VE MATPROOF EN TU STACK — RESERVA UNA DEMO DE 30 MINUTOS

Pentesting: Test de Penetración Profesional para DORA, NIS2 e ISO 27001

Un pentesting revela lo que un atacante encontraría en su aplicación — antes de que lo haga. Matproof Sentinel ejecuta pruebas de penetración impulsadas por IA en horas en lugar de semanas, entrega un proof-of-exploit por cada hallazgo y mapea los resultados directamente sobre DORA Art. 24, NIS2 Art. 21, el ENS (Esquema Nacional de Seguridad) e ISO 27001:2022 A.8.29. Empiece con un escaneo gratuito de 3 minutos o con un pentest único desde 149 €.

MW
Escrito por Malte Wagenbach
Fundador de Matproof Security. Especializado en pruebas de penetración impulsadas por IA y cumplimiento UE (DORA, NIS2, ENS, ISO 27001).
Última revisión: 17 de mayo de 2026

Por qué un pentesting ya no es opcional en 2026

Desde el 17 de enero de 2025, el Reglamento DORA (Digital Operational Resilience Act) exige a las entidades financieras una prueba técnica periódica de sus sistemas TIC — el Art. 24 menciona explícitamente las «pruebas de penetración, incluidas las basadas en amenazas». La Directiva NIS2, transpuesta al ordenamiento español, impone en su Art. 21 «evaluaciones de seguridad regulares y ad hoc», y en España el Real Decreto 311/2022 del ENS obliga a las Administraciones Públicas y a sus proveedores a someter sus sistemas a pruebas de seguridad proporcionales a su categoría. Un incumplimiento ya no es solo un riesgo de sanción económica: bajo NIS2 la alta dirección responde personalmente, con multas de hasta 10 millones de euros o el 2 % de la facturación anual mundial. El INCIBE registró en 2024 un máximo histórico de incidentes que afectaron a pymes españolas, y solo en el primer trimestre de 2025 se publicaron más de 8.000 nuevos CVE. Quien no pueda presentar un informe de pentesting reciente no solo arriesga hallazgos de auditoría, sino también contratos B2B perdidos — prácticamente todo concurso o RFP empresarial incluye hoy una cláusula que exige un «informe de pentest reciente (con una antigüedad máxima de 12 meses)».

  • DORA Art. 24 (obligatorio desde el 17/01/2025) exige una prueba de penetración documentada y periódica de todos los sistemas TIC de las entidades financieras — incluidas pruebas TLPT (Threat-Led Penetration Testing) conforme a TIBER-EU para las entidades significativas.
  • NIS2 Art. 21 exige «medidas técnicas, operativas y organizativas adecuadas» — la autoridad competente en España (INCIBE-CERT / CCN-CERT según el ámbito) ya no acepta un simple escáner de vulnerabilidades como prueba suficiente.
  • El ENS (Real Decreto 311/2022) exige pruebas de seguridad y auditorías bienales para los sistemas de categoría MEDIA y ALTA, conforme a los controles op.exp y mp.s del Anexo II y la guía CCN-STIC-808.
  • ISO 27001:2022 Anexo A 8.29 (Pruebas de seguridad en el desarrollo y la aceptación) y A.8.8 (Gestión de vulnerabilidades técnicas) requieren pruebas documentadas antes de cada release importante.
  • Un informe de pentest obsoleto (más de 12 meses) es causa directa de descalificación en el 78 % de los RFP empresariales B2B (Gartner Procurement 2024).
  • Las aseguradoras de ciberriesgo (Mapfre, Generali, AXA, Hiscox) exigen desde 2024 una prueba de pentest como requisito para pólizas con cobertura superior a 5 M€.
  • El coste medio de una filtración de datos para una empresa española se situó en 4,2 M€ en 2024 (IBM Cost of a Data Breach Report) — un pentest se amortiza en cuanto previene un solo hallazgo crítico.

