Pentesting & Red Team: descubrimos brechas reales antes de que lo haga un atacante
Evaluamos tu exposición como lo haría un adversario real, pero con reglas claras: alcance acordado, ventanas controladas, evidencia reproducible e informe priorizado por impacto. Cubrimos desde la auditoría técnica y el pentest sobre una aplicación o infraestructura hasta la simulación de adversario (Red Team) alineada con MITRE ATT&CK y marcos como TIBER-EU. Cada hallazgo se entrega con PoC, riesgo real, recomendación accionable y retest para cerrar el ciclo.
Alcance
Acordado por escrito
objetivos, ventanas y ROE
Método
OWASP · PTES · ATT&CK
TIBER-EU cuando aplica
Cierre
Informe + retest
validación de las correcciones
Orientado a entornos regulados y auditoría: gobernanza, ejecución y evidencias defendibles.
Calidad de ejecución
“Security that runs”: operación + gobierno + auditoría. No solo diagnosticamos: cerramos, verificamos y dejamos evidencia.
Modelo
Black · Grey · White
según objetivo del ejercicio
Cobertura
App · Infra · Cloud · AD
más simulación de adversario
Resultado
Riesgo reducido
con evidencia defendible
Qué cubre Pentesting & Red Team en la práctica
- Auditoría técnica de infraestructura, red y configuración contra buenas prácticas.
- Pentest de aplicaciones web y APIs alineado con OWASP (WSTG, ASVS).
- Pentest de infraestructura externa e interna, Active Directory y redes segmentadas.
- Revisión ofensiva de cloud (Azure, AWS, GCP) y de Microsoft 365 / Entra ID.
- Red Team y simulación de adversario (MITRE ATT&CK, TIBER-EU cuando aplica).
- Informe priorizado por impacto con PoC reproducible y retest de las correcciones.
Trabajamos el lado ofensivo con trazabilidad y contexto de negocio: definimos objetivos, acordamos reglas de juego, ejecutamos en ventana y dejamos un informe útil para dirección, técnica y auditoría. No confundimos «hemos lanzado un escáner» con «hemos pentesteado»: el valor está en la explotación controlada, el encadenamiento de vulnerabilidades y la validación posterior de las correcciones.
Entregables (para dirección, técnica y auditoría)
Resumen ejecutivo
Lectura para dirección y comité: impacto, riesgo residual, estado por ámbito y decisiones requeridas en una sola página.
Informe técnico con PoC
Detalle reproducible por hallazgo: evidencia, CVSS, ruta de explotación, impacto real y recomendación específica para remediar.
Plan de remediación priorizado
Backlog ordenado por riesgo real y esfuerzo, con propietarios sugeridos, dependencias y quick wins accionables desde el día uno.
Retest y carta de cierre
Validación de las correcciones, evidencia del cierre por hallazgo y actualización del informe con el riesgo residual asumido.
Casos de uso típicos
Aplicación web o API expuesta
Pentest alineado con OWASP WSTG / ASVS: autenticación, autorización, lógica de negocio, inyecciones, IDOR y dependencias.
Infraestructura perimetral e interna
Descubrimiento de superficie expuesta, revisión de servicios, movimiento lateral y escalada de privilegios en Active Directory.
Entorno cloud y Microsoft 365
Revisión de identidades, permisos, secretos, exposición pública, Conditional Access y abuso de tokens o consentimientos OAuth.
Simulación de adversario (Red Team)
Escenario con objetivos concretos, técnicas alineadas con MITRE ATT&CK, acceso inicial, persistencia y validación de detección del Blue Team.
Validación post-incidente
Confirmar que la remediación tras un incidente cierra realmente el vector y no deja puertas traseras ni accesos residuales.
Exigencia regulatoria
Pentest como evidencia para DORA, NIS2, ENS, ISO 27001 o PCI-DSS, con informe útil para auditores y para cerrar hallazgos previos.
