Cómo entender un informe de pentest: una guía para directores generales y responsables de TI

El informe del pentest llega a su escritorio: 80 páginas, llenas de puntuaciones CVSS, capturas de pantalla y jerga técnica. Para directores de TI y gerentes generales, esto suele ser un libro cerrado. Sin embargo, en este informe se encuentran las bases más importantes para tomar decisiones sobre inversiones en seguridad. Una guía de traducción.

En resumen

• La puntuación CVSS por sí sola no basta: el contexto y la explotabilidad son decisivos
• Lo crítico es lo que un atacante puede explotar realmente, no lo que teóricamente sea posible
• El resumen ejecutivo es la parte más importante: ahí se indican los riesgos para el negocio
• Los hallazgos sin un plan de corrección carecen de valor: las medidas deben estar priorizadas y con fechas definidas

El resumen ejecutivo: aquí comienza la toma de decisiones

El resumen ejecutivo está escrito para personas no técnicas y responde a tres preguntas: ¿Cómo es en general nuestra situación de seguridad? ¿Cuáles son los riesgos más críticos? ¿Qué debe hacerse inmediatamente? Un buen informe de pentest ofrece aquí una evaluación clara del riesgo, con colores tipo semáforo o una escala de madurez.

Si el resumen ejecutivo solo enumera hallazgos técnicos sin contexto empresarial, el informe está mal redactado. Exija al proveedor una interpretación: ¿Qué significa el hallazgo X para nuestro negocio?

Entender CVSS – y conocer sus limitaciones

CVSS (Common Vulnerability Scoring System) evalúa las vulnerabilidades en una escala de 0 a 10: Crítico (9,0-10,0), Alto (7,0-8,9), Medio (4,0-6,9), Bajo (0,1-3,9). Esto es útil como primera orientación, pero engañoso si se utiliza como único criterio de priorización.

Por qué: un CVSS de 9,8 en un servidor de pruebas interno sin datos de clientes es menos crítico que un CVSS de 6,5 en un sistema de producción con datos de pagos. El contexto prevalece sobre la puntuación. Pregunte: ¿Qué sistemas y datos están afectados? Y: ¿Puede un atacante externo explotar esta vulnerabilidad?

Priorizar hallazgos: la matriz de riesgo

La forma más sensata de priorizar combina dos dimensiones: explotabilidad (¿Qué tan fácil es el ataque?) e impacto en el negocio (¿Qué ocurre si tiene éxito?). Esto da lugar a una matriz 2×2: fácil de explotar + alto impacto = corregir inmediatamente. Difícil de explotar + bajo impacto = planificar a largo plazo.

Exija al proveedor del pentest esta clasificación. Un buen informe no solo presenta hallazgos, sino también una hoja de ruta de corrección priorizada, con plazos y estimación de esfuerzo.

Después del informe: seguimiento de la corrección

El informe no es un fin en sí mismo, sino el punto de partida. Cada hallazgo necesita: un responsable, una fecha límite, una solución definida y una verificación tras su implementación. Sin un proceso de seguimiento, los hallazgos del pentest se quedan olvidados entre las prioridades del trabajo diario.

Mejor práctica: integrar los hallazgos en el sistema de tickets existente, hacer un seguimiento del estado de corrección en una revisión mensual de seguridad y realizar una nueva prueba (retest) a los 90 días para los hallazgos críticos y altos.

Datos clave

Hallazgos por pentest: En promedio 28 hallazgos, de los cuales 4-6 son críticos/altos (NCC Group)

Tasa de corrección: Solo el 56 % de los hallazgos críticos se corrigen dentro de los 90 días (Cobalt)

Tasa de retest: El 30 % de los hallazgos «corregidos» no superan el retest (Veracode)

Preguntas frecuentes

¿Con qué frecuencia debe realizarse un pentest?

Anualmente como mínimo. Adicionalmente tras cambios importantes (nueva aplicación, migración a la nube, reestructuración de arquitectura). NIS2 exige pruebas «regulares»: anualmente cumple este requisito. DORA exige TLPT cada 3 años para instituciones sistémicamente relevantes.

¿Cuánto cuesta un pentest?

Externo: 8.000-30.000 EUR para una aplicación web, 15.000-50.000 EUR para una evaluación de red, 30.000-100.000+ EUR para un ejercicio de red team. Interno: programas de bug bounty a partir de 10.000 EUR de presupuesto en primas. El precio varía según el alcance y profundidad.

¿Cuál es la diferencia entre pentest y escaneo de vulnerabilidades?

Un escaneo de vulnerabilidades es automatizado y detecta vulnerabilidades conocidas (CVE). Un pentest lo realizan personas que no solo encuentran vulnerabilidades, sino que las explotan activamente y las combinan. El pentest muestra lo que un atacante real podría lograr; el escaneo solo indica lo que es teóricamente vulnerable.

Artículos relacionados

• Centro de operaciones de seguridad como servicio: por qué SOCaaS tiene sentido para pymes
• Por qué los programas de concienciación en seguridad fallan – y qué funciona mejor
• Presupuestos de ciberseguridad 2024: en qué invierten los CISO – y en qué recortan

Más del ecosistema MBF Media

• Cloud Magazin – Cloud, SaaS e infraestructura IT
• myBusinessFuture – Digitalización, IA y negocio
• Digital Chiefs – Liderazgo C-Level con pensamiento estratégico

Fuente imagen: Pexels / cottonbro studio

Sobre el autor: Tobias Massow

Más artículos de Tobias Massow