Pruebas de penetración con evidencia auditada

Equipo certificado LPT y GPEN
· Red interna, web, cloud y Red Team

Pruebas de penetración certificadas — evidencia técnica, no solo un reporte

Un pentest sin metodología rigurosa es una lista de hallazgos sin contexto. QMA realiza pruebas de penetración con equipo certificado LPT, GPEN y ECSA: desde reconocimiento hasta explotación controlada, con entregable técnico, ejecutivo y plan de remediación priorizados por severidad CVSS.

Solicitar evaluación de alcance Ver todos los servicios

LPT · GPEN · ECSA · CEH Red interno · Web/APIs · Cloud · Red Team Informe técnico + ejecutivo + remediación

¿Cuándo necesita un pentest y cuándo basta con un análisis de vulnerabilidades?

Son complementarios, no equivalentes. El análisis de vulnerabilidades (VM continuo con Tenable) detecta y prioriza exposiciones conocidas de forma recurrente. El pentest simula un atacante real: explota cadenas de vulnerabilidades, valida controles y entrega evidencia auditada para un momento específico.

	Análisis de vulnerabilidades (VM)	Prueba de penetración
Frecuencia	Continua / recurrente	Puntual (anual, post-cambio, por auditoría)
Alcance	Detección y priorización de exposiciones	Explotación controlada, cadenas de ataque
Entregable	Dashboard, alertas, scoring continuo	Informe técnico + ejecutivo + plan de remediación
Requerido por	Operación de seguridad continua	PCI DSS req. 11.4, ISO 27001, auditorías regulatorias
Modalidad QMA	Servicio MSSP recurrente	Engagement por proyecto

Modalidades de alcance

Cada engagement se define según los activos críticos, el tiempo disponible y los requisitos regulatorios. No existe un alcance estándar — definimos el scope antes de iniciar.

Red interna y perímetro externo

Evaluación de la red corporativa, segmentación, Active Directory, exposición de servicios hacia internet y vectores de movimiento lateral.

Aplicaciones web y APIs

Pruebas sobre aplicaciones públicas o internas: OWASP Top 10, lógica de negocio, autenticación, autorización y seguridad de APIs REST/GraphQL. Integración con Invicti para escaneo continuo complementario.

Cloud (Azure / AWS)

Revisión de configuraciones, identidades, políticas IAM, exposición de recursos y superficies de ataque en entornos Azure y AWS.

Phishing e ingeniería social

Campañas controladas para medir la resiliencia humana ante ataques de suplantación, credential harvesting y pretexting dirigido a roles críticos.

Red Team avanzado

Simulación de amenaza persistente (APT-style) con múltiples vectores coordinados: acceso físico, ingeniería social y explotación técnica. Objetivo: detectar capacidad real de respuesta del SOC. Coordinado con Respuesta a Incidentes.

Metodología — de la definición de alcance a la evidencia auditada

Seguimos marcos reconocidos internacionalmente (PTES, OWASP, NIST SP 800-115) y adaptamos la profundidad al contexto de cada organización.

Definición de alcance

Acuerdo formal de reglas de enganche (RoE), activos en scope, ventanas de tiempo y gestión de riesgos operativos.

Reconocimiento

OSINT, fingerprinting pasivo, enumeración de superficies de ataque y mapeo de activos expuestos.

Explotación controlada

Explotación de vulnerabilidades confirmadas, encadenamiento de técnicas y escalación de privilegios dentro del alcance acordado.

Análisis de impacto

Mapeo de hallazgos a activos críticos del negocio, evaluación de impacto real y scoring CVSS v3.1.

Reporte y sesión de cierre

Entrega de informes técnico y ejecutivo, sesión de lectura de resultados con el equipo técnico y presentación ejecutiva si se requiere.

Entregables — lo que recibe al finalizar el engagement

Cada entregable está diseñado para audiencias distintas. El informe técnico es para el equipo de seguridad; el ejecutivo, para dirección y comités; el plan de remediación, para el equipo de operaciones.

Informe técnico

Descripción detallada de cada hallazgo, evidencia de explotación, CVE asociados, scoring CVSS v3.1 y pasos de reproducción.

Informe ejecutivo

Resumen de riesgos para dirección y comités: exposición general, hallazgos críticos, impacto potencial al negocio y postura de seguridad.

Plan de remediación priorizado

Hallazgos ordenados por severidad y esfuerzo de remediación, con recomendaciones técnicas específicas y plazos sugeridos.

Sesión de lectura de resultados

Presentación de hallazgos con el equipo técnico y, si se requiere, sesión ejecutiva separada para dirección o CISO.

El equipo — certificaciones que respaldan cada engagement

Las certificaciones no son decorativas. Definen el nivel técnico con el que se aborda cada prueba y la capacidad de documentar hallazgos de forma que resistan auditorías externas.

LPT

Licensed Penetration Tester — EC-Council. Máxima certificación práctica de pruebas de intrusión.

GPEN

GIAC Penetration Tester — certificación técnica de referencia en el mercado global.