Metodologías y marcos de referencia
Trabajamos con las metodologías de referencia del sector, pero con criterio propio: el marco es la base, no el objetivo. Cada ejercicio se apoya en el estándar que corresponde al alcance y al modelo de amenaza, y la experiencia del equipo es lo que convierte una checklist en un hallazgo defendible.
OWASP WSTG, ASVS y MASVS
Web Security Testing Guide como base de cobertura para pentest web, y ASVS/MASVS como referencia de verificación por niveles. Nos permite dimensionar el ejercicio (L1 exploratorio, L2 estándar, L3 alto assurance) y explicar al desarrollo qué controles debe implantar más allá del hallazgo puntual.
OWASP API Security Top 10 (2023)
BOLA, autenticación rota, exposición de datos, consumo excesivo, autorización a nivel de función, SSRF y configuración incorrecta. Estas siete familias concentran hoy la mayoría del riesgo real en APIs REST y GraphQL de exposición externa.
PTES (Penetration Testing Execution Standard)
Pre-engagement, reconnaissance, threat modeling, vulnerability analysis, exploitation, post-exploitation y reporting. PTES da la estructura para pentest de infraestructura, red interna y Active Directory con criterio de repetibilidad y trazabilidad de la ruta de ataque.
MITRE ATT&CK
Taxonomía común de tácticas y técnicas del adversario para Red Team. Toda la ruta de acceso inicial, persistencia, movimiento lateral y exfiltración se documenta con IDs ATT&CK, lo que permite al Blue Team validar detección y cobertura sobre un vocabulario compartido.
TIBER-EU (Threat Intelligence-Based Ethical Red Teaming)
Marco del BCE y bancos centrales para ejercicios de Red Team basados en threat intelligence en entidades financieras críticas. Alineamos con TIBER-EU cuando aplica (DORA lo referencia para pruebas avanzadas), coordinando con supervisor, TI provider y control interno.
DORA, NIS2, ENS, ISO 27001, PCI DSS
El pentest y el Red Team son evidencia técnica para varios marcos: DORA (art. 26 Threat-Led Penetration Testing), NIS2 (medidas de seguridad art. 21), ENS (auditoría y pruebas periódicas), ISO 27001 A.12.6 y A.8.29, PCI DSS req. 11.3 y 11.4. El informe se estructura para servir a auditor y comité.
Auditoría, pentesting y Red Team — cuándo elige cada uno
Se confunden con frecuencia. No son sustitutos, sino tres capas distintas de madurez ofensiva. Elegir bien es la primera decisión de valor: un Red Team sobre una organización que aún no ha hecho auditoría estructurada raramente devuelve más valor que un pentest bien alcanzado.
| Criterio | Auditoría técnica | Pentesting | Red Team |
|---|---|---|---|
| Objetivo | Fotografía estructurada del estado de seguridad frente a buenas prácticas o un marco. | Demostrar impacto real explotando vulnerabilidades dentro del alcance acordado. | Alcanzar un objetivo de negocio como lo haría un adversario avanzado, sin restricciones técnicas. |
| Alcance | Amplio, definido por marco (CIS, ENS, ISO 27001, DORA). | Acotado: aplicación, API, infra, cloud, M365. | Objetivo (dato, sistema crítico), superficie completa. |
| Metodología | Checklist estructurada, revisión de configuración. | OWASP WSTG / ASVS · PTES · MITRE ATT&CK. | MITRE ATT&CK · TIBER-EU (regulado). |
| Sigilo | No aplica. | Bajo, el equipo defensivo suele estar avisado. | Alto. Sólo dirección y white team conocen el ejercicio. |
| Duración típica | 1–3 semanas. | 1–4 semanas por objetivo. | 6–12 semanas. |
| Entregable clave | Informe as-is + roadmap de mejora. | Informe priorizado con PoC + retest. | Ruta de ataque completa + evaluación de detección Blue Team. |
| Cuándo elegirlo | Cuando el mapa aún no está claro o hace falta base para presupuesto y roadmap. | Cuando el activo importa y hace falta demostrar impacto real, no solo listar CVEs. | Cuando el Blue Team está maduro y hay que probar la capacidad real de detección y respuesta. |
Nuestra recomendación honesta: si es la primera vez que evalúas seguridad ofensiva, empieza por auditoría técnica del ámbito más crítico y un pentest orientado al mismo. El Red Team se rentabiliza cuando ya hay un SOC/MDR operando y quieres medir su detección real.
