Qué es un Pentest Externo y Cuándo lo Necesita tu Empresa
Un pentest externo simula un ataque real contra tu infraestructura expuesta. Qué cubre, cómo se hace y cuándo tiene sentido contratarlo.
La mayoría de empresas creen que su perímetro externo está controlado porque lanzan un escáner de vulnerabilidades una vez al trimestre. El escáner termina, genera un PDF con 47 findings de severidad media, alguien revisa los 5 primeros, y el resto se queda en un backlog que nadie toca hasta el siguiente trimestre.
Mientras tanto, un atacante real no está buscando CVE-2024-21762 en tu FortiGate porque Nessus se lo dijo. Está encadenando un subdominio olvidado con un panel de admin expuesto, una API sin rate limiting y un error verbose que le da la versión exacta de tu framework. Eso es exactamente lo que hace un pentest externo: simular cómo un atacante real intentaría comprometer tu infraestructura desde fuera.
Que es un pentest externo
Un pentest externo (prueba de penetracion externa) es un ejercicio de seguridad ofensiva donde un equipo de profesionales intenta comprometer tu infraestructura desde la perspectiva de un atacante externo, sin acceso previo a tu red interna, sin credenciales y sin informacion privilegiada.
El alcance se limita estrictamente a lo que esta expuesto a internet:
- Direcciones IP publicas y rangos de red asignados a tu organizacion
- Dominios y subdominios: produccion, staging, desarrollo, marketing
- Aplicaciones web accesibles desde fuera
- APIs publicas o semi-publicas (las que tu frontend consume)
- Servidores de correo y su configuracion DNS (MX, SPF, DKIM, DMARC)
- VPNs, firewalls y otros servicios perimetrales expuestos
- Paneles de administracion accesibles desde internet
La diferencia con un pentest interno es clara: el interno asume que el atacante ya esta dentro de tu red (empleado malicioso, equipo comprometido, VPN robada). El externo parte de cero. Solo ve lo que cualquier persona en internet puede ver. Y desde ahi intenta entrar.
Que se prueba en un pentest externo
Un buen pentest externo no se limita a lanzar Nmap y Nikto contra tus IPs. Cubre multiples vectores de ataque:
Servicios de red expuestos: puertos abiertos, servicios accesibles (SSH en el 22, RDP en el 3389, bases de datos en el 3306 o 5432), versiones de software con vulnerabilidades conocidas. Un servidor PostgreSQL expuesto a internet sin restriccion de IP es un hallazgo critico que un escaner automatico puede detectar, pero un pentester ademas intentara autenticarse con credenciales por defecto o fuerza bruta controlada.
Aplicaciones web: inyeccion SQL, XSS, CSRF, IDOR, fallos de autenticacion y autorizacion, subida de ficheros sin restriccion, deserializacion insegura. Todo el OWASP Top 10 y mas alla. Si tienes un endpoint /api/users/123 y cambiando el ID a 124 puedes ver los datos de otro usuario, eso es un IDOR que ningun escaner automatico va a encontrar por ti.
APIs: endpoints sin autenticacion, tokens JWT con algoritmo none, rate limiting ausente que permite enumeracion masiva, respuestas con datos excesivos (API3:2023 del OWASP API Security Top 10). La diferencia entre un escaner y un pentester aqui es que el pentester entiende la logica de negocio y prueba flujos completos.
Configuracion DNS y correo: registros SPF demasiado permisivos (+all), ausencia de DMARC, DKIM no configurado. Esto permite a un atacante enviar correos suplantando tu dominio corporativo. No es una vulnerabilidad tecnica clasica, pero el impacto de un phishing con tu dominio real es devastador.
SSL/TLS: certificados caducados, protocolos obsoletos (TLS 1.0, SSLv3), cipher suites debiles, falta de HSTS. Herramientas como testssl.sh lo automatizan, pero el pentester evalua el contexto: un TLS 1.0 en un subdominio de documentacion interna es diferente a uno en tu pasarela de pagos.
