ISO 27001 Pentest España: Control A.8.29 y Programa de Pruebas de Seguridad para la Certificación

La norma UNE-EN-ISO/IEC 27001:2022 (publicada en 2022 y adoptada en España como norma UNE por AENOR) es el estándar internacional de referencia para los Sistemas de Gestión de la Seguridad de la Información (SGSI). El Anexo A de la norma ISO 27001:2022 incluye 93 controles de seguridad organizados en cuatro categorías — Organizacionales, Personas, Físicos y Tecnológicos. El Control A.8.29 («Pruebas de seguridad en el desarrollo y la aceptación») establece la necesidad de realizar pruebas de seguridad durante el ciclo de desarrollo del software y antes de la aceptación de sistemas de información. Complementariamente, el Control A.8.8 («Gestión de vulnerabilidades técnicas») requiere la gestión activa de vulnerabilidades en los sistemas de información. En España, las organizaciones que buscan la certificación ISO 27001:2022 son auditadas por organismos de certificación acreditados por ENAC (Entidad Nacional de Acreditación). Esta guía explica cómo los controles A.8.29 y A.8.8 se implementan mediante pruebas de penetración y qué documentación exigen los auditores.

Iniciar el pentest ISO 27001

Escrito por Malte Wagenbach

Fundador de Matproof Security. Especializado en pruebas de penetración impulsadas por IA y cumplimiento UE (DORA, NIS2, ENS, ISO 27001).

Última revisión: 17 de mayo de 2026

Por qué ISO 27001:2022 requiere pruebas de penetración para la certificación

ISO 27001:2022 es una norma de gestión de riesgos — su filosofía central es que las organizaciones identifiquen sus riesgos de seguridad de la información y apliquen controles apropiados para mitigarlos. Los controles del Anexo A son la «lista de referencia» de controles que las organizaciones deben considerar en función de su evaluación de riesgos. El Control A.8.29 de ISO 27001:2022 («Pruebas de seguridad en el desarrollo y la aceptación») ha evolucionado respecto a la versión anterior (ISO 27001:2013, Control A.14.2.8 «Pruebas de seguridad del sistema»): ahora cubre explícitamente las pruebas de seguridad en el entorno de desarrollo, las pruebas de integración y las pruebas de aceptación de sistemas. En la práctica, los auditores de organismos de certificación como Bureau Veritas, Lloyd's Register, TÜV Rheinland, SGS o DNV acreditados por ENAC solicitan evidencia de las pruebas de seguridad realizadas como parte del proceso de certificación. La ausencia de pruebas de penetración documentadas — especialmente para sistemas con datos sensibles — es una no conformidad menor o mayor dependiendo del contexto. El Control A.8.8 («Gestión de vulnerabilidades técnicas») es complementario: requiere que la organización obtenga información sobre vulnerabilidades técnicas de sus sistemas e implemente medidas para gestionarlas — las pruebas de penetración son el mecanismo más completo para identificar vulnerabilidades explotables en contexto real.

ISO 27001:2022 Control A.8.29 («Pruebas de seguridad en el desarrollo y la aceptación»): las pruebas de seguridad deben integrarse en el ciclo de vida del desarrollo seguro del software — pruebas de penetración, revisiones de código, análisis de composición de software (SCA) son los métodos reconocidos.
ISO 27001:2022 Control A.8.8 («Gestión de vulnerabilidades técnicas»): la organización debe obtener información oportuna sobre vulnerabilidades técnicas, evaluar su exposición y adoptar medidas apropiadas — las pruebas de penetración son el método estándar para evaluar la explotabilidad real de las vulnerabilidades identificadas.
Proceso de declaración de aplicabilidad (SoA): al excluir o incluir controles del Anexo A en el SoA, las organizaciones deben justificar sus decisiones de tratamiento de riesgo — la exclusión del Control A.8.29 sin justificación de riesgo adecuada es una no conformidad significativa ante los auditores.
Auditorías de certificación ENAC: los organismos de certificación ISO 27001 acreditados por ENAC en España (Bureau Veritas, Lloyd's Register, TÜV Rheinland, SGS, DNV, AENOR) verifican la implementación efectiva de los controles del Anexo A — solicitan evidencia de pruebas de penetración como parte del proceso de certificación.
ISO 27001:2022 vs 2013: la versión 2022 ha reorganizado los controles de seguridad (de 114 en 14 cláusulas a 93 en 4 categorías) e introduce nuevos controles relevantes para pruebas de seguridad — A.8.25 (Ciclo de vida de desarrollo seguro), A.8.26 (Requisitos de seguridad de aplicaciones), A.8.28 (Programación segura).
Integración con otras normativas: ISO 27001 es la base del ENS (Esquema Nacional de Seguridad), el marco de referencia de la Directiva NIS2, y el estándar de seguridad complementario de DORA para las entidades no financieras — una certificación ISO 27001 facilita el cumplimiento simultáneo de múltiples marcos normativos.
Mantenimiento de la certificación (auditorías de seguimiento): la certificación ISO 27001 debe mantenerse mediante auditorías de seguimiento anuales y recertificación cada tres años — las pruebas de penetración deben realizarse regularmente para mantener la evidencia actualizada.

