Pentest, red team o escaneo de vulnerabilidades, ¿cuál necesitáis de verdad?

Tres términos que se usan como si fueran lo mismo y no lo son. Escaneo de vulnerabilidades, pentest y red team se mezclan en las conversaciones, en las propuestas y demasiadas veces en las facturas. Y la confusión no es inocente, porque a veces se vende lo más barato con el nombre de lo más caro.

Si vais a invertir en poner a prueba vuestra seguridad, conviene saber qué estáis pidiendo. Estos son los tres, en qué se diferencian de verdad y cuándo tiene sentido cada uno.

El escaneo de vulnerabilidades

Es el más automático de los tres. Una herramienta recorre vuestros sistemas y los compara con una base de datos de vulnerabilidades conocidas, esas que tienen un identificador público y un parche asociado. Al final escupe un listado, normalmente largo, con todo lo que encaja.

Es útil como higiene continua, porque detecta rápido el servidor sin actualizar o el servicio con una versión vulnerable conocida. Pero tiene un techo claro. No explota nada, así que no sabe si esa vulnerabilidad es realmente alcanzable ni qué se puede hacer con ella, no entiende vuestra lógica de negocio y genera falsos positivos que alguien tiene que filtrar a mano.

Un escaneo de vulnerabilidades es un buen punto de partida. No es una auditoría, por mucho que a veces se venda como tal.

El pentest

Aquí entra una persona. Un pentest, o test de intrusión, es una auditoría manual con un alcance acordado en la que un profesional intenta entrar de verdad, explotando lo que encuentra como lo haría un atacante.

La diferencia con el escaneo es enorme. El pentester no se queda en “esto parece vulnerable”, lo explota y demuestra hasta dónde llega. Encadena fallos que por separado parecían menores, descubre errores de lógica de negocio que ninguna herramienta detecta y os entrega evidencia reproducible de cada hallazgo, con su impacto real y su guía de corrección.

Es lo que la mayoría de las empresas necesita cuando dice que quiere “una auditoría”. Tiene un alcance definido, ya sea una web, la red interna o una aplicación concreta, dentro del cual se mira todo a fondo.

El red team

El red team juega en otra liga. No es un pentest más grande, aquí realmente cambia la pregunta. En vez de “¿qué vulnerabilidades tiene este sistema?”, la pregunta aquí es “si un atacante real quisiera entrar y llegar hasta su objetivo, ¿lo conseguiría sin que nos diéramos cuenta?”.

Un ejercicio de red team tiene un objetivo concreto, por ejemplo llegar a la base de datos de clientes o al sistema de pagos. Se ejecuta con sigilo, intentando no ser detectado. No busca cubrirlo todo, busca ser realista y poner a prueba algo que los otros dos no tocan, que es vuestra capacidad de detectar y responder mientras el ataque ocurre, es decir, vuestro equipo y vuestros procesos, no solo la tecnología.

Por eso un red team solo aporta valor si ya tenéis un nivel de madurez. Si nunca os han hecho un pentest, un red team solo confirmará lo evidente, que se puede entrar, gastando más para descubrir lo que un pentest ya os habría mostrado.

Cuál necesitáis

La respuesta corta es que depende de vuestra madurez, no de qué suene mejor.

Si nunca habéis hecho una prueba seria, empezad por un pentest sobre lo que más os importa. Es lo que más valor por euro os va a dar, porque saca a la luz los problemas reales que tenéis ahora mismo. El escaneo de vulnerabilidades va por debajo, como rutina continua que mantiene la higiene entre auditorías, no como sustituto de ellas. El red team, por el contrario, va por encima, reservado para cuando ya pasáis pentests con buena nota y lo que queréis medir es si vuestro equipo detectaría a un atacante de verdad.

Pedir un red team sin haber hecho antes un pentest es como contratar a alguien para que entre por la ventana sin haberos asegurado de que las puertas cierran.

El aviso

El error más caro no es elegir mal entre un pentest y un red team, es aceptar un escaneo de vulnerabilidades automático creyendo que es una auditoría. Es barato y tranquiliza. Llega un informe larguísimo, lleno de líneas de colores, que os deja con la sensación de haber hecho los deberes. El problema es que nadie ha intentado entrar, así que no sabéis si esas vulnerabilidades se pueden aprovechar ni qué habría encontrado un atacante donde una herramienta no mira.

Es la misma idea de la que hablábamos en por qué pasar una auditoría de cumplimiento no significa estar seguro. Lo único que os dice de verdad cómo estáis es que alguien lo intente. El resto es una foto incompleta.

Si no tenéis claro cuál encaja con vuestro momento, esa también es una buena conversación para tener antes de pedir presupuesto.

---

Si queréis ayuda para decidir qué tipo de prueba necesitáis antes de pedir presupuesto, escribidnos a [email protected].