Paneles de administracion expuestos: Jenkins, Grafana, phpMyAdmin, Kibana, consolas de cloud, paneles de WordPress en /wp-admin. Si estan accesibles desde internet sin MFA ni restriccion de IP, son un vector directo de compromiso.
Fuga de informacion: cabeceras HTTP que revelan versiones de servidor (X-Powered-By: PHP/7.2.34), paginas de error con stack traces completos, metadatos en documentos PDF subidos al sitio web (autor, rutas internas, versiones de software), repositorios .git expuestos en la raiz web.
Configuraciones cloud visibles desde fuera: buckets S3 publicos, Azure Blob Storage sin autenticacion, metadatos de instancias EC2 accesibles via SSRF.
Fases de un pentest externo
Un pentest externo profesional sigue una metodologia estructurada. No es "lanzar herramientas y ver que sale". Estas son las fases:
1. Reconocimiento (OSINT y enumeracion)
El pentester recopila toda la informacion publica disponible sobre tu organizacion antes de tocar un solo puerto. Enumeracion de subdominios con herramientas como Subfinder, Amass o crt.sh (Certificate Transparency logs). Busqueda de correos corporativos en bases de datos de breaches. Identificacion de tecnologias via Wappalyzer, headers HTTP, respuestas de error. Google dorks para encontrar ficheros indexados, paneles expuestos o directorios listados. Busqueda en GitHub y GitLab de credenciales hardcodeadas, tokens de API o ficheros .env comprometidos.
2. Escaneo y enumeracion activa
Con el mapa de activos claro, se pasa al escaneo activo. Port scanning con Nmap para identificar servicios expuestos en todos los puertos (no solo los 1000 mas comunes). Fingerprinting de servicios para determinar versiones exactas. Escaneo de vulnerabilidades conocidas contra los servicios detectados. Enumeracion de directorios y ficheros en aplicaciones web con herramientas como ffuf o Gobuster.
3. Explotacion
Aqui es donde el pentest se separa radicalmente de un escaneo automatizado. El equipo intenta explotar las vulnerabilidades encontradas para demostrar su impacto real. No basta con decir "este servicio tiene la CVE-2023-44487 (HTTP/2 Rapid Reset)". Hay que demostrar que es explotable en tu contexto especifico.
Esto incluye intentos de autenticacion con credenciales por defecto, explotacion de vulnerabilidades web para extraer datos o ejecutar comandos, y encadenamiento de vulnerabilidades de bajo riesgo individual que combinadas producen un impacto alto.
4. Post-explotacion
Si el pentester consigue acceso, documenta hasta donde puede llegar. Si explota un SSRF en tu aplicacion web y desde ahi accede al servicio de metadatos de AWS (169.254.169.254), obteniendo credenciales IAM temporales que le dan acceso a un bucket S3 con datos de clientes, eso es una cadena de ataque completa que ningun escaner va a reproducir.
5. Informe y presentacion
El resultado final es un informe detallado con todas las evidencias. Pero antes del informe, un buen equipo de pentest te comunicara hallazgos criticos en tiempo real durante la ejecucion, sin esperar al final del proyecto.
Pentest externo vs escaner de vulnerabilidades
Esta es una confusion habitual, y es importante aclararla porque la diferencia tiene implicaciones directas en tu presupuesto y en tu nivel de seguridad real.
Un escaner de vulnerabilidades (Nessus, Qualys, OpenVAS) lanza pruebas automaticas contra tus activos y te dice: "este servicio tiene esta version, y esa version tiene estas CVEs publicadas". Es util, es necesario, y deberia ejecutarse con frecuencia. Pero tiene limitaciones claras:
- No valida si la vulnerabilidad es realmente explotable en tu entorno
- No encadena vulnerabilidades para demostrar escenarios de ataque complejos
- No prueba logica de negocio
- No detecta vulnerabilidades de configuracion especificas de tu aplicacion
- Genera falsos positivos que requieren triaje manual
Un pentest externo hace todo lo que hace el escaner, pero ademas un equipo humano analiza los resultados, elimina falsos positivos, intenta explotar cada hallazgo y busca combinaciones de vulnerabilidades que individualmente parecen menores pero juntas son criticas.