Qué debe cubrir una prueba de penetración conforme a ISO 27001:2022

Aplicaciones de procesamiento de datos críticos (A.8.29): sistemas que procesan los activos de información de mayor valor según la evaluación de riesgos ISO 27001 — bases de datos de clientes, sistemas ERP, aplicaciones financieras, portales de empleados con acceso a datos de RR.HH.
Ciclo de vida de desarrollo seguro (A.8.25): pruebas de penetración de aplicaciones en entorno de pre-producción antes de la puesta en producción — verificación de que los controles de seguridad implementados durante el desarrollo son efectivos en producción.
Gestión de vulnerabilidades técnicas (A.8.8): verificación de la exposición real a CVE conocidos en los sistemas de información — CVE-2023-44487 (HTTP/2 Rapid Reset DDoS), CVE-2021-44228 (Log4Shell), CVE-2022-0778 (bucle infinito OpenSSL) — priorización de remediación basada en explotabilidad real.
Control de accesos (A.8.2, A.8.3): prueba de los controles de autenticación y autorización — autenticación multifactor, gestión de contraseñas, control de accesos privilegiados (PAM), separación de funciones (SoD), CVE-2021-42278 (noPac samAccountName spoofing).
Seguridad de las comunicaciones (A.8.20-A.8.22): cifrado de datos en tránsito, configuración de TLS, seguridad de redes inalámbricas, segmentación de red — verificación de suites de cifrado conforme a CCN-STIC-807 y recomendaciones NIST SP 800-52r2.
Seguridad en la nube (A.5.23 «Seguridad del uso de servicios cloud»): evaluación de la configuración de seguridad de los servicios cloud utilizados — IAM, cifrado en reposo, segmentación de red virtual, monitorización de seguridad, cumplimiento del modelo de responsabilidad compartida.
Seguridad física y del entorno (A.7.1-A.7.14): verificación de que los controles físicos de acceso a los centros de procesamiento de datos son efectivos — donde sea aplicable, prueba de técnicas de ingeniería social para acceso físico no autorizado.
Gestión de incidentes de seguridad (A.5.25-A.5.28): verificación de que las actividades de ataque simuladas generan alertas y son correctamente gestionadas — cobertura del SIEM/SOAR, tiempos de respuesta, procedimientos de escalado.
Continuidad del negocio (A.5.29-A.5.30): prueba de la capacidad de los atacantes para comprometer los mecanismos de continuidad del negocio — sistemas de backup, procesos de recuperación ante desastres, verificación de RTO/RPO ante escenarios de ransomware.
Seguridad de la cadena de suministro (A.5.19-A.5.22): evaluación del riesgo de los proveedores tecnológicos críticos — revisión de certificaciones de seguridad de proveedores, análisis de CVE en componentes de terceros, verificación de cláusulas de seguridad en contratos.

Ejemplo de hallazgo

Alto

Exposición de credenciales de Active Directory en repositorio de código fuente interno

Durante la revisión del repositorio de código fuente interno (GitLab), se identificaron credenciales de cuentas de servicio de Active Directory (usuario y contraseña en texto claro) en archivos de configuración de aplicaciones comprometidos al repositorio. Las credenciales pertenecen a tres cuentas de servicio utilizadas por aplicaciones de procesamiento de pedidos con permisos de lectura y escritura en el sistema ERP. Un atacante con acceso de lectura al repositorio (incluyendo contratistas externos con acceso de desarrollador) puede obtener estas credenciales y autenticarse en el sistema ERP. El repositorio tiene 47 usuarios con acceso de lectura, incluyendo 12 contratistas externos. CVE-2021-42278 / CVE-2021-42287 (noPac, escalada de privilegios en Active Directory) ilustra el impacto potencial de la explotación de cuentas de servicio comprometidas en entornos Active Directory.