Cuánto cuesta un pentest en España — rangos orientativos
Rangos de mercado observados para empresas medianas y grandes en España durante 2025-2026. Sirven para dimensionar presupuesto internamente y evitar comparar peras con manzanas. No son una oferta ni un compromiso comercial: el precio real depende de alcance, complejidad y ventana acordados por escrito.
Web pequeña o mediana
4.500 – 7.000 €
Una app, autenticada + no autenticada, roles básicos, sin integraciones complejas.
Web corporativa
12.000 – 22.000 €
Multi-módulo, varios roles, SSO/federación, integraciones críticas o multi-tenant.
Pentest de APIs (REST/GraphQL)
3.500 – 9.000 €
Función del nº de endpoints, niveles de autenticación y complejidad del modelo de negocio.
Perímetro externo
4.000 – 8.000 €
Descubrimiento y validación de superficie expuesta, servicios y configuración.
Interna + Active Directory
12.000 – 25.000 €
Movimiento lateral, escalada de privilegios, revisión de segmentación y hardening AD.
Auditoría ofensiva M365 / Entra ID
5.000 – 10.000 €
MFA, Conditional Access, OAuth consents, roles privilegiados y persistencia en buzones.
Auditoría de código fuente
8.000 – 20.000 €
Según LOC, stack, criticidad y objetivo (revisión general vs foco en componente crítico).
Red Team completo (4-8 semanas)
35.000 – 70.000 €+
Objetivos concretos, sigilo, coordinación con white team y ventana amplia. TIBER-EU se cotiza aparte.
BAS (Breach & Attack Simulation)
Modelo suscripción
Coste anual + integración inicial. Complementa, no sustituye, a pentest/RT.
Qué hace subir el precio
- Volumen real (nº apps, nº endpoints, nº ubicaciones, tamaño del AD).
- Complejidad (SSO, federación, multi-tenant, arquitectura microservicios).
- Sigilo requerido (evitar detección alarga y encarece el ejercicio).
- Retest extensivo o iteraciones adicionales tras remediación.
- Formato de informe regulatorio (DORA TLPT, TIBER-EU) con validaciones adicionales.
Qué NO cobramos aparte
- Informe ejecutivo y técnico priorizado — incluidos en el proyecto.
- Reunión de arranque y de cierre con equipo técnico y dirección.
- Retest de los hallazgos críticos y altos tras remediación (dentro del proyecto).
- PoC reproducible, IoCs y ruta de ataque para el equipo defensivo.
Nota metodológica: los rangos reflejan proyectos de calidad ejecutados por equipos con certificaciones y experiencia demostrable. Por debajo del rango inferior suele haber concesiones (menos días, sin retest, sin PoC reproducible) que se traducen en un informe superficial. La mejor forma de ajustar presupuesto es acotar bien el alcance, no bajar el rate.
Modelos de conocimiento: caja negra, gris y blanca
El modelo se acuerda antes del ejercicio, no durante. Determina el nivel de información con el que arranca el equipo ofensivo y, con ello, la cobertura, el tiempo y el tipo de hallazgos que van a aparecer.
Sin información previa
Simulamos lo que vería un atacante externo con acceso solo a información pública. Prioriza descubrimiento de superficie y validación del perímetro. Menor cobertura por unidad de tiempo, pero muy útil como línea base de exposición.
Elígelo cuando: quieres medir la superficie externa real o probar la robustez de tu perímetro.