Ejemplo concreto: un escaner detecta que tu servidor web devuelve la cabecera Server: Apache/2.4.49. Lo marca como "informacion expuesta, riesgo bajo". Un pentester ve esa version y sabe que Apache 2.4.49 es vulnerable a path traversal (CVE-2021-41773). Lo explota, obtiene lectura de ficheros del sistema, y desde ahi escala el ataque.
Necesitas ambos. El escaner como linea base continua. El pentest como validacion profunda periodica. Como explicamos en pentest manual vs automatizado, cada enfoque tiene su momento y su contexto.
Pentest externo vs ASM
Otra comparacion frecuente, y aqui la respuesta es clara: no compiten, se complementan.
ASM (Attack Surface Management) es un proceso continuo y automatizado que descubre, inventaria y monitoriza todos tus activos expuestos a internet. Te dice que existe, que ha cambiado, y donde hay riesgo potencial. Lo hace todos los dias, sin intervencion manual. Como explicamos en detalle en nuestro post sobre ASM, la ventaja principal es la visibilidad continua.
Un pentest externo es un ejercicio puntual y profundo. No busca descubrir activos (aunque lo hace como parte del reconocimiento). Su objetivo es demostrar que una vulnerabilidad es explotable y documentar el impacto real.
La combinacion ideal: ASM te da visibilidad continua para que nada se te escape. El pentest externo valida periodicamente que lo que ASM ha identificado como riesgo es realmente explotable y mide el impacto real. ASM te dice "tienes un Jenkins expuesto en el puerto 8080 de staging.tuempresa.com". El pentest te dice "ese Jenkins tiene credenciales por defecto, hemos accedido a los pipelines de CI/CD y desde ahi hemos obtenido secrets de produccion".
Cuando necesitas un pentest externo
No existe una respuesta unica, pero hay situaciones donde es innegociable:
Antes de lanzar un producto o servicio a produccion. Si vas a exponer una aplicacion web o una API a internet, necesitas que alguien intente romperla antes de que lo haga un atacante real. Esto aplica especialmente a startups que estan por cerrar su primera ronda de clientes enterprise.
Despues de cambios significativos en infraestructura. Migracion a un nuevo proveedor cloud, redespliegue de arquitectura de microservicios, fusion o adquisicion que incorpora nuevos dominios y servicios. Cualquier cambio mayor en tu perimetro externo invalida las conclusiones del pentest anterior.
Para cumplimiento normativo. ISO 27001 (control A.8.8 sobre gestion de vulnerabilidades tecnicas) requiere pruebas de seguridad periodicas. NIS2, que ya aplica a empresas esenciales e importantes en la UE, exige medidas de gestion de riesgos que incluyen pruebas de seguridad. PCI DSS exige pentests al menos anuales y tras cambios significativos.
Como minimo, una vez al ano. Aunque no tengas obligaciones normativas, un pentest externo anual es el minimo razonable para cualquier empresa con presencia en internet. Las amenazas evolucionan, tu infraestructura cambia, y las vulnerabilidades de hoy no son las mismas que las de hace 12 meses.
Despues de un incidente de seguridad. Si has sufrido una brecha, necesitas validar que los vectores de entrada estan cerrados y que no hay otros puntos debiles.
Que esperar del informe
El informe de un pentest externo es el entregable principal. Un buen informe contiene:
Resumen ejecutivo: una o dos paginas dirigidas a direccion, sin jerga tecnica, que explique el nivel de riesgo general, los hallazgos mas criticos y las recomendaciones prioritarias. Si tu CTO no puede leer el resumen ejecutivo y tomar decisiones, el informe ha fallado.
Hallazgos tecnicos con evidencia: cada vulnerabilidad documentada con su descripcion, los pasos exactos para reproducirla (Proof of Concept), capturas de pantalla y logs que demuestren la explotacion. Un hallazgo sin PoC es una opinion, no una evidencia.
