definición del alcance y reglas de enfrentamiento

Antes de comenzar se acuerdan los activos incluidos, los sistemas excluidos, las técnicas permitidas, las credenciales que se facilitarán, las ventanas de trabajo, los contactos de emergencia, el tratamiento de evidencias y las condiciones que obligarían a detener la prueba.

Esta fase no es burocracia. Forma parte de la seguridad del servicio.

Un alcance mal definido puede provocar que se pruebe infraestructura de un proveedor, que se afecte a un entorno productivo o que se acceda a información innecesaria.

2. Recogida de inteligencia

El equipo reconstruye la superficie de ataque disponible desde la posición acordada.

En caja negra puede incluir OSINT, DNS, certificados, activos expuestos y tecnologías. En caja blanca puede incorporar arquitectura, inventario, código fuente y documentación interna.

El objetivo no es acumular datos, sino crear hipótesis de ataque.

3. Modelado de amenazas

No todos los activos tienen el mismo valor ni todos los atacantes persiguen lo mismo.

El modelado relaciona funciones críticas, datos sensibles, actores plausibles, capacidades, motivaciones, rutas de acceso e impacto.

Así se evita dedicar el mismo esfuerzo a un servidor irrelevante que a una identidad capaz de controlar todo el entorno.

4. Análisis de vulnerabilidades

En esta fase se identifican condiciones potencialmente explotables mediante automatización y pruebas manuales.

El trabajo consiste en distinguir entre un falso positivo, una vulnerabilidad real pero no explotable, una vulnerabilidad explotable, una configuración débil, una exposición informativa o una cadena que necesita varios fallos.

El resultado de un escáner es un candidato, no una conclusión.

5. Explotación controlada

Cuando está autorizada, la explotación demuestra si el fallo produce impacto real.

Debe utilizarse la mínima intervención necesaria. No hace falta extraer una base de datos completa si una muestra controlada demuestra que el acceso existe.

La explotación debe responder a una pregunta concreta, no convertirse en una competición para causar el máximo efecto.

6. Post-explotación y movimiento lateral

Una vez obtenido acceso, se analiza qué permite realmente esa posición.

El equipo evalúa si existe escalada de privilegios, reutilización de credenciales, acceso a otros segmentos, llegada a sistemas críticos, evasión de controles o impacto sobre backups e hipervisores.

Aquí aparece la diferencia entre una vulnerabilidad aislada y una ruta de ataque.

7. Informe, remediación y retest

El informe debe traducir la actividad técnica a decisiones.

Un hallazgo útil explica qué se observó, cómo se reprodujo, qué activos afecta, qué precondiciones requiere, qué impacto puede causar, qué evidencia lo demuestra, cómo corregirlo y cómo validar después la corrección.

El ciclo no debería terminar con la entrega. Un servicio completo incluye aclaraciones, priorización y una comprobación posterior de las medidas aplicadas.

Caja negra, caja gris y caja blanca

La metodología también depende de la información que recibe el equipo.

En una prueba de caja negra, el pentester parte con información mínima. Se aproxima a la posición de un atacante externo que debe descubrir la superficie por sus propios medios.

Este modelo resulta útil para evaluar exposición y capacidad de detección, pero consume parte del tiempo contratado en reconocimiento y no siempre proporciona la máxima cobertura.

En caja gris se facilitan determinados datos, usuarios o accesos. Es el modelo más habitual en entornos empresariales porque permite evaluar tanto la perspectiva externa como el comportamiento de usuarios autenticados sin dedicar todo el esfuerzo a descubrir información que el cliente ya conoce.

En caja blanca se entrega información amplia, como arquitectura, credenciales, inventarios o código fuente. No simula exactamente a un atacante sin conocimiento previo. Su objetivo es maximizar la cobertura y localizar fallos de forma eficiente.

La elección no debe basarse en cuál parece más «realista», sino en el objetivo del encargo. Lo explicamos con más detalle en nuestra guía sobre ⁠qué es un pentesting y qué tipos existen.

Pentest, red team y BAS requieren enfoques distintos

Un pentest intenta identificar y validar vulnerabilidades dentro de un alcance definido y durante un periodo limitado.

Un red team persigue objetivos concretos reproduciendo el comportamiento de un adversario, normalmente con mayor énfasis en sigilo, encadenamiento, detección y respuesta.

El BAS automatiza la ejecución recurrente de técnicas para comprobar de forma continua si los controles funcionan como se espera.

PTES y OWASP encajan especialmente bien en pentests. MITRE ATT&CK aporta más valor en red team y purple team. BAS utiliza catálogos de técnicas para automatizar comprobaciones repetibles. TIBER-EU, por su parte, gobierna ejercicios avanzados de amenaza en determinados contextos financieros.

No conviene contratar uno esperando que resuelva el objetivo de otro.

