Ofensiva validada · Cobertura ATT&CK · DORA TLPT
Pentesting vs Red Team vs BAS: tres modelos ofensivos y cuándo elegir cuál
Los tres son ejercicios ofensivos, pero responden a preguntas distintas. El error habitual es pedir red team cuando lo que se necesita es pentest, o esperar de un pentest lo que solo un red team puede dar. Aquí lo desmontamos con coste, frecuencia y encaje regulatorio (DORA TLPT, NIS2, ISO 27001).
Resumen en una página
La pregunta que responde cada ejercicio es distinta. Pentesting responde a "¿qué vulnerabilidades tiene este alcance?". Red team responde a "¿podríamos detectar y contener a un adversario real antes de que cause impacto?". BAS responde a "¿cuánto de ATT&CK está cubriendo mi stack defensivo esta semana frente a la pasada?".
Pentesting
Validación de alcance
Pregunta acotada. Aplicación web, infraestructura interna, segmento de red, API. Ventana corta (1-4 semanas). Resultado: lista de vulnerabilidades, severidad y plan de remediación.
Ver servicio →Red team
Simulación adversarial
Pregunta organizativa. Objetivo (datos, sistema crítico, evidencia de impacto), sigilo, ventana larga (2-4 meses). Resultado: cronología de la operación, cobertura SOC y recomendaciones de detección y respuesta.
Ver servicio →BAS
Validación continua
Pregunta defensiva. Escenarios técnicos automatizados contra controles, métrica semanal de cobertura ATT&CK. Ideal para purple team y mejora iterativa del SOC.
Ver glosario BAS →Tabla comparativa
Los tres modelos conviven en un programa ofensivo maduro. La tabla los compara sobre los ejes que cualquier comité de compra mira.
| Dimensión | Pentesting | Red team | BAS |
|---|---|---|---|
| Pregunta que responde | Qué vulnerabilidades hay | Si nos detectarían y contendrían | Cuánto detecta nuestro stack hoy |
| Alcance | Acotado (app, infra, segmento) | Organización completa, con objetivo | Continuo, sobre controles desplegados |
| Modelo de información | White/grey-box | Black-box, sigiloso | Coordinación total |
| Duración | 1-4 semanas | 2-4 meses | Operación continua |
| SOC avisado | Sí | No (debriefing al final) | Sí, en colaboración |
| Frecuencia típica | Anual + por release crítica | Anual o bianual | Continua, ajustes semanales/mensuales |
| Coste orientativo (España) | 8-40 k€ por ejercicio | 60-150 k€ por ejercicio | 40-90 k€/año (plataforma + operación) |
| Encaje regulatorio | PCI DSS, ENS Alta, ISO 27001, NIS2 | DORA TLPT, banca crítica, defensa | NIS2 (medidas), mejora continua |
| Entregable principal | Informe técnico + remediación | Cronología operativa + recomendaciones SOC | Dashboards continuos + deltas semanales |
| Mejor en | Profundidad de un alcance | Realismo adversarial completo | Métrica defensiva continua |
Qué pedir según el momento
Momento 1
Aún no hay programa ofensivo
Pide pentesting de tu superficie crítica (aplicación principal, perímetro, segmento más expuesto). Te da el suelo de vulnerabilidades y arranca la relación con el equipo ofensivo. Red team y BAS llegan después.
Momento 2
SOC operativo, sin validación adversarial
Pide BAS. Con 6-12 meses de operación SOC estable, BAS valida si la detección está madurando o se está estancando. Cobertura ATT&CK pasa de ser narrativa a métrica semanal accionable.
Momento 3
Te aplica DORA o resiliencia financiera
Pide red team con encaje TLPT. DORA exige TLPT cada 3 años para entidades críticas. La preparación lleva 6-9 meses: CTI dirigida, autorización del regulador, escenarios y debriefing purple team. No improvisa.
Momento 4
Programa maduro de ofensiva
Los tres conviven en cadencia coordinada: BAS continuo, pentest por release crítica, red team anual o bianual con purple team que retroalimenta el SOC. Una organización madura no elige entre los tres; los orquesta.
Errores habituales
- Pedir red team cuando lo que necesitas es pentest. El red team avisado mide poco y el resultado se queda en una lista de vulnerabilidades que un pentesting habría dado por la mitad de precio.
- Avisar al SOC del red team. El valor del ejercicio se evapora: lo que mides no es respuesta, es teatro. Si no podéis sostener la opacidad operativa, llamadlo pentest avanzado y ya está.
- Comprar BAS sin SOC. BAS produce miles de eventos de control; sin alguien que los procese y los traduzca en mejoras, es ruido de pago. BAS sin SOC operativo es cara de mantener y poco accionable.
- Pentest 'check-the-box'. Un pentest a tarifa mínima con metodología poco creíble genera un informe que se firma y se archiva, pero no mejora nada. Pide metodología, perfil del equipo y muestras de informes previos.
- No hacer debriefing. Si tras un red team no hay purple team que recoja TTPs en casos de uso del SOC, la inversión se queda en la estantería. El valor real es la mejora defensiva que se deriva, no el informe.