Clasificacion de riesgo: cada hallazgo con su puntuacion CVSS (Common Vulnerability Scoring System) y una valoracion contextual. Un CVSS de 9.8 en un servidor de pruebas sin datos reales no tiene el mismo impacto que un CVSS de 6.5 en tu API de pagos. El informe debe reflejar esa diferencia.
Recomendaciones de remediacion: pasos concretos y accionables para corregir cada hallazgo. No "mejorar la seguridad del servidor". Si "deshabilitar el protocolo TLS 1.0 editando la directiva ssl_protocols en la configuracion de Nginx y reiniciar el servicio".
Retesting: un pentest profesional incluye una fase de retesting donde, una vez que tu equipo ha aplicado las correcciones, el equipo de pentest verifica que las vulnerabilidades estan efectivamente cerradas. Si tu proveedor no incluye retesting, busca otro.
Que buscar en un proveedor de pentest externo
No todos los "pentests" son iguales. Estas son las senales de un proveedor serio:
Equipo con certificaciones reconocidas: OSCP (Offensive Security Certified Professional) como minimo. CREST para equipos que trabajan con clientes en UK o UE. GPEN, GXPN para perfiles mas especializados. Las certificaciones no lo son todo, pero garantizan un nivel minimo de competencia tecnica.
Metodologia documentada: PTES (Penetration Testing Execution Standard), OWASP Testing Guide, OSSTMM. El proveedor debe poder explicarte que metodologia sigue y por que. Si no tiene una respuesta clara, es una bandera roja.
Definicion clara de alcance: antes de empezar, debe haber un documento de alcance (scope) que defina exactamente que se prueba, que esta excluido, en que horarios se ejecutan las pruebas y cuales son los canales de comunicacion para hallazgos criticos. Sin esto, no hay forma de medir el resultado.
Retesting incluido: el retesting no es opcional. Un proveedor que te cobra por separado el retesting o no lo ofrece no esta dando un servicio completo.
Informes no autogenerados: si el informe parece la salida directa de Burp Suite o Nessus con un logo encima, no es un pentest. Es un escaneo disfrazado. Los hallazgos deben estar redactados por el equipo, con contexto especifico y PoCs reales.
Siguiente paso
No necesitas empezar directamente con una auditoria completa.
Si quieres tener una primera foto del estado de tu perimetro externo, puedes empezar con nuestro escaner gratuito. Analiza tu dominio en segundos y recibe un informe con los hallazgos principales: puertos abiertos, configuracion SSL, headers de seguridad, registros DNS y mas.
Y si necesitas pruebas continuas sobre tus aplicaciones web y APIs, nuestra solucion de DAST complementa el pentest puntual con escaneo automatizado continuo.
Comprueba si tu dominio es vulnerable
Nuestro escáner gratuito analiza SSL, cabeceras de seguridad, DNS y configuración de email en menos de 5 minutos. Sin instalar nada.
Lanzar Auditoría Gratuita
Escrito por
Kevin Reyes
Fundador & CEO de Vulnerabbit
Ingeniero DevSecOps con más de 7 años de experiencia en cloud security, CI/CD y automatización de infraestructura. Fundó Vulnerabbit con la misión de hacer la ciberseguridad sencilla, proactiva y accesible para startups y pymes.
LinkedInContinúa leyendo
Auditoría de Firebase para SaaS y startups: checklist en 15 puntos (2026)
Tu Firebase ya está en producción. Checklist de 15 puntos: qué auditar, con qué comando y cómo priorizar el fix. Pensado para CTOs y leads, no para reescribir la app.
Seguridad en React y Next.js: las vulnerabilidades más frecuentes en 2026
Las vulnerabilidades más explotadas en apps Next.js 15/16: errores de frontera RSC, Server Actions, fugas de secretos, SSRF, cache poisoning y mitigaciones.
Alternativas a Rapid7 InsightVM para Pymes y Startups (2026)
Rapid7 InsightVM es el estándar enterprise en gestión de vulnerabilidades, pero rara vez encaja en pymes y startups. 5 alternativas reales según escala y presupuesto.