Qubit Technologies
CA ES EN

Publicat el 31 de maig del 2026 · per Qubit Technologies

Pentest, red team o escaneig de vulnerabilitats, quin necessiteu de debò?

Tres termes que es fan servir com a sinònims i no ho són. Què és un escaneig de vulnerabilitats, un pentest i un red team, en què es diferencien de debò i quin necessita la vostra empresa segons la seva maduresa.

Tres termes que es fan servir com si fossin el mateix i no ho són. Escaneig de vulnerabilitats, pentest i red team es barregen a les converses, a les propostes i massa sovint a les factures. I la confusió no és innocent, perquè de vegades es ven el més barat amb el nom del més car.

Si penseu invertir a posar a prova la vostra seguretat, convé saber què esteu demanant. Aquests són els tres, en què es diferencien de debò i quan té sentit cadascun.

L’escaneig de vulnerabilitats

És el més automàtic dels tres. Una eina recorre els vostres sistemes i els compara amb una base de dades de vulnerabilitats conegudes, aquelles que tenen un identificador públic i un pedaç associat. Al final escup un llistat, normalment llarg, amb tot el que encaixa.

És útil com a higiene contínua, perquè detecta de pressa el servidor sense actualitzar o el servei amb una versió vulnerable coneguda. Però té un sostre clar. No explota res, així que no sap si aquesta vulnerabilitat és realment accessible ni què s’hi pot fer, no entén la vostra lògica de negoci i genera falsos positius que algú ha de filtrar a mà.

Un escaneig de vulnerabilitats és un bon punt de partida. No és una auditoria, per molt que de vegades es vengui com a tal.

El pentest

Aquí entra una persona. Un pentest, o test d’intrusió, és una auditoria manual amb un abast acordat en què un professional intenta entrar de debò, explotant el que troba com ho faria un atacant.

La diferència amb l’escaneig és enorme. El pentester no es queda en “això sembla vulnerable”, ho explota i demostra fins on arriba. Encadena errors que per separat semblaven menors, descobreix errors de lògica de negoci que cap eina detecta i us entrega evidència reproduïble de cada troballa, amb el seu impacte real i la seva guia de correcció.

És el que la majoria d’empreses necessita quan diu que vol “una auditoria”. Té un abast definit, ja sigui una web, la xarxa interna o una aplicació concreta, dins del qual es mira tot a fons.

El red team

El red team juga en una altra lliga. No és un pentest més gran, aquí realment canvia la pregunta. En lloc de “quines vulnerabilitats té aquest sistema?”, la pregunta aquí és “si un atacant real volgués entrar i arribar fins al seu objectiu, ho aconseguiria sense que ens n’adonéssim?”.

Un exercici de red team té un objectiu concret, per exemple arribar a la base de dades de clients o al sistema de pagaments. S’executa amb sigil, intentant no ser detectat. No busca cobrir-ho tot, busca ser realista i posar a prova una cosa que els altres dos no toquen, que és la vostra capacitat de detectar i respondre mentre l’atac passa, és a dir, el vostre equip i els vostres processos, no només la tecnologia.

Per això un red team només aporta valor si ja teniu un nivell de maduresa. Si mai us han fet un pentest, un red team només confirmarà l’evident, que es pot entrar, gastant més per descobrir el que un pentest ja us hauria mostrat.

Quin necessiteu

La resposta curta és que depèn de la vostra maduresa, no de què soni millor.

Si mai heu fet una prova seriosa, comenceu per un pentest sobre el que més us importa. És el que més valor per euro us donarà, perquè treu a la llum els problemes reals que teniu ara mateix. L’escaneig de vulnerabilitats va per sota, com a rutina contínua que manté la higiene entre auditories, no com a substitut. El red team, per contra, va per sobre, reservat per quan ja passeu pentests amb bona nota i el que voleu mesurar és si el vostre equip detectaria un atacant de debò.

Demanar un red team sense haver fet abans un pentest és com contractar algú perquè entri per la finestra sense haver-vos assegurat que les portes tanquen.

L’avís

L’error més car no és triar malament entre un pentest i un red team, és acceptar un escaneig de vulnerabilitats automàtic creient que és una auditoria. És barat i tranquil·litza. Arriba un informe llarguíssim, ple de línies de colors, que us deixa amb la sensació d’haver fet els deures. El problema és que ningú no ha intentat entrar, així que no sabeu si aquestes vulnerabilitats es poden aprofitar ni què hauria trobat un atacant on una eina no mira.

És la mateixa idea de què parlàvem a per què passar una auditoria de compliment no significa estar segurs. L’única cosa que us diu de debò com esteu és que algú ho intenti. La resta és una foto incompleta.

Si no teniu clar quin encaixa amb el vostre moment, aquesta també és una bona conversa per tenir abans de demanar pressupost.

Si voleu ajuda per decidir quin tipus de prova necessiteu abans de demanar pressupost, escriviu-nos a [email protected].

Voleu auditar de debò la vostra seguretat?

Si després de llegir aquest article voleu posar a prova la seguretat real de la vostra organització, escriviu-nos i plantegem un abast ajustat al vostre context.

Contactar amb nosaltres