Legales y alcance
¿Qué permisos necesito para realizar pruebas de intrusión en mis sistemas?
Se requiere autorización por escrito, NDA y definición de alcance/ventanas. Así evitamos riesgos legales y operativos.
¿Es posible hacer pruebas en producción o es obligatorio usar staging?
Se recomienda staging. Producción solo con ventanas, límites de carga y monitorización acordados.
¿Qué activos suelen entrar en un pentest (apps, APIs, móvil, cloud)?
Normalmente: aplicaciones web, APIs REST/GraphQL, apps móviles y superficies cloud (WAF, identidades, redes, buckets).
Proceso y metodología
¿Cómo se define el alcance sin olvidar activos críticos?
Inventario, priorización por impacto y exclusiones claras. Se documenta en un Statement of Work.
¿Qué diferencia hay entre caja negra, blanca y gris?
Negra: sin información; Blanca: con credenciales/código; Gris: un término medio para cubrir fallos lógicos y de autorización.
¿Qué marcos se usan en las pruebas?
OWASP ASVS/Top 10, OSSTMM y mapeo a CWE/MITRE ATT&CK para clasificar hallazgos.
H2. Tiempos, esfuerzo y costes
¿Cuánto tarda un pentest típico?
Entre 5 y 15 días, según superficie (rutas de API, roles, integraciones) y profundidad requerida.
¿Cómo se estima el coste sin una auditoría previa?
Por alcance (nº de apps/endpoints), tipo de prueba y urgencia. Se entrega una propuesta cerrada con cronograma.
Integración con desarrollo (DevSecOps)
¿Cómo se integra el pentest con CI/CD sin frenar los sprints?
Automatizamos SAST/DAST/SCA y fijamos quality gates; las críticas bloquean merge hasta remediación.
¿Qué entregables recibe el equipo técnico?
Evidencias y PoC reproducibles, informe técnico con CVSS, pasos de corrección y retest incluido.
Seguridad de datos
¿Cómo se protege la información sensible durante las pruebas?
Mínima extracción, cifrado de evidencias, accesos controlados y borrado seguro tras la entrega.
¿Se puede anonimizar la data de prueba?
Sí. Ideal usar datos sintéticos o enmascarados para reducir exposición.
Post-pentest y compliance
¿Qué ocurre en el retest y cómo se valida que no haya regresiones?
Se re-ejecutan PoC de cada hallazgo y se verifican tests de verificación; se propone gate en CI/CD.
¿El informe sirve para auditorías o marcos como RGPD/ISO 27001?
Sí. Se entrega con secciones ejecutivas y técnicas alineadas a RGPD/ISO 27001 y mapeos CWE/MITRE.
¿Necesitas una propuesta?
Para una estimación con alcance/fechas, visita la página de servicio: Pentest end-to-end.