Credenciales de usuario estándar
Arrancamos con la información y accesos que tendría un usuario legítimo (empleado, cliente, socio). Optimiza cobertura y tiempo. Es el modelo por defecto para pentest de aplicaciones, infraestructura interna y M365 en empresas maduras.
Elígelo cuando: quieres cobertura útil en un tiempo razonable y demostrar el impacto de una cuenta comprometida.
Acceso completo
Código fuente, arquitectura, configuración, documentación y accesos elevados. Es el modelo con mayor profundidad por unidad de esfuerzo — encuentra lo que una caja gris no vería y lo que una revisión SAST tampoco. Ideal en aplicaciones críticas o pre-lanzamiento.
Elígelo cuando: el sistema es crítico y necesitas cobertura máxima antes de un lanzamiento, migración o certificación.
FAQ (Pentesting & Red Team)
¿Qué diferencia hay entre auditoría, pentesting y Red Team? ↓
La auditoría revisa configuración, arquitectura y controles contra buenas prácticas (un «as-is» estructurado). El pentesting explota vulnerabilidades dentro de un alcance acotado (web, API, infraestructura, cloud) para demostrar impacto real. El Red Team va más allá: simula a un adversario con objetivos concretos —por ejemplo, llegar a un dato o sistema crítico— combinando vectores técnicos y humanos. No son sustitutos, son capas distintas de madurez.
¿Trabajáis en caja negra, caja gris o caja blanca? ↓
Los tres enfoques, según objetivo. Caja negra cuando buscamos «qué vería un atacante externo sin información». Caja gris (la más habitual) cuando queremos optimizar cobertura y tiempo con credenciales de usuario estándar. Caja blanca cuando el objetivo es profundidad máxima: acceso a código, configuración y arquitectura. Lo acordamos antes, no durante.
¿Qué metodología seguís? ↓
Usamos OWASP (WSTG, ASVS, MASVS) como referencia en aplicaciones, PTES para infraestructura y MITRE ATT&CK como taxonomía de tácticas y técnicas en Red Team. En entorno financiero regulado alineamos con TIBER-EU cuando aplica. La metodología es la base; la experiencia es lo que convierte un checklist en un hallazgo real.
¿El informe sirve para auditoría y para que mis equipos lo arreglen? ↓
Sí, y son dos capas del mismo entregable. El resumen ejecutivo traduce riesgo a impacto de negocio (para dirección, auditoría o comité). El detalle técnico incluye PoC reproducible, evidencia, CVSS, ruta de explotación y recomendación específica por hallazgo. Así lo usa el equipo que va a corregir.
¿Incluís retest de las correcciones? ↓
Sí. El retest está incluido y es la parte que más valor aporta: validamos que los hallazgos críticos y altos quedan cerrados, dejamos evidencia del cierre y actualizamos el informe. Si algo queda pendiente, lo documentamos con riesgo residual.
¿Cada cuánto conviene repetir un pentest o ejercicio de Red Team? ↓
Depende del cambio y del marco aplicable. Como referencia: pentest al menos anual y tras cambios significativos (nuevo release mayor, migración cloud, cambio de arquitectura). Red Team con cadencia más baja (12–24 meses) o asociado a hitos regulatorios (TIBER-EU, DORA, NIS2) o post-incidente para validar la nueva postura.
Qué incluye esta área
- Auditoría técnica de infraestructura, red y configuración
- Pentest de aplicaciones web y APIs (OWASP WSTG / ASVS)
- Pentest de infraestructura, Active Directory y segmentación
- Revisión ofensiva de cloud (Azure/AWS/GCP) y Microsoft 365
- Red Team y simulación de adversario (MITRE ATT&CK, TIBER-EU)
- Informe priorizado por impacto con PoC y retest incluido
Cómo trabajamos (de diagnóstico a evidencias)
-
Paso 1
Alcance & reglas
Objetivos del ejercicio, modelo (black/grey/white), ventanas, ROE, activos en alcance, contactos y criterios de parada.