Cómo combina metodologías un proveedor serio

En la práctica, una metodología profesional puede utilizar PTES para estructurar el encargo, OWASP WSTG para profundizar en web y APIs, NIST SP 800-115 para reforzar planificación y evidencias, OSSTMM cuando se busca una medición operacional más amplia y MITRE ATT&CK para mapear técnicas y evaluar detección.

También pueden añadirse guías específicas para cloud, móvil, Kubernetes, Active Directory u otras superficies.

No se trata de mencionar muchos acrónimos en una propuesta comercial. La combinación debe reflejarse en elementos verificables: matriz de cobertura, reglas de enfrentamiento, casos de prueba, evidencias, trazabilidad, criterios de severidad, limitaciones, recomendaciones y retest.

En Hard2bit adaptamos el método a la superficie y al objetivo del cliente, pero mantenemos una idea constante: la automatización proporciona cobertura inicial y el equipo experto realiza la validación manual, el encadenamiento y la interpretación del impacto.

El resultado no es una exportación de herramientas, sino una evaluación técnica defendible.

Cuándo el método viene condicionado por la regulación

En algunos sectores, la organización no dispone de libertad completa para definir cómo se ejecutan y documentan las pruebas.

La regulación puede establecer periodicidad, independencia, alcance, conservación de evidencias y requisitos para los proveedores.

DORA, TLPT y TIBER-EU

DORA establece programas de pruebas de resiliencia operativa digital para las entidades financieras y un régimen avanzado de pruebas de penetración basadas en amenazas para las entidades que determinen las autoridades competentes.

No es correcto afirmar que todas las entidades financieras deban realizar un TLPT cada tres años.

La obligación se aplica a las entidades seleccionadas según los criterios regulatorios. Para ellas, DORA establece con carácter general una frecuencia mínima de tres años, aunque la autoridad puede modificarla según el perfil de riesgo.

El Reglamento Delegado (UE) 2025/1190 desarrolla los criterios de selección y los requisitos sobre alcance, metodología, testers, resultados, cierre y remediación.

El BCE actualizó TIBER-EU en febrero de 2025 para alinearlo con DORA y con sus normas técnicas. El marco organiza el ejercicio en fases de inicio, alcance, inteligencia de amenazas, pruebas de red team, evaluación defensiva y remediación.

Puedes ampliar este contexto en nuestro servicio de ⁠cumplimiento y resiliencia operativa DORA.

PCI DSS 4.0.1

PCI DSS establece requisitos técnicos y operativos para proteger los datos de las cuentas de pago.

El requisito 11.4 contempla pruebas de penetración internas y externas, después de cambios significativos y sobre la segmentación cuando se utiliza para reducir el alcance del entorno de datos de tarjetas.

No basta con presentar un informe de escáner. La metodología debe cubrir el perímetro y los sistemas internos relevantes, considerar amenazas y vulnerabilidades del sector y conservar evidencia suficiente.

Hard2bit dispone de un servicio específico de ⁠evaluación y cumplimiento PCI DSS.

NIS2

NIS2 exige a las entidades incluidas en su ámbito adoptar medidas técnicas, operativas y organizativas proporcionadas, así como políticas y procedimientos para evaluar su eficacia.

No impone una metodología universal de pentesting ni una frecuencia idéntica para todas las organizaciones.

Sin embargo, una prueba técnica independiente puede aportar evidencia sobre exposición, gestión de vulnerabilidades, control de acceso, segmentación, seguridad de proveedores y capacidad de detección y respuesta.

La metodología elegida debe ser coherente con el riesgo y con los sistemas que sostienen los servicios esenciales o importantes.

Puedes consultar nuestra ⁠guía práctica para cumplir NIS2 en España y el servicio de ⁠adecuación a NIS2.

Esquema Nacional de Seguridad

El Real Decreto 311/2022 exige auditorías regulares de seguridad para los sistemas de categorías media y alta. La categoría básica se somete, con carácter general, a autoevaluación.

Esto no significa que todos los sistemas medios y altos deban ejecutar exactamente el mismo pentest.

Las pruebas concretas deben responder a la categoría del sistema, el análisis de riesgos, la declaración de aplicabilidad, las medidas seleccionadas, la arquitectura, la exposición, los servicios prestados y los requisitos de auditoría.

Una prueba de penetración puede constituir una evidencia técnica importante dentro de la auditoría o del proceso de mejora, especialmente en sistemas expuestos o críticos. Pero debe justificarse dentro del marco completo de cumplimiento, no presentarse como una obligación universal aislada.

Para sistemas sujetos al ENS, Hard2bit ofrece ⁠preparación para auditoría ENS, ⁠gestión de vulnerabilidades adaptada al ENS y servicios de ⁠pentesting profesional.

Cómo saber si un proveedor aplica una metodología real

No hace falta pedir al proveedor que recite todos los documentos de OWASP o NIST.

Sí debería poder explicar con claridad cómo define el alcance, qué casos de prueba aplica, cómo adapta la metodología a la tecnología, qué parte está automatizada, qué hallazgos valida manualmente, cómo controla el riesgo durante la explotación, cómo documenta las cadenas, qué limitaciones tuvo el ejercicio, cómo prioriza la remediación y si incluye retest.

