El pentesting web es una prueba de seguridad autorizada que simula ataques controlados sobre una web, tienda online o aplicación para detectar vulnerabilidades reales antes de que las encuentre un atacante. Es el servicio más solicitado cuando se busca contratar un hacker ético y uno de los más eficaces para conocer el nivel de exposición real de un proyecto online. A diferencia de una revisión superficial, el pentesting valida si un fallo puede tener impacto práctico sobre el negocio, los datos o los usuarios. Si necesitas una revisión más amplia que incluya servidores, redes o infraestructura, lo más adecuado es una auditoría de seguridad informática.
En esta página
- Qué es el pentesting web y para qué sirve.
- Qué vulnerabilidades puede detectar.
- Cuándo conviene contratarlo y para qué tipo de proyectos.
- Cómo funciona el proceso paso a paso.
- Cuánto cuesta y qué debe incluir el informe final.
Qué es el pentesting web
El pentesting web, también conocido como prueba de penetración web, es una evaluación técnica que simula ataques controlados contra una web o aplicación con el objetivo de descubrir vulnerabilidades reales. La diferencia principal frente a otros análisis es que el pentesting intenta validar si un fallo puede tener impacto práctico, no solo detectarlo.
Un pentesting web profesional siempre tiene tres elementos obligatorios: autorización previa del propietario del sistema, alcance definido por escrito e informe final con evidencias y recomendaciones. Sin esos tres elementos, la revisión puede generar riesgos legales, técnicos o de confidencialidad.
Formularios, paneles de administración, configuraciones del servidor y exposición pública.
Pasarelas de pago, cuentas de cliente, sesiones, carrito y APIs conectadas a proveedores.
Plataformas SaaS, academias digitales, portales de clientes, intranets y APIs privadas.
Dato INCIBE: El 60% de las pymes que sufren un ciberataque grave cierran en los seis meses siguientes. Detectar vulnerabilidades antes de que sean explotadas es la forma más efectiva de evitar ese escenario.
Te orientamos sobre qué tipo de pentesting web necesitas, qué alcance tendría y qué puntos conviene revisar primero.
Webs · Tiendas online · APIs · Paneles privados · Solo pruebas autorizadas
Qué vulnerabilidades puede detectar
Las vulnerabilidades que puede detectar un pentesting web dependen del tipo de aplicación, tecnología y alcance acordado. No es lo mismo revisar una web informativa que una tienda online con pagos o una plataforma con múltiples roles de usuario. Estas son las más habituales clasificadas por nivel de riesgo:
Permite acceder o manipular la base de datos a través de formularios o parámetros mal protegidos.
Fallos en el sistema de login que permiten acceder a cuentas ajenas o saltarse la verificación.
Un usuario normal puede acceder a funciones o datos reservados para administradores.
Inyección de código malicioso en páginas vistas por otros usuarios, usado para robar sesiones.
Endpoints sin autenticación o con permisos excesivos que exponen datos o funciones sensibles.
Servidores con configuraciones por defecto, puertos abiertos innecesarios o cabeceras de seguridad ausentes.
Plugins, librerías o CMS con versiones antiguas que tienen vulnerabilidades conocidas y públicas.
Mensajes de error, rutas internas o datos técnicos visibles que facilitan ataques posteriores.
Cuándo conviene contratar un pentesting web
Conviene contratar un pentesting web cuando una web o aplicación maneja datos personales, permite iniciar sesión, procesa pagos o depende de una infraestructura conectada a internet. Para empresas con sistemas más complejos o que necesitan una cobertura más amplia, los servicios de ciberseguridad para empresas pueden ser más adecuados que un pentesting puntual.
Detectar fallos antes del lanzamiento es mucho más barato que corregirlos cuando ya hay usuarios y datos reales.
Nuevas funcionalidades, migraciones o integraciones con APIs externas pueden introducir vulnerabilidades nuevas.
Una tienda online o plataforma con datos de clientes tiene una superficie de ataque mayor.
Accesos extraños, errores inexplicables o comportamientos anómalos pueden ser señales de exploración.
RGPD, PCI-DSS o ISO 27001 pueden requerir evidencias de auditoría periódica.
La seguridad no es permanente. Las amenazas cambian y lo que era seguro puede dejar de serlo.
Cómo funciona un pentesting web paso a paso
Un pentesting web profesional sigue un proceso estructurado. No se trata de hacer pruebas sin orden, sino de trabajar con una metodología que proteja al cliente, al profesional y al sistema evaluado.
Se analiza qué sistema tiene el cliente, qué datos maneja, qué funciones son críticas y qué objetivo tiene la prueba.
Se acuerda por escrito qué dominios, subdominios, formularios, APIs y paneles entran en la prueba.
Antes de tocar nada, se firma un contrato con alcance acordado y un NDA.