- Confundir DORA TLPT con un red team cualquiera. TLPT exige proveedor autorizado, CTI dirigida y supervisión. No vale repetir el ejercicio del año pasado y poner el sello DORA encima.
Servicios relacionados en Hard2bit
Pentesting
Validación profunda de alcance acotado con metodología OWASP, PTES y NIST.
Ver →
Red team
Simulación adversarial completa con CTI dirigida y debriefing purple team.
Ver →
Pentesting + red team pilar
Visión global de programa ofensivo enterprise.
Ver →
Threat hunting
Hipótesis ofensivas mapeadas a MITRE ATT&CK con cadencia regular.
Ver →
Gestión de vulnerabilidades
Backlog y remediación priorizada como evidencia continua.
Ver →
EDR vs XDR vs MDR
La capa defensiva sobre la que opera lo ofensivo.
Ver →
Preguntas frecuentes
¿Cuál es la diferencia esencial entre pentesting, red team y BAS?
Pentesting valida la seguridad de un alcance acotado (aplicación, infraestructura, segmento) en una ventana corta. Red team simula a un adversario realista contra toda la organización con objetivo (datos, sistemas, evidencia de impacto) y sigilo, sin avisar al SOC. BAS (Breach and Attack Simulation) ejecuta de forma continua escenarios técnicos para medir cobertura defensiva. Los tres conviven; no se sustituyen entre sí.
¿Cuándo encaja un pentesting clásico y cuándo se queda corto?
Pentesting encaja cuando hay un alcance acotado y un objetivo de validación: aplicación que sale a producción, segmento que cambia, cumplimiento que pide evidencia (PCI DSS, ENS Alta, ISO 27001). Se queda corto cuando lo que quieres medir es cómo detecta y responde tu equipo de seguridad, o cuando la pregunta es '¿podríamos detectar un ataque real?'. Para eso necesitas red team o BAS.
¿Qué es DORA TLPT y qué relación tiene con red team?
TLPT (Threat-Led Penetration Testing) es el ejercicio ofensivo intensivo que DORA exige cada 3 años a entidades financieras críticas. En la práctica es un red team riguroso, conducido por proveedor certificado bajo TIBER-EU o equivalente, con CTI dirigida y supervisión del regulador. No es un pentest clásico: el alcance es organizacional y el objetivo es medir la resiliencia operativa real, no listar vulnerabilidades.
¿BAS sustituye al pentesting o al red team?
No. BAS automatiza la validación continua de controles técnicos contra TTPs conocidas (MITRE ATT&CK), pero no improvisa, no investiga humanos y no se adapta como un atacante real. BAS es la cama elástica entre ejercicios: te dice cuánto detecta tu SIEM/EDR hoy comparado con la semana pasada. Pentesting y red team siguen siendo necesarios para validar profundidad y comportamiento adversarial.
¿Cuánto cuesta cada uno y con qué frecuencia se hace?
Un pentesting de aplicación web típico: 8-20 k€, cadencia anual o por release crítica. Un pentesting de infraestructura interna mediana: 15-40 k€, anual. Un red team enterprise: 60-150 k€ por ejercicio, normalmente anual o bianual. BAS plataforma + operación gestionada: 40-90 k€/año en flujo continuo. Los rangos varían mucho con alcance, sector y madurez.
¿Qué orden tiene sentido si parto de cero?
Habitualmente: primero un pentesting bien hecho del alcance crítico para entender el nivel real de vulnerabilidad. Después, cuando hay un SOC operativo (interno o gestionado), añadir BAS para validar continuamente. Red team se incorpora cuando el SOC tiene 6-12 meses de operación estable; antes, el ejercicio mide poco porque la operación todavía está calibrándose.
¿Quién debe estar avisado dentro de la empresa?
Depende del modelo. Pentesting suele ser white-box o grey-box con comunicación abierta. Red team es black-box: muy pocas personas dentro lo saben (típicamente solo CISO y un sponsor ejecutivo); el SOC no se entera hasta el debriefing. BAS se ejecuta con coordinación total porque su objetivo no es sorprender, es medir. La elección del modelo afecta al valor del ejercicio: red team avisado mide poco.
¿Qué se entrega al final de cada ejercicio?
Pentesting: informe técnico con hallazgos, severidad, evidencia y remediación priorizada; sesión de cierre con TI. Red team: informe ejecutivo + cronología detallada de la operación + recomendaciones organizativas; sesión de debriefing con SOC para extraer lecciones (purple team). BAS: dashboards continuos con cobertura ATT&CK, deltas semanales y propuestas de mejora. La calidad del informe es donde se ve si el proveedor es serio.
¿Qué ejercicio ofensivo encaja contigo este año?
En 30 minutos revisamos tu superficie crítica, madurez del SOC, obligaciones regulatorias y presupuesto, y proponemos la cadencia ofensiva razonable a 12 meses: pentest, BAS, red team o una mezcla coordinada de las tres.