Pentesting Externo: Su Superficie de Ataque Expuesta a Internet, Demostrada

El pentesting externo evalúa todo lo que un atacante puede alcanzar desde la internet pública sin acceso previo — sus aplicaciones web, APIs, pasarelas de correo y VPN, paneles de administración expuestos, almacenamiento cloud y las configuraciones erróneas que se acumulan silenciosamente en el perímetro. Matproof Sentinel descubre su superficie de ataque externa, la prueba como lo haría un atacante no autenticado y confirma cada debilidad explotable con un proof-of-exploit. Obtiene un informe listo para auditoría mapeado a ISO 27001, SOC 2, NIS2 y DORA. Empiece con un escaneo externo gratuito de 3 minutos, o consiga un informe completo desde 149 €.

Escanear el exterior gratis

Escrito por Malte Wagenbach

Fundador de Matproof Security. Especializado en pruebas de penetración impulsadas por IA y cumplimiento UE (DORA, NIS2, ENS, ISO 27001).

Última revisión: 17 de mayo de 2026

Por qué el perímetro externo es donde realmente empiezan la mayoría de las brechas

El perímetro expuesto a internet es la parte de su infraestructura que un atacante puede sondear las 24 horas con cero autenticación y cero aviso — y es también la parte que más rápido se deteriora. Un subdominio de staging olvidado, un bucket S3 hecho público «temporalmente», una interfaz de administración expuesta tras una migración, un appliance VPN ejecutando una versión con un RCE conocido: cada uno es una brecha completa a la espera de ocurrir, y ninguno requiere que el atacante haga phishing a nadie. El pentesting externo existe para encontrar esto antes de que lo encuentren por usted. La mayoría de los escáneres automatizados enumeran el perímetro pero no pueden decirle qué hallazgos son realmente explotables, así que los equipos se ahogan en ruido y se pierden el único problema que importa. Un pentest externo de verdad descubre la superficie completa (incluidos los activos de los que ha olvidado que es propietario), prioriza por explotabilidad genuina y demuestra el impacto. Es además la clase de pruebas que los marcos y los compradores exigen de forma más explícita: ISO 27001:2022 A.8.8, las medidas de base de NIS2 Art. 21 y casi todos los cuestionarios de seguridad empresariales piden evidencia de que la infraestructura externa se prueba con regularidad.

La deriva de la superficie de ataque es constante: subdominios, buckets cloud, paneles expuestos y shadow IT aparecen más rápido de lo que la mayoría de los equipos los rastrean — las pruebas externas empiezan descubriendo lo que realmente expone, no solo lo que cree exponer.
Los appliances de borde (VPN, firewall, transferencia de archivos, pasarelas de correo) son vectores de brecha recurrentes — los RCE de CVE conocidos en estos dispositivos se explotan a los pocos días de su divulgación; un pentest externo confirma si los suyos son accesibles y vulnerables.
La exposición no autenticada es la clase de mayor severidad: datos que pueden recuperarse sin ningún inicio de sesión, paneles de administración accesibles desde internet y credenciales por defecto son compromisos completos, no riesgos teóricos.
Los escáneres reportan miles de «problemas» perimetrales sin contexto de explotabilidad — un pentest externo clasifica por lo que un atacante puede hacer realmente y lo demuestra, de modo que ingeniería corrija primero lo correcto.
ISO 27001:2022 A.8.8, SOC 2 CC7.1, NIS2 Art. 21 y DORA Art. 24 esperan todos pruebas documentadas de los sistemas expuestos a internet — la evidencia de pruebas externas es el elemento más solicitado en las revisiones de seguridad B2B.