Se realizan pruebas manuales y automatizadas dentro del alcance: formularios, sesiones, permisos, APIs y configuraciones.
Se entrega un informe con vulnerabilidades, riesgo, evidencias, impacto potencial y recomendaciones.
Después de corregir los fallos, se revisa si los puntos débiles quedaron cerrados.
Solicitar pentesting
Cuéntanos qué sistema tienes y te orientamos sobre el alcance, el proceso y el precio antes de empezar.
Solo sistemas propios o autorizados · Contrato y NDA siempre · Informe al finalizar
Cuánto cuesta un pentesting web
El precio de un pentesting web depende del tamaño de la web, la complejidad de la aplicación, el número de sistemas a revisar, la profundidad del análisis y los entregables acordados. Como orientación general, estos son los rangos habituales en el mercado español. Para ver todos los servicios con sus precios detallados, consulta la tabla completa de precios.
Para webs pequeñas, blogs corporativos o una primera revisión de exposición.
Para tiendas online, portales con login, APIs expuestas y aplicaciones con usuarios.
Para plataformas SaaS, apps con datos sensibles y APIs avanzadas.
⚠️ Importante: Un pentesting demasiado barato suele ser una revisión automática superficial que no detecta vulnerabilidades lógicas ni valida el impacto real de los fallos. Un proveedor serio siempre pregunta primero por el alcance antes de dar precio.
Pentesting web vs auditoría de seguridad vs análisis de vulnerabilidades
Los tres servicios se complementan pero tienen objetivos distintos. Si no tienes claro cuál necesitas, un análisis de vulnerabilidades es el punto de partida más económico: te da una fotografía del estado de seguridad antes de decidir si necesitas un pentesting más profundo.
Objetivo: Detectar fallos
Validación de impacto: No
Pruebas manuales: Parcial
Coste: Más económico
Profundidad: Media
Objetivo: Explotar y validar
Validación de impacto: Sí
Pruebas manuales: Siempre
Coste: Medio
Profundidad: Alta
Objetivo: Revisión global
Validación de impacto: Sí
Pruebas manuales: Siempre
Coste: Más alto
Profundidad: Muy alta
¿Es legal hacer un pentesting web?
Sí, el pentesting web es completamente legal cuando se realiza sobre sistemas propios o con autorización expresa del propietario. Sin esa autorización, cualquier prueba técnica sobre un sistema ajeno es un delito tipificado en el artículo 197 del Código Penal español. Para entender mejor el marco legal del hacking ético, consulta la guía de qué es el hacking ético.
Un pentesting legal siempre incluye:
- Autorización escrita del propietario del sistema.
- Alcance definido y documentado antes de empezar.
- Acuerdo de confidencialidad (NDA).
- Pruebas controladas sin afectar la operación.
- Informe final con evidencias y recomendaciones.
Preguntas frecuentes sobre pentesting web
¿Qué es un pentesting web?
Es una prueba de seguridad autorizada que simula ataques controlados sobre una web, aplicación o plataforma digital para detectar vulnerabilidades reales y validar su impacto antes de que puedan ser explotadas por un atacante. Siempre requiere autorización previa, alcance definido e informe final.
¿Cuánto cuesta un pentesting web en España?
El precio oscila entre 300 € para una revisión básica y más de 8.000 € para aplicaciones complejas. El rango más habitual para tiendas online o portales con login está entre 800 y 2.500 €. El precio final depende siempre del alcance, la complejidad y los entregables acordados.
¿Cuánto tarda una prueba de penetración web?
Depende del tamaño y complejidad del sistema. Una revisión básica puede completarse en 1 a 3 días. Un pentesting completo sobre una tienda online o aplicación con usuarios registrados suele tardar entre 3 y 10 días. Las aplicaciones más complejas pueden requerir varias semanas.
¿El pentesting afecta al funcionamiento de mi web?
Un pentesting profesional está diseñado para no interrumpir la operación normal del sistema. El alcance y las pruebas se acuerdan antes de empezar precisamente para evitar esto. En algunos casos puede realizarse sobre un entorno de pruebas antes de hacerlo sobre producción.
¿Cómo sé si mi web ya ha sido comprometida antes de hacer el pentesting?
Si sospechas que tu sistema ya ha sido atacado, hay señales que pueden indicarlo: accesos sospechosos, archivos modificados, redirecciones inesperadas o comportamientos anómalos. Si el problema está en un dispositivo móvil, consulta las señales de móvil hackeado. En cualquier caso, un pentesting puede revelar si existe algún compromiso activo.
Muchos ataques aprovechan fallos que llevan meses sin detectarse. Un pentesting web puede revelarlos antes de que alguien más lo haga. Solo pruebas autorizadas, con contrato y dentro de la ley.
Información orientativa · Atención privada · Respuesta según disponibilidad