Pentesting web en España: qué es, precio y cuándo contratarlo

Autor Sergio Martín Especialista en hacking ético, certificado OSCP.
Metodología OWASP · PTES · CVSS · NIST. Alineado con CP art. 197 y RGPD.
Última revisión Junio 2026 · Lectura: ~12 min

El pentesting web es una prueba de seguridad autorizada que simula ataques controlados sobre una web, tienda online o aplicación para detectar vulnerabilidades reales antes de que las encuentre un atacante. Es el servicio más solicitado cuando se busca contratar un hacker ético y uno de los más eficaces para conocer el nivel de exposición real de un proyecto online. A diferencia de una revisión superficial, el pentesting valida si un fallo puede tener impacto práctico sobre el negocio, los datos o los usuarios. Si necesitas una revisión más amplia que incluya servidores, redes o infraestructura, lo más adecuado es una auditoría de seguridad informática.

En esta página

  • Qué es el pentesting web y para qué sirve.
  • Qué vulnerabilidades puede detectar.
  • Cuándo conviene contratarlo y para qué tipo de proyectos.
  • Cómo funciona el proceso paso a paso.
  • Cuánto cuesta y qué debe incluir el informe final.

Qué es el pentesting web

El pentesting web, también conocido como prueba de penetración web, es una evaluación técnica que simula ataques controlados contra una web o aplicación con el objetivo de descubrir vulnerabilidades reales. La diferencia principal frente a otros análisis es que el pentesting intenta validar si un fallo puede tener impacto práctico, no solo detectarlo.

Un pentesting web profesional siempre tiene tres elementos obligatorios: autorización previa del propietario del sistema, alcance definido por escrito e informe final con evidencias y recomendaciones. Sin esos tres elementos, la revisión puede generar riesgos legales, técnicos o de confidencialidad.

🌐
Webs corporativas

Formularios, paneles de administración, configuraciones del servidor y exposición pública.

🛒
Tiendas online

Pasarelas de pago, cuentas de cliente, sesiones, carrito y APIs conectadas a proveedores.

📱
Aplicaciones web

Plataformas SaaS, academias digitales, portales de clientes, intranets y APIs privadas.

Dato INCIBE: El 60% de las pymes que sufren un ciberataque grave cierran en los seis meses siguientes. Detectar vulnerabilidades antes de que sean explotadas es la forma más efectiva de evitar ese escenario.

Consulta gratuita
¿Quieres revisar la seguridad de tu web o aplicación?

Te orientamos sobre qué tipo de pentesting web necesitas, qué alcance tendría y qué puntos conviene revisar primero.

Webs · Tiendas online · APIs · Paneles privados · Solo pruebas autorizadas

Qué vulnerabilidades puede detectar

Las vulnerabilidades que puede detectar un pentesting web dependen del tipo de aplicación, tecnología y alcance acordado. No es lo mismo revisar una web informativa que una tienda online con pagos o una plataforma con múltiples roles de usuario. Estas son las más habituales clasificadas por nivel de riesgo:

Riesgo crítico Inyección SQL

Permite acceder o manipular la base de datos a través de formularios o parámetros mal protegidos.

Riesgo crítico Autenticación rota

Fallos en el sistema de login que permiten acceder a cuentas ajenas o saltarse la verificación.

Riesgo crítico Control de acceso deficiente

Un usuario normal puede acceder a funciones o datos reservados para administradores.

Riesgo alto XSS

Inyección de código malicioso en páginas vistas por otros usuarios, usado para robar sesiones.

Riesgo alto APIs expuestas

Endpoints sin autenticación o con permisos excesivos que exponen datos o funciones sensibles.

Riesgo alto Configuraciones débiles

Servidores con configuraciones por defecto, puertos abiertos innecesarios o cabeceras de seguridad ausentes.

Riesgo medio Componentes desactualizados

Plugins, librerías o CMS con versiones antiguas que tienen vulnerabilidades conocidas y públicas.

Riesgo medio Exposición de información

Mensajes de error, rutas internas o datos técnicos visibles que facilitan ataques posteriores.

Cuándo conviene contratar un pentesting web

Conviene contratar un pentesting web cuando una web o aplicación maneja datos personales, permite iniciar sesión, procesa pagos o depende de una infraestructura conectada a internet. Para empresas con sistemas más complejos o que necesitan una cobertura más amplia, los servicios de ciberseguridad para empresas pueden ser más adecuados que un pentesting puntual.

🚀
Antes de lanzar una plataforma

Detectar fallos antes del lanzamiento es mucho más barato que corregirlos cuando ya hay usuarios y datos reales.

🔄
Tras cambios importantes

Nuevas funcionalidades, migraciones o integraciones con APIs externas pueden introducir vulnerabilidades nuevas.

🛒
Si procesas pagos o datos sensibles

Una tienda online o plataforma con datos de clientes tiene una superficie de ataque mayor.

⚠️
Si detectaste actividad sospechosa

Accesos extraños, errores inexplicables o comportamientos anómalos pueden ser señales de exploración.

📋
Para cumplir normativas

RGPD, PCI-DSS o ISO 27001 pueden requerir evidencias de auditoría periódica.

🔁
De forma periódica

La seguridad no es permanente. Las amenazas cambian y lo que era seguro puede dejar de serlo.

Cómo funciona un pentesting web paso a paso

Un pentesting web profesional sigue un proceso estructurado. No se trata de hacer pruebas sin orden, sino de trabajar con una metodología que proteja al cliente, al profesional y al sistema evaluado.

1
Diagnóstico inicial

Se analiza qué sistema tiene el cliente, qué datos maneja, qué funciones son críticas y qué objetivo tiene la prueba.

