¿Por qué el pentesting no tiene un precio fijo?
El pentesting no es como comprar software con un precio de catálogo. El costo depende de varios factores que varían significativamente entre empresas: el tamaño de la infraestructura, el tipo de activos a evaluar, el alcance del proyecto y la profundidad requerida.
En México, el rango típico varía desde evaluaciones básicas de una aplicación web pequeña hasta proyectos enterprise que combinan red, web, APIs y nube.
Factores que determinan el costo
1. Tipo de activos evaluados
No todos los servicios tienen la misma complejidad:
- Pentesting de red: depende del número de IPs y segmentos de red
- Pentesting web: depende del número de endpoints, roles de usuario y complejidad de la lógica de negocio
- Pentesting de APIs: depende del número de endpoints y tipos de autenticación
- Pentesting cloud: depende del número de cuentas, regiones y servicios activos
- Pentesting móvil: depende de la complejidad de la app y su integración con el backend
2. Alcance del proyecto
Un alcance bien definido es fundamental. Las variables clave son:
- Número de IPs o dominios en scope
- Inclusión o exclusión de pruebas destructivas
- Tipo de prueba: black-box, grey-box o white-box
- Horario de las pruebas (en producción o en staging)
3. Profundidad requerida
Una evaluación de cumplimiento (PCI DSS, ISO 27001) requiere documentación más exhaustiva que una evaluación táctica interna.
¿Cómo solicitar una cotización correctamente?
Para recibir una propuesta precisa, ten listos estos datos:
- Inventario de activos: IPs, dominios, APIs, apps móviles
- Tipo de prueba: interna, externa o ambas
- Urgencia: ¿Tienes una auditoría próxima o fecha límite regulatoria?
- Historial: ¿Han tenido un incidente de seguridad previo?
- Cumplimiento: ¿Necesitas el reporte para PCI DSS, CNBV u otra norma?
¿Qué debe incluir siempre un pentesting profesional?
Independientemente del costo, un servicio de pentesting serio debe incluir:
- NDA (Acuerdo de Confidencialidad) firmado antes de iniciar
- Reporte ejecutivo para dirección (impacto de negocio, riesgo financiero)
- Reporte técnico para IT (evidencia, pasos de explotación, remediación)
- Retest gratuito para verificar que las vulnerabilidades fueron corregidas
- Soporte post-reporte para aclarar dudas del equipo técnico
Conclusión
El costo de un pentesting siempre será menor que el costo de un incidente real. En México, el costo promedio de una brecha de datos para PYMES oscila entre $500,000 y $2,000,000 MXN considerando pérdida de datos, tiempo de recuperación, daño reputacional y posibles sanciones regulatorias.
Contacta a nuestro equipo para recibir una propuesta técnica personalizada en menos de 48 horas.