También debería diferenciar claramente entre escaneo, auditoría, pentest, red team y BAS.

Una propuesta que solo enumera herramientas como Nmap, Nessus, Burp o Metasploit no demuestra una metodología.

Las herramientas indican con qué puede trabajar el proveedor. El método demuestra cómo piensa.

Para evaluar mejor una oferta, puedes consultar nuestra comparativa sobre la ⁠diferencia entre auditoría de seguridad y pentesting y nuestra guía sobre ⁠cómo elegir una empresa de ciberseguridad.

Lo esencial

La metodología es lo que convierte un conjunto de técnicas ofensivas en un control de seguridad serio.

Define qué se prueba, con qué profundidad, bajo qué reglas, cómo se conserva la evidencia y de qué manera pueden compararse los resultados con ejercicios anteriores.

PTES aporta una estructura completa para el encargo. OWASP WSTG proporciona profundidad en aplicaciones web. NIST SP 800-115 refuerza planificación y gobernanza. OSSTMM introduce medición operacional. MITRE ATT&CK permite relacionar las pruebas con el comportamiento de adversarios reales.

Ninguno resuelve por sí solo todos los escenarios.

Un buen proveedor combina los marcos adecuados, los adapta al contexto y documenta con claridad sus decisiones y limitaciones.

Si no puede explicar qué metodología sigue, qué cobertura ofrece y cómo valida sus conclusiones, probablemente no estás comprando un pentest profesional. Estás comprando una ejecución de herramientas.

¿Necesitas un pentest con metodología, validación y evidencia?

Hard2bit realiza pruebas de penetración sobre aplicaciones web, APIs, infraestructura, redes internas, Active Directory, cloud, Wi-Fi, dispositivos móviles y otras superficies críticas.

Nuestros consultores combinan marcos reconocidos, automatización y pruebas manuales para adaptar el alcance al riesgo real, mantener una cobertura trazable, descartar falsos positivos, validar la explotabilidad, construir rutas de ataque y priorizar la remediación.

El resultado no es un informe automático, sino una evaluación técnica defendible, reproducible y orientada a decisiones.

Solicita una propuesta de pentesting adaptada a tu entorno y objetivos.

Preguntas frecuentes

¿Qué metodología de pentesting es la mejor?

No hay una mejor en abstracto: cada una cubre algo distinto. PTES estructura el encargo completo, OWASP WSTG da profundidad en web y APIs, NIST SP 800-115 encaja en entornos regulados, OSSTMM aporta medición cuantificable y MITRE ATT&CK sirve para emular adversarios en red team. La mayoría de los tests profesionales combinan varias.

¿Cuántas fases tiene un pentest?

El modelo más usado, PTES, define siete fases: acuerdo previo y alcance, recogida de inteligencia (OSINT), modelado de amenazas, análisis de vulnerabilidades, explotación, post-explotación y movimiento lateral, e informe. Otros marcos agrupan las etapas de forma distinta, pero el recorrido de fondo es equivalente.

¿Qué es OWASP WSTG y en qué se diferencia del OWASP Top 10?

El OWASP Top 10 es una lista priorizada de los riesgos más críticos en aplicaciones web (en su edición 2025, con Broken Access Control como primero). La OWASP Web Security Testing Guide (WSTG) es la metodología detallada de cómo probar cada categoría. El Top 10 dice qué buscar; la WSTG, cómo hacerlo.

¿Qué es MITRE ATT&CK y cómo se usa en red team?

MITRE ATT&CK es una base de conocimiento pública de tácticas y técnicas que usan los adversarios reales, organizada por fases del ataque. En red team se usa para emular a un actor de amenaza concreto —replicando sus técnicas— y para medir si la organización detecta y responde a cada una, no solo si el fallo existe.

¿Qué metodología de pentesting exige DORA?

DORA (artículos 26 y 27) exige a las entidades financieras significativas realizar TLPT (Threat-Led Penetration Testing) al menos cada tres años, siguiendo el marco TIBER-EU actualizado por el BCE. Es un ejercicio de alcance amplio sobre sistemas críticos en producción, más cercano al red team que a un pentest de alcance acotado.

¿Diferencia entre caja negra, caja gris y caja blanca?

Se refiere a cuánta información recibe el analista. En caja negra parte de cero, como un atacante externo. En caja blanca dispone de código, credenciales y arquitectura, maximizando la cobertura. La caja gris es el punto intermedio y el más habitual en empresa, por equilibrar eficiencia y profundidad.

¿NIST SP 800-115 sigue vigente?

Sí. NIST SP 800-115, la guía técnica de pruebas y evaluación de seguridad, sigue siendo una referencia válida y muy usada, especialmente en entornos regulados y administración pública. Se complementa con marcos más recientes como OWASP WSTG para web o MITRE ATT&CK para emulación de adversarios.