Qué probamos en un pentesting

  • OWASP Top 10 (2021) — cobertura completa: A01 Broken Access Control, A02 Cryptographic Failures, A03 Injection, A07 Identification & Authentication Failures
  • OWASP API Security Top 10 (2023) — API1 Broken Object Level Authorization, API2 Broken Authentication, API4 Unrestricted Resource Consumption / límites de tasa
  • Autenticación y gestión de sesiones — debilidades en JWT, flags de cookies (Secure/HttpOnly/SameSite), session-fixation, restablecimientos de contraseña defectuosos
  • Lógica de autorización — IDOR (Insecure Direct Object Reference), escalada de privilegios horizontal y vertical, aislamiento multi-tenant
  • Validación de entradas — inyección SQL (clásica + NoSQL), Cross-Site Scripting (Reflected/Stored/DOM), SSRF, XXE, inyección de comandos
  • Configuración — TLS/SSL (RFC 8446), cabeceras de seguridad (HSTS, CSP, Referrer-Policy), CORS, rutas de administración expuestas, endpoints de depuración
  • Lógica de negocio — race conditions en flujos de pago, abuso de cupones/descuentos, evasión de cuotas, validación de flujos de trabajo defectuosa
  • Dependencias (Software Composition Analysis) — CVE conocidos en paquetes npm/PyPI/Maven, frameworks obsoletos (p. ej. CVE-2024-43481 Next.js, CVE-2021-44228 Log4Shell)
  • Configuración DNS — SPF, DKIM, DMARC, registros CAA (relevante para NIS2 en la prevención de suplantación de correo)
  • Infraestructura cloud (en el plan Growth) — configuraciones erróneas de IAM, permisos de buckets S3, almacenamiento cloud expuesto

Ejemplo de hallazgo

Alto

Algoritmo JWT débil aceptado (HS256 con secreto adivinable)

El endpoint de autenticación /api/auth/login acepta tokens JWT firmados con HMAC-SHA256 (HS256). El secreto compartido estaba presente en un bundle de JavaScript accesible públicamente (matproof.com/_next/static/chunks/auth-3f2a1.js). Un atacante puede firmar tokens de autenticación válidos para cualquier usuario — incluidas las cuentas de administrador — sin conocer ninguna contraseña válida. Este es un caso clásico de autenticación rota (OWASP API2:2023) que un escáner automatizado no detecta, porque el token forjado produce una respuesta 200 perfectamente válida.

Corrección: Migrar a RS256 (firma asimétrica con un par de claves pública/privada). La clave privada debe residir exclusivamente en el servidor de autenticación; la clave pública puede distribuirse públicamente. Al validar el token, verificar explícitamente el algoritmo (sin «alg: none» ni algorithm-confusion). Si HS256 es estrictamente necesario, usar al menos 256 bits de entropía, rotación cada 90 días y nunca exponerlo en el frontend. Matproof Sentinel vuelve a probar el endpoint tras la corrección y registra la verificación en el informe.

Referencia: OWASP API2:2023 Broken Authentication · CWE-327 Use of a Broken or Risky Cryptographic Algorithm · RFC 7518 §3.6 · ISO 27001:2022 A.8.5 Autenticación segura

Opciones de pentesting comparadas

Escaneo gratuitoMatproof SentinelConsultoría tradicional
Motor de escaneo automatizado✓ (vista previa 3 min)✓ Escaneo completo✗ Solo manual
Cobertura OWASP Top 10Parcial✓ Completa✓ Completa
Evidencia proof-of-exploit✓ Por hallazgo✓ Por hallazgo
Mapeo normativo (DORA/NIS2/ISO 27001)✓ Automatizado✓ Manual
Informe PDF listo para auditoría✓ Inmediato✓ Entrega 2–4 semanas
Escaneos continuos / recurrentes✓ Por despliegue✗ Encargo anual
Tiempo hasta el primer resultado~3 min~30 min escaneo completo2–4 semanas
Precio€0Desde €149€8.000–€25.000
Revisión de código fuente (SAST)✓ Plan Growth✓ En alcance
Pruebas de API (REST/GraphQL)✓ Automatizado✓ Manual

Paquetes de pentesting

Preguntas frecuentes sobre el pentesting

¿Cuál es la diferencia entre un pentesting y un escaneo de vulnerabilidades?

Un escaneo de vulnerabilidades es una comprobación automatizada, a menudo basada en firmas, frente a CVE conocidos — encuentra vulnerabilidades listadas, pero no errores de lógica ni de configuración. Un pentesting es bastante más profundo: combina pruebas automatizadas con análisis contextual (en nuestro caso mediante agentes de IA), verifica cada hallazgo con un proof-of-exploit y cubre cadenas de ataque complejas como IDOR, escalada de privilegios o fallos de lógica de negocio. Para DORA Art. 24, NIS2 Art. 21 e ISO 27001 A.8.29, un escaneo de vulnerabilidades no suele bastar como prueba.

¿Cuánto dura un pentesting con Matproof Sentinel?