Qué prueba Matproof en un pentesting externo

Descubrimiento de superficie de ataque: enumeración de subdominios, registros DNS, almacenamiento cloud expuesto (S3/GCS/Azure Blob), hosts de staging y preproducción olvidados, activos en la sombra
Servicios y puertos expuestos: interfaces de gestión, bases de datos accesibles desde internet, exposición de RDP/SSH, credenciales por defecto y débiles
CVE de appliances de borde: dispositivos VPN, firewall y de transferencia de archivos identificados y comprobados frente a vulnerabilidades conocidas de ejecución remota de código y evasión de autenticación
Puntos de entrada web y API: pruebas OWASP Top 10 (2021) y OWASP API Top 10 (2023) de cada aplicación y endpoint expuesto a internet
Seguridad de TLS y correo: configuración TLS (RFC 8446), problemas de certificados, postura SPF/DKIM/DMARC, relays abiertos
Security misconfiguration (OWASP A05:2021): cabeceras de seguridad ausentes, divulgación de errores verbosos, listado de directorios, ficheros .git/.env y de copia de seguridad expuestos
Exposición de autenticación: accesibilidad a credential stuffing, resistencia a password-spray, superficies de login SSO y de administración expuestas
Fuga de información: metadatos, divulgación de versiones y ficheros públicos que revelan la arquitectura interna a un atacante
Hallazgos clasificados por riesgo con CVSS 3.1 y mapeados a MITRE ATT&CK (Initial Access, T1190 Exploit Public-Facing Application) y a los controles de ISO 27001 / NIS2 / DORA

Ejemplo de hallazgo

Crítico

Un fichero .env expuesto filtró las credenciales de la base de datos de producción

Durante el descubrimiento de la superficie de ataque externa, Sentinel recuperó un fichero .env accesible públicamente en la raíz web (https://app.example.com/.env) — dejado atrás por una configuración errónea de despliegue. El fichero contenía credenciales de base de datos de producción en vivo, un secreto de la API de pagos de un tercero y la clave de firma de JWT de la aplicación. Con la clave de firma de JWT por sí sola, un atacante puede forjar tokens de autenticación para cualquier usuario, incluidos los administradores. Esto es OWASP A05:2021 Security Misconfiguration, no requiere autenticación para explotarse y es exactamente el tipo de exposición perimetral que un pentesting externo está diseñado para detectar antes de que lo haga el crawler automatizado de un atacante.

Corrección: Rotar inmediatamente todas las credenciales divulgadas (contraseña de base de datos, secreto de la API de pagos, clave de firma de JWT) — asumir que están comprometidas. Eliminar el fichero .env del directorio servido por la web y añadir comprobaciones de despliegue que bloqueen que los dotfiles y ficheros de secretos se sirvan. Configurar el servidor web para denegar peticiones a patrones de .env, .git y ficheros de copia de seguridad. Añadir una puerta en CI y un escaneo de monitorización externa (Sentinel lo hace de forma continua) para que la re-exposición se detecte en minutos, no en meses. Sentinel vuelve a probar la ruta tras la remediación y registra la verificación como evidencia de auditoría.

Referencia: OWASP A05:2021 Security Misconfiguration · CWE-312 Cleartext Storage of Sensitive Information · MITRE ATT&CK T1552.001 Credentials in Files · ISO 27001:2022 A.8.9 Gestión de la configuración

Pentest externo: escaneo gratuito vs Matproof Sentinel vs consultoría tradicional

—	Escaneo gratuito	Matproof Sentinel	Consultoría tradicional
Motor de escaneo automatizado	✓ (vista previa 3 min)	✓ Escaneo completo	✗ Solo manual
Cobertura OWASP Top 10	Parcial	✓ Completa	✓ Completa
Evidencia proof-of-exploit	✗	✓ Por hallazgo	✓ Por hallazgo
Mapeo normativo (DORA/NIS2/ISO 27001)	✗	✓ Automatizado	✓ Manual
Informe PDF listo para auditoría	✗	✓ Inmediato	✓ Entrega 2–4 semanas
Escaneos continuos / recurrentes	✗	✓ Por despliegue	✗ Encargo anual
Tiempo hasta el primer resultado	~3 min	~30 min escaneo completo	2–4 semanas
Precio	€0	Desde €149	€8.000–€25.000
Revisión de código fuente (SAST)	✗	✓ Plan Growth	✓ En alcance
Pruebas de API (REST/GraphQL)	✗	✓ Automatizado	✓ Manual