2
Definición del alcance

Se acuerda por escrito qué dominios, subdominios, formularios, APIs y paneles entran en la prueba.

3
Autorización y confidencialidad

Antes de tocar nada, se firma un contrato con alcance acordado y un NDA.

4
Pruebas técnicas controladas

Se realizan pruebas manuales y automatizadas dentro del alcance: formularios, sesiones, permisos, APIs y configuraciones.

5
Informe técnico y ejecutivo

Se entrega un informe con vulnerabilidades, riesgo, evidencias, impacto potencial y recomendaciones.

6
Corrección y reevaluación

Después de corregir los fallos, se revisa si los puntos débiles quedaron cerrados.

📋 Contrato obligatorio 🔒 NDA incluido 🔍 Pruebas manuales y automatizadas 📊 Informe técnico + ejecutivo ✅ Reevaluación disponible

Solicitar pentesting

Solicitar pentesting
¿Listo para revisar la seguridad de tu web?

Cuéntanos qué sistema tienes y te orientamos sobre el alcance, el proceso y el precio antes de empezar.

Solo sistemas propios o autorizados · Contrato y NDA siempre · Informe al finalizar

Cuánto cuesta un pentesting web

El precio de un pentesting web depende del tamaño de la web, la complejidad de la aplicación, el número de sistemas a revisar, la profundidad del análisis y los entregables acordados. Como orientación general, estos son los rangos habituales en el mercado español. Para ver todos los servicios con sus precios detallados, consulta la tabla completa de precios.

🟢
Revisión básica
300 – 800 €

Para webs pequeñas, blogs corporativos o una primera revisión de exposición.

🔵
Pentesting web completo
800 – 2.500 €

Para tiendas online, portales con login, APIs expuestas y aplicaciones con usuarios.

🟠
Aplicación compleja
2.500 – 8.000 €

Para plataformas SaaS, apps con datos sensibles y APIs avanzadas.

⚠️ Importante: Un pentesting demasiado barato suele ser una revisión automática superficial que no detecta vulnerabilidades lógicas ni valida el impacto real de los fallos. Un proveedor serio siempre pregunta primero por el alcance antes de dar precio.

Pentesting web vs auditoría de seguridad vs análisis de vulnerabilidades

Los tres servicios se complementan pero tienen objetivos distintos. Si no tienes claro cuál necesitas, un análisis de vulnerabilidades es el punto de partida más económico: te da una fotografía del estado de seguridad antes de decidir si necesitas un pentesting más profundo.

Análisis de vulnerabilidades

Objetivo: Detectar fallos

Validación de impacto: No

Pruebas manuales: Parcial

Coste: Más económico

Profundidad: Media

Pentesting web

Objetivo: Explotar y validar

Validación de impacto:

Pruebas manuales: Siempre

Coste: Medio

Profundidad: Alta

Auditoría de seguridad

Objetivo: Revisión global

Validación de impacto:

Pruebas manuales: Siempre

Coste: Más alto

Profundidad: Muy alta

Sí, el pentesting web es completamente legal cuando se realiza sobre sistemas propios o con autorización expresa del propietario. Sin esa autorización, cualquier prueba técnica sobre un sistema ajeno es un delito tipificado en el artículo 197 del Código Penal español. Para entender mejor el marco legal del hacking ético, consulta la guía de qué es el hacking ético.

Un pentesting legal siempre incluye:

  • Autorización escrita del propietario del sistema.
  • Alcance definido y documentado antes de empezar.
  • Acuerdo de confidencialidad (NDA).
  • Pruebas controladas sin afectar la operación.
  • Informe final con evidencias y recomendaciones.

Preguntas frecuentes sobre pentesting web

¿Qué es un pentesting web?

Es una prueba de seguridad autorizada que simula ataques controlados sobre una web, aplicación o plataforma digital para detectar vulnerabilidades reales y validar su impacto antes de que puedan ser explotadas por un atacante. Siempre requiere autorización previa, alcance definido e informe final.

¿Cuánto cuesta un pentesting web en España?

El precio oscila entre 300 € para una revisión básica y más de 8.000 € para aplicaciones complejas. El rango más habitual para tiendas online o portales con login está entre 800 y 2.500 €. El precio final depende siempre del alcance, la complejidad y los entregables acordados.

¿Cuánto tarda una prueba de penetración web?

Depende del tamaño y complejidad del sistema. Una revisión básica puede completarse en 1 a 3 días. Un pentesting completo sobre una tienda online o aplicación con usuarios registrados suele tardar entre 3 y 10 días. Las aplicaciones más complejas pueden requerir varias semanas.

¿El pentesting afecta al funcionamiento de mi web?

Un pentesting profesional está diseñado para no interrumpir la operación normal del sistema. El alcance y las pruebas se acuerdan antes de empezar precisamente para evitar esto. En algunos casos puede realizarse sobre un entorno de pruebas antes de hacerlo sobre producción.

¿Cómo sé si mi web ya ha sido comprometida antes de hacer el pentesting?

Si sospechas que tu sistema ya ha sido atacado, hay señales que pueden indicarlo: accesos sospechosos, archivos modificados, redirecciones inesperadas o comportamientos anómalos. Si el problema está en un dispositivo móvil, consulta las señales de móvil hackeado. En cualquier caso, un pentesting puede revelar si existe algún compromiso activo.

Pentesting web profesional
¿Cuánto sabes sobre las vulnerabilidades de tu web?

Muchos ataques aprovechan fallos que llevan meses sin detectarse. Un pentesting web puede revelarlos antes de que alguien más lo haga. Solo pruebas autorizadas, con contrato y dentro de la ley.

Información orientativa · Atención privada · Respuesta según disponibilidad