El escaneo gratuito en matproof.com/es/tools/pentest-scan entrega los primeros hallazgos sobre TLS, cabeceras de seguridad, DNS y rutas expuestas en unos 3 minutos. El pentest completo de Sentinel (149 € único o en suscripción) dura entre 30 y 60 minutos para una aplicación web típica y entrega un informe PDF listo para auditoría. En comparación, los pentests de consultoría tradicionales requieren entre 2 y 4 semanas de plazo de entrega.

¿Cuánto cuesta un pentesting en España?

En Matproof: vista previa gratuita, 149 € por un escaneo único con informe PDF, 299 €/mes para pruebas continuas (hasta 3 dominios, integración CI/CD) y 799 €/mes para pruebas autenticadas, dominios ilimitados e infraestructura cloud. Los pentests de consultoría tradicionales en España cuestan típicamente entre 8.000 y 25.000 € por proyecto, con 2-4 semanas de plazo. Para las pruebas TIBER-EU / TLPT de entidades financieras (DORA Art. 26), los costes oscilan habitualmente entre 80.000 y 250.000 €.

¿Qué proveedores de pentesting están reconocidos en España?

En España no existe una «homologación» estatal genérica para proveedores de pentesting, pero hay referencias de calidad relevantes: el Catálogo de Empresas y Soluciones de Ciberseguridad del INCIBE, testers certificados OSCP/OSWE, miembros de CREST, proveedores certificados en ISO 27001 y, para los sistemas del ENS, organismos cualificados conforme a la guía CCN-STIC. Para las pruebas TIBER-EU/TLPT de bancos, el proveedor debe figurar además en la lista de proveedores de red team aceptados por el Banco de España y el BCE.

¿Necesito un pentesting si ya tengo un programa de bug bounty?

Bug bounty y pentesting cubren riesgos distintos. Un bug bounty es una iniciativa abierta de crowdsourcing con cobertura impredecible — se paga por vulnerabilidad encontrada. Un pentesting es un encargo definido y acotado en el tiempo, con cobertura garantizada de todos los sistemas dentro del alcance. Para las pruebas de auditoría (DORA, NIS2, ISO 27001), los auditores exigen un informe estructurado de pentest, no un programa de bug bounty. Lo óptimo es la combinación: pentest para el cumplimiento + bug bounty para una seguridad continua y oportunista.

¿Qué significa «proof-of-exploit» y por qué es importante?

El proof-of-exploit significa que no solo le mostramos que una vulnerabilidad existe en teoría, sino que le entregamos la petición exacta que la explota — con extracto de la respuesta, captura de pantalla o un breve vídeo. Esto elimina los falsos positivos y hace trivial la priorización. Para los informes de auditoría es oro: demuestra al auditor que el hallazgo está verificado y a su equipo de desarrollo exactamente dónde actuar. En los pentests clásicos el proof-of-exploit suele ser opcional y cuesta un extra; en Matproof Sentinel es el estándar.

¿Se almacenan mis datos durante el pentesting?

Para el escaneo de vista previa gratuito: el correo electrónico (para la entrega del informe) y los resultados del escaneo se almacenan en la UE (Hetzner, Falkenstein); no se recopilan datos personales de sus usuarios finales. Para el escaneo completo de Sentinel: todas las actividades de prueba se procesan en la UE y los hallazgos se anonimizan automáticamente a los 90 días. Cumplimos con el Art. 28 del RGPD (encargo del tratamiento) y facilitamos un contrato de encargado del tratamiento previa solicitud.

¿Qué pasa si el pentesting encuentra vulnerabilidades críticas?

Por cada hallazgo Critical o High recibe inmediatamente un correo con los detalles y una medida de mitigación recomendada. El informe PDF contiene una hoja de ruta priorizada (puntuación CVSS 3.1, esfuerzo de remediación estimado, relevancia normativa). Si lo desea, le acompañamos en la remediación — bien a través de nuestra consultoría de seguridad interna (incluida en el plan Growth), bien mediante derivación a partners especializados. Tras la remediación puede lanzar un re-test (gratuito en los planes Starter/Growth) para verificar que las correcciones funcionan.

Temas relacionados

Profundiza — artículos relacionados del blog

Empiece con un escaneo de pentesting gratuito

Introduzca su dominio y obtenga en 3 minutos los primeros hallazgos sobre TLS, cabeceras de seguridad, DNS y rutas expuestas. Sin registro, sin tarjeta de crédito. Si la vista previa revela resultados interesantes, lance un pentest completo desde 149 €.

Iniciar escaneo gratuito