InspectWP Logo
Glosario

¿Qué es el Penetration Testing?

20 de mayo de 2026

El penetration testing (pentesting, hacking etico) es un ataque ciber simulado y autorizado contra un sistema, aplicacion, API o red. El objetivo es identificar debilidades (vulnerabilidades, configuraciones erroneas, fallos de diseno) antes de que los atacantes maliciosos las exploten. El pentester sigue una metodologia estructurada que combina escaneo automatizado, explotacion manual, post explotacion y reporte. La salida es un informe escrito con cada hallazgo clasificado por severidad (Critical, High, Medium, Low, Informational) con pasos de reproduccion, capturas, impacto de negocio y solucion recomendada. El penetration testing es obligatorio en muchos marcos: PCI DSS 11.4 (anual), ISO 27001:2022 A.8.29, NIS2 articulo 21, HIPAA, SOC 2, y DORA articulo 26 desde el 17 de enero de 2025 para entidades financieras de la UE. Precios 2025: 5.000 a 25.000 EUR para PYMEs, 30.000 a 150.000 EUR enterprise, PTaaS desde 800 a 2.000 EUR/mes.

Pentest vs escaneo de vulnerabilidades

AspectoEscaneoPentest
AutomatizacionTotalMayormente manual
ProfundidadSuperficialEncadenada
Falsos positivosAltosBajos
ExplotacionNingunaReal
DuracionMinutos a horasDias a semanas
CosteBajoDesde 5.000 EUR
FrecuenciaSemanalAnual

Tipos de pentest

  • Web app.
  • API (OWASP API Top 10 2023).
  • Movil (Frida, Objection, MobSF).
  • Red e infraestructura.
  • Cloud (AWS, Azure, GCP).
  • Wireless.
  • Ingenieria social y phishing.
  • Red Team.
  • Purple Team.
  • IoT y embebidos.

Modelos de conocimiento

  • Black box.
  • Grey box.
  • White box.

Metodologia

  1. Scoping y reglas de compromiso.
  2. Reconocimiento (Shodan, Censys, Wayback, Nmap, Amass, gobuster).
  3. Threat modeling.
  4. Identificacion de vulnerabilidades (Burp Suite Pro, Acunetix, Nuclei, Nessus).
  5. Explotacion (Metasploit, sqlmap, hashcat, BloodHound).
  6. Post explotacion.
  7. Reporte CVSS 3.1 o 4.0.
  8. Remediacion y retest.

Estandares

  • OWASP WSTG 4.2.
  • OWASP API Top 10 2023.
  • PTES.
  • NIST SP 800 115.
  • OSSTMM.
  • MITRE ATT&CK.
  • PCI DSS 11.4.
  • TIBER-EU.

Herramientas

  • Burp Suite (Community gratis, Pro 449 USD/ano).
  • OWASP ZAP.
  • Metasploit.
  • Nmap.
  • sqlmap.
  • Nuclei.
  • hashcat.
  • BloodHound.
  • Kali Linux, Parrot OS.
  • Cobalt Strike.
  • WPScan.

Certificaciones

  • OSCP, OSCE3.
  • CRTO/CRTL.
  • CREST CRT y CCT.
  • PNPT.
  • GPEN, GWAPT, GXPN.
  • CEH.

Pentest de WordPress

  • CVEs de plugins y temas (WPScan).
  • Endpoints REST sin auth.
  • XML-RPC.
  • Author enumeration.
  • Archivos de backup en webroot.
  • Subidas vulnerables.
  • SQLi en plugins/themes custom.
  • XSS stored.
  • Sin 2FA ni nonces CSRF.
  • Contrasenas debiles.

Como preparar un pentest

  1. Definir alcance.
  2. Cuentas de prueba por rol.
  3. Entorno staging aislado.
  4. Informar a SOC, IT, hosting y WAF.
  5. Documentar issues conocidos.
  6. Canal de comunicacion (Slack, Signal).
  7. Presupuesto para retest.

Bug Bounty

HackerOne, Bugcrowd, Intigriti, YesWeHack, Open Bug Bounty. No reemplaza al pentest, lo complementa.

Como encaja InspectWP?

InspectWP automatiza reconocimiento y analisis de superficie.

Artículo anterior

¿Qué es Interaction to Next Paint (INP)?

Artículo siguiente

¿Qué son AVIF y WebP en comparación?

Artículos relacionados

¿Qué son HTTP/2 y HTTP/3? Guía práctica para sitios WordPress

¿Qué son los custom post types de WordPress?

¿Qué es un block theme de WordPress (Full Site Editing)?

Ver todos los artículos

Analiza tu sitio de WordPress ahora

InspectWP analiza tu sitio de WordPress en busca de problemas de seguridad, SEO, cumplimiento del RGPD y rendimiento, gratis.

Analiza tu sitio gratis