BRIEFING DE SEGURIDAD · 11.07.2026 DEENFRES

Glosario de seguridad

¿Qué es un test de penetración? Definición y diferencias

Por Benedikt Langer · 10 de julio de 2026 · 7 min de lectura

¿Qué es un test de penetración? Un test de penetración es un ataque autorizado y controlado contra la propia infraestructura informática, con el objetivo de identificar vulnerabilidades explotables antes de que lo hagan los ciberatacantes reales. A diferencia del escaneo automatizado de vulnerabilidades, que solo detecta fallos conocidos, el test verifica si esas brechas pueden ser explotadas y qué riesgo real conllevan. Siempre se requiere la autorización escrita del propietario del sistema.

Lo más importante en resumen

  • Núcleo: un ataque autorizado, controlado contra la propia TI, para encontrar vulnerabilidades explotables y priorizarlas según el riesgo real.
  • Diferenciación: El escáner de vulnerabilidades encuentra automáticamente lo conocido, mientras que el test de penetración explota las vulnerabilidades manualmente, y el Red Teaming evalúa además la detección y la respuesta del defensor.
  • Marco legal: solo es permitido con autorización escrita del propietario del sistema. Sin autorización, el mismo procedimiento constituye un delito.

Qué aporta un test de penetración

Un test de penetración simula un ataque real contra la infraestructura informática propia, la aplicación web o la organización. El objetivo no es la detección completa de todas las vulnerabilidades, sino la cuestión de qué fallas pueden ser explotadas de forma real y el daño que un atacante podría causar. El test proporciona, por tanto, una priorización de riesgos que los escaneos automatizados no pueden ofrecer.

3 niveles

escaneo de vulnerabilidades, prueba de penetración, red team

automático – manual – encubierto

Los resultados fluyen en un informe que, para cada vulnerabilidad encontrada, indica el riesgo, el camino de reproducción y una prioridad para su corrección. Una segunda prueba verifica si las medidas adoptadas funcionan. Esta priorización es el verdadero valor añadido para directores de TI y CISOs: saben dónde deben invertir primero.

Desarrollo de una prueba de penetración

Una prueba de penetración se lleva a cabo en varias fases. La primera fase es el scoping: el cliente y el tester definen qué sistemas se van a examinar, qué objetivos se persiguen y qué profundidad de pruebas se desea. También se acuerda el marco legal.

Después sigue la reconnaissance, la fase de reconocimiento. Los testers recopilan información sobre los sistemas objetivo, datos públicos disponibles, la infraestructura técnica y las posibles superficies de ataque. En la explotación intentan entonces explotar de forma controlada las vulnerabilidades encontradas y avanzar más en la infraestructura. Cada paso se documenta para que los resultados sean reproducibles.

El informe concluye el proceso. Enumera cada vulnerabilidad con descripción, valoración de riesgo y recomendación de acción. Una priorización clara ayuda al cliente a cerrar primero las brechas críticas. Un nuevo test después de la corrección confirma que las medidas funcionan.

Caja Negra, Caja Gris y Caja Blanca

Las pruebas de penetración se diferencian según el conocimiento previo que tienen los probadores a su disposición. En una prueba Black-Box, el probador no recibe información sobre el sistema objetivo y se aproxima como un atacante externo. Esta forma es realista, pero es intensiva en tiempo y no cubre todas las rutas.

En una prueba Grey-Box, el probador recibe información seleccionada, como credenciales o documentación de arquitectura. Esta forma centra la prueba en áreas específicas y es más eficiente. En una prueba White-Box, el probador tiene acceso completo al código fuente, la configuración y la arquitectura. Esta forma encuentra la mayoría de las vulnerabilidades, pero no simula un ataque externo real.

Diferenciación con conceptos relacionados

El escaneo de vulnerabilidades, la prueba de penetración y el red teaming a menudo se confunden, pero difieren claramente en profundidad y objetivo. Un escaneo de vulnerabilidades es un procedimiento automatizado que detecta vulnerabilidades conocidas mediante firmas. Es rápido y repetible, pero no verifica si una vulnerabilidad puede explotarse realmente.