Precios del pentesting externo

Escaneo único

€149 pago único

1 escaneo pentest completo
Hallazgos priorizados por IA con CVSS 3.1
Proof-of-exploit por hallazgo
Informe PDF listo para auditoría
Mapeo normativo (DORA, NIS2, ISO 27001)

Comprar escaneo único →

Recomendado

Starter

€299 / mes

Escaneos ilimitados (hasta 3 dominios)
Monitorización continua
Integración CI/CD (GitHub, GitLab)
Todos los mapeos normativos
Soporte prioritario

Iniciar Starter →

Growth

€799 / mes

Escaneos + dominios ilimitados
Pruebas autenticadas / White-Box
Pruebas de API e infraestructura cloud
Account manager de seguridad dedicado
SLA de respuesta en 24h

Contactar para Growth →

Preguntas frecuentes sobre el pentesting externo

¿Qué es el pentesting externo?

El pentesting externo evalúa la seguridad de sus sistemas expuestos a internet desde la perspectiva de un atacante no autenticado en la internet pública. Cubre sus aplicaciones web, APIs, pasarelas de correo y VPN, servicios expuestos, almacenamiento cloud y las configuraciones erróneas que se acumulan en el perímetro. El objetivo es encontrar —y demostrar— qué podría comprometer un atacante sin acceso previo, antes de que lo haga.

¿Cuál es la diferencia entre el pentesting externo y el interno?

Las pruebas externas parten de la internet pública sin acceso y apuntan a su perímetro. Las pruebas internas asumen que un atacante ya está dentro de la red —un empleado víctima de phishing, un portátil comprometido, un infiltrado malicioso— y miden cuánto puede moverse lateralmente y escalar privilegios desde ahí. Ambas importan: las pruebas externas reducen la probabilidad del compromiso inicial; las internas limitan el daño si el compromiso ocurre de todos modos. Consulte nuestra página de pentesting interno para la perspectiva de brecha asumida.

¿Cuánto cuesta un pentesting externo?

Los pentests de red externa de consultoría tradicional cuestan habitualmente entre 2.000 £ y 6.000 £ según el número de hosts e IPs dentro del alcance, y tardan entre 2 y 4 semanas en planificarse y entregarse. Matproof Sentinel entrega un informe de pentest externo listo para auditoría desde 149 € (escaneo único), o 299 €/mes para monitorización externa continua. Como el perímetro se deteriora constantemente, las pruebas externas continuas suelen aportar mucho más valor que una instantánea anual — consulte nuestra guía de precios del pentesting.

¿Con qué frecuencia debe hacerse el pentesting externo?

Anualmente es el suelo de cumplimiento, pero el perímetro externo cambia mucho más a menudo que una vez al año — nuevos subdominios, recursos cloud y actualizaciones de appliances aparecen cada semana. La buena práctica es una monitorización continua de la superficie de ataque externa con una prueba más profunda al menos una vez al año y tras cualquier cambio de infraestructura significativo. Las pruebas continuas son además lo que detecta la exposición «temporal» que, de otro modo, quedaría abierta durante meses.

¿Un pentesting externo satisface ISO 27001, SOC 2, NIS2 o DORA?

Las pruebas externas son un componente central de la evidencia que esos marcos esperan, pero rara vez la imagen completa. ISO 27001 A.8.8 y SOC 2 CC7.1 esperan pruebas de los sistemas expuestos a internet más un proceso de remediación documentado; NIS2 Art. 21 y DORA Art. 24 esperan pruebas técnicas regulares de los sistemas críticos. El informe de pentest externo de Sentinel mapea los hallazgos directamente a estos controles, y la mayoría de las organizaciones combinan las pruebas externas con pruebas de aplicación web y (cuando procede) internas para una cobertura completa.

Temas relacionados

Profundiza — artículos relacionados del blog

Mapee y pruebe su superficie de ataque externa

Ejecute ahora un escaneo gratuito de superficie de ataque externa de 3 minutos, o consiga un informe completo de pentest externo — proof-of-exploit por hallazgo, mapeado a ISO 27001, SOC 2, NIS2 y DORA — desde 149 €.

Escanear el exterior gratis