-
Paso 2
Ejecución con evidencia
Reconocimiento, explotación controlada y encadenamiento de vulnerabilidades, con PoC reproducible e impacto medido.
-
Paso 3
Informe priorizado
Resumen ejecutivo más detalle técnico: PoC, CVSS, ruta de ataque y recomendación accionable por hallazgo.
-
Paso 4
Retest & cierre
Validación de las correcciones, evidencia del cierre y actualización del informe con el riesgo residual asumido.
Servicios en esta área
Hablar con un experto →Servicios ofensivos generales
Base de trabajo: pentesting a medida y hacking ético con reglas claras. El punto de partida para casi cualquier organización.
Servicios ofensivos generales
Pentesting
Pruebas de seguridad priorizadas con reporte accionable y remediación guiada.
Servicios ofensivos generales
Hacking ético
Auditoría ofensiva con reglas claras y consentimiento contractual. Identificamos vulnerabilidades explotables, demostramos impacto real y priorizamos la remediación por riesgo, no por CVSS abstracto.
Auditorías técnicas especializadas
Revisiones profundas por tecnología o superficie: web, API, código fuente, infraestructura, red y Microsoft 365.
Auditorías técnicas especializadas
Auditoría de seguridad informática
Revisión estructurada de arquitectura, configuración y controles frente a buenas prácticas. Fotografía completa del estado actual, priorización por riesgo y roadmap de mejora accionable.
Auditorías técnicas especializadas
Auditoría de seguridad de aplicaciones web
Pentest web alineado con OWASP WSTG y ASVS: autenticación, autorización, lógica de negocio, IDOR, inyecciones y dependencias vulnerables. Informe con PoC y retest.
Auditorías técnicas especializadas
Auditoría de seguridad de APIs
Revisión ofensiva de APIs REST y GraphQL contra OWASP API Security Top 10: BOLA, autenticación rota, exposición de datos, consumo excesivo y configuración incorrecta.
Auditorías técnicas especializadas
Auditoría de código fuente
Revisión SAST y manual del código: patrones inseguros, dependencias vulnerables, secretos hardcoded y superficie de ataque real derivada del código. Prioriza fallos explotables.
Auditorías técnicas especializadas
Auditoría de infraestructura y red
Revisión ofensiva de infraestructura perimetral, interna y de red: descubrimiento, servicios expuestos, movimiento lateral y escalada de privilegios en Active Directory.
Auditorías técnicas especializadas
Auditoría ofensiva de Microsoft 365
Revisión ofensiva de configuración M365 y Entra ID: MFA, Conditional Access, consentimientos OAuth, reglas de reenvío, roles privilegiados y superficie de compromiso del tenant.
Ejercicios avanzados
Simulación de adversario alineada con MITRE ATT&CK cuando el Blue Team ya opera y hay que medir detección y respuesta reales.
Cobertura geográfica
Servicio de pentest presencial y remoto para empresas con sede en las principales áreas metropolitanas españolas.
Cobertura geográfica
Pentesting en Madrid
Pentest presencial y remoto para empresas con sede en Madrid: aplicaciones, infraestructura, cloud y Microsoft 365. Alcance acordado, evidencia reproducible y retest incluido.
Cobertura geográfica
Pentesting en Barcelona
Pentest técnico para empresas con sede en Barcelona con criterio regulatorio: OWASP, PTES, MITRE ATT&CK, NIS2 y ENS. Informe priorizado por impacto con PoC reproducible.
Comparativas y ayuda a decidir
Contenido comparativo para elegir el ejercicio que realmente encaja con tu objetivo, madurez y exigencia regulatoria.
Términos relacionados
Conceptos de nuestro glosario de ciberseguridad que se conectan directamente con este servicio.
¿Te encaja esta área para tu caso?
Te proponemos un diagnóstico inicial para definir alcance, prioridades y un roadmap realista.