Un analista humano utiliza las vulnerabilidades encontradas en una prueba de penetración, las explora de forma controlada, las enlaza entre sí y evalúa el riesgo real. El resultado es una lista priorizada de vulnerabilidades explotables.

El equipo rojo va más lejos. Persigue un objetivo concreto, como el acceso a un sistema específico o el robo de datos, y se realiza de forma encubierta. También se evalúa si los defensores detectan y responden al ataque. El equipo rojo, por tanto, examina toda la cadena de defensa, incluida la tecnología, los procesos y las personas.

Marco legal y autorización

Un test de penetración solo es permitido con autorización escrita del propietario del sistema. Sin dicho encargo, la misma acción constituye un delito: la intrusión no autorizada en sistemas ajenos es penalizable, independientemente de la intención.

Los sistemas de terceros, como servicios SaaS o plataformas en la nube, requieren además el consentimiento del respectivo operador. Quien desee probar una aplicación que se ejecuta en infraestructura cloud, necesita la autorización del proveedor de la nube. Muchos proveedores disponen de procesos y formularios específicos para ello.

Para la autorización, la guía práctica del BSI sobre pruebas de penetración ofrece una guía de referencia. Describe los criterios de calidad y ayuda a comparar proveedores. Las certificaciones de los testers son otro indicador de calidad. La NIS2 (Directiva de Seguridad de las Redes de Comunicación y Tecnologías de la Información) incrementa la demanda, ya que obliga a realizar verificaciones periódicas de la efectividad de las medidas de seguridad. Una prueba de penetración es una herramienta adecuada para demostrar dicha efectividad.

Preguntas frecuentes

Cada pregunta está bloqueada. Un toque desbloquea la respuesta.

¿Cuál es la diferencia entre un escaneo de vulnerabilidades y una prueba de penetración?

Un escáner de vulnerabilidades detecta automáticamente las vulnerabilidades conocidas mediante firmas, pero no verifica si pueden ser explotadas. Una prueba de penetración aprovecha las vulnerabilidades encontradas de forma manual y evalúa el riesgo real.

¿Cuándo es legal un test de penetración?

Una prueba de penetración solo es permitida con autorización escrita del propietario del sistema. Sin dicha autorización, la operación constituye un delito. En sistemas de terceros, como servicios SaaS, también se requiere su consentimiento.

¿En qué se diferencia un test de penetración de un red teaming?

Una prueba de penetración busca vulnerabilidades explotables de forma dirigida. El red teaming persigue un objetivo de ataque concreto y se lleva a cabo de forma encubierta. Además, comprueba si los defensores pueden detectar el ataque y responder adecuadamente.

¿Con qué frecuencia debería realizarse una prueba de penetración?

Una prueba de penetración debe realizarse de forma regular y tras modificaciones significativas de la infraestructura. NIS2 exige verificaciones regulares de la efectividad de las medidas de seguridad, para las cuales una prueba de penetración es un instrumento adecuado.

¿Qué se debe tener en cuenta al encargar?

La guía práctica del BSI (Oficina Federal de Seguridad en Tecnologías de la Información) para pruebas de penetración ofrece orientación para la contratación. Es fundamental contar con un alcance bien definido, informes claros y rastreables con priorización y una prueba de seguimiento. Además, las certificaciones de los testers constituyen un pilar de calidad.

Selección de la redacción

Recomendado¿Qué son EDR y XDR? Definición y diferenciasRecomendadoEndurecer Active Directory antes de que lo haga el atacante

Más de la red MBF Media

cloudmagazinOcho minutos hasta AWS-Admin: Cómo un cubo S3 abierto y una Lambda de administrador bastaronMyBusinessFutureSi la actualización en sí misma se convierte en una puerta de entrada

Lectura adicional

Una revista de Evernine Media GmbH