ECSA

EC-Council Certified Security Analyst — metodología de análisis y reporte de engagements.

CEH

Certified Ethical Hacker — fundamentos técnicos y vectores de ataque reconocidos.

CHFI / GCFA

Computer Hacking Forensic Investigator y GIAC Certified Forensic Analyst — análisis forense post-explotación.

Escala según engagement

Para proyectos de Red Team o alcance ampliado, escalamos el equipo con especialistas según el tipo de evaluación.

Cumplimiento regulatorio — el pentest como evidencia auditada

Los informes entregados están diseñados para ser presentados ante auditores externos y reguladores. La evidencia es verificable y los hallazgos están referenciados a controles específicos.

PCI DSS — Req. 11.4

Las organizaciones que procesan tarjetas de pago deben realizar pruebas de penetración externas e internas al menos una vez al año y tras cambios de infraestructura significativos.

ISO/IEC 27001 — Anexo A

El control A.12.6 y el Anexo A en conjunto requieren evaluación de vulnerabilidades técnicas. Un pentest es la evidencia más sólida de cumplimiento de estos controles. Coordinado con GRC.

CNBV y sector financiero

Las disposiciones de ciberseguridad aplicables al sector financiero en México incluyen requerimientos de evaluación técnica periódica. Si aplica a su industria, el informe de pentest es evidencia directa.

Casos de uso por industria

Banca y sector financiero

Evaluación de canales digitales, APIs de banca en línea, aplicaciones móviles y redes corporativas ante requisitos CNBV y PCI DSS.

Manufactura

Segmentación IT/OT, exposición de sistemas de control industrial, vectores de acceso remoto y riesgos de cadena de suministro digital.

Gobierno y sector público

Evaluación de portales ciudadanos, infraestructura crítica y requisitos de auditoría de seguridad para entidades reguladas.

Salud

Protección de datos de pacientes, seguridad de sistemas clínicos y evaluación de dispositivos médicos conectados.

Retail y e-commerce

Seguridad de plataformas de pago, APIs de integración con marketplaces y protección de datos de clientes ante PCI DSS.

Preguntas frecuentes sobre pentesting

¿Cuánto tiempo tarda un pentest?

Depende del alcance. Un pentest de aplicación web acotado puede tomar entre 5 y 10 días hábiles. Un Red Team o evaluación de infraestructura compleja puede extenderse entre 3 y 6 semanas. El tiempo exacto se define en la fase de alcance antes de iniciar.

¿El pentest afecta la operación de producción?

Se define en las reglas de enganche (RoE) antes del inicio. En la mayoría de los casos trabajamos en horarios controlados o sobre ambientes de staging para no afectar producción. Cualquier actividad que pueda impactar sistemas críticos se acuerda explícitamente con el cliente.

¿Qué diferencia hay entre un pentest caja negra, gris y blanca?

Caja negra: el equipo no tiene acceso previo ni credenciales — simula un atacante externo sin información. Caja gris: acceso parcial o credenciales limitadas — simula un usuario interno o partner. Caja blanca: acceso completo a código, arquitectura y credenciales — maximiza la cobertura técnica. El enfoque se elige según el objetivo de la evaluación.

¿El informe es suficiente para una auditoría PCI DSS o ISO 27001?

Sí. Los informes están estructurados para ser presentados ante auditores externos. Incluyen referencias a controles específicos, evidencia técnica verificable y scoring CVSS v3.1. Si su auditoría tiene requisitos adicionales de formato, lo integramos en la fase de alcance.

¿Con qué frecuencia debo hacer un pentest?

PCI DSS requiere al menos uno al año y tras cambios significativos. ISO 27001 no especifica frecuencia fija pero sí evaluación periódica de controles técnicos. Una buena práctica para organizaciones maduras es combinar VM continuo con un pentest anual y evaluaciones puntuales tras lanzamientos críticos o cambios de arquitectura.

¿Qué pasa después de recibir el informe?

Se realiza una sesión de lectura de resultados con el equipo técnico. A partir del plan de remediación priorizado, el equipo interno gestiona los hallazgos. QMA puede apoyar en la validación de remediaciones (re-test) como parte del engagement o como servicio adicional.

¿Cómo se relaciona el pentest con el servicio de VA continuo?

El análisis de vulnerabilidades continuo con Tenable identifica y prioriza exposiciones conocidas de forma recurrente. El pentest valida si esas exposiciones son explotables en contexto real y descubre vectores que un scanner automatizado no detecta — como lógica de negocio, encadenamiento de privilegios o vectores humanos.

¿Pueden escalar el equipo para proyectos grandes?

Sí. Para engagements de Red Team, múltiples superficies de ataque o proyectos con ventanas de tiempo ajustadas, escalamos el equipo con especialistas adicionales según el tipo de evaluación requerida.

Solicite una evaluación de alcance sin costo

En 30 minutos definimos el tipo de prueba que necesita, el alcance técnico y el tiempo estimado. Sin compromiso.

Hablar con especialista Ver servicios GRC