Corrección: Revocar y rotar inmediatamente las credenciales de las tres cuentas de servicio comprometidas. Eliminar las credenciales del historial de Git (utilizar git filter-branch o BFG Repo-Cleaner para eliminar el historial de commits afectados). Implementar detección de secretos en el pipeline CI/CD (herramientas como GitLeaks, TruffleHog) para prevenir compromisos futuros de credenciales. Migrar a gestión de secretos centralizada (HashiCorp Vault, Azure Key Vault, AWS Secrets Manager) — nunca almacenar credenciales en archivos de configuración en repositorios. Revisar todos los repositorios del organismo para detectar instancias adicionales de credenciales expuestas. Documentar las medidas como evidencia del Control A.8.29 y A.8.8 para la próxima auditoría ISO 27001.

Referencia: CVE-2021-42278 / CVE-2021-42287 (noPac AD privilege escalation) · OWASP A02:2021 Cryptographic Failures · CWE-312 Cleartext Storage of Sensitive Information · ISO 27001:2022 Control A.8.10 (Eliminación de información) · ISO 27001:2022 Control A.8.29 (Pruebas de seguridad) · ISO 27001:2022 Control A.5.14 (Transferencia de información)

Pentest ISO 27001: comparación de opciones

—	Escaneo gratuito	Matproof Sentinel	Consultoría tradicional
Motor de escaneo automatizado	✓ (vista previa 3 min)	✓ Escaneo completo	✗ Solo manual
Cobertura OWASP Top 10	Parcial	✓ Completa	✓ Completa
Evidencia proof-of-exploit	✗	✓ Por hallazgo	✓ Por hallazgo
Mapeo normativo (DORA/NIS2/ISO 27001)	✗	✓ Automatizado	✓ Manual
Informe PDF listo para auditoría	✗	✓ Inmediato	✓ Entrega 2–4 semanas
Escaneos continuos / recurrentes	✗	✓ Por despliegue	✗ Encargo anual
Tiempo hasta el primer resultado	~3 min	~30 min escaneo completo	2–4 semanas
Precio	€0	Desde €149	€8.000–€25.000
Revisión de código fuente (SAST)	✗	✓ Plan Growth	✓ En alcance
Pruebas de API (REST/GraphQL)	✗	✓ Automatizado	✓ Manual

Ofertas de pentest para la certificación ISO 27001

Escaneo único

€149 pago único

1 escaneo pentest completo
Hallazgos priorizados por IA con CVSS 3.1
Proof-of-exploit por hallazgo
Informe PDF listo para auditoría
Mapeo normativo (DORA, NIS2, ISO 27001)

Comprar escaneo único →

Recomendado

Starter

€299 / mes

Escaneos ilimitados (hasta 3 dominios)
Monitorización continua
Integración CI/CD (GitHub, GitLab)
Todos los mapeos normativos
Soporte prioritario

Iniciar Starter →

Growth

€799 / mes

Escaneos + dominios ilimitados
Pruebas autenticadas / White-Box
Pruebas de API e infraestructura cloud
Account manager de seguridad dedicado
SLA de respuesta en 24h

Contactar para Growth →

Preguntas frecuentes sobre las pruebas de penetración ISO 27001 en España

¿La ISO 27001 obliga a realizar pruebas de penetración?

ISO 27001:2022 no prescribe explícitamente las pruebas de penetración como un control obligatorio — el estándar adopta un enfoque basado en riesgos en el que cada organización determina qué controles son aplicables en función de su evaluación de riesgos. Sin embargo, el Control A.8.29 («Pruebas de seguridad en el desarrollo y la aceptación») y el Control A.8.8 («Gestión de vulnerabilidades técnicas») apuntan directamente a las pruebas de penetración como métodos reconocidos. En la práctica, los auditores de organismos de certificación acreditados por ENAC consideran la ausencia de pruebas de penetración para sistemas que procesan datos críticos como una no conformidad — especialmente cuando la evaluación de riesgos identifica amenazas de ataques técnicos como riesgos relevantes.

¿Qué organismos de certificación ISO 27001 están acreditados por ENAC en España?

ENAC (Entidad Nacional de Acreditación) acredita en España a los organismos de certificación para la norma ISO 27001. Los principales organismos de certificación acreditados por ENAC para ISO 27001 en España incluyen: AENOR (Asociación Española de Normalización y Certificación), Bureau Veritas Certification, Lloyd's Register Quality Assurance, TÜV Rheinland Iberica, SGS ICS Ibérica, DNV GL Business Assurance y Applus+ Certification. La acreditación de ENAC garantiza la competencia del organismo de certificación y el reconocimiento internacional de los certificados emitidos a través de los acuerdos de reconocimiento mutuo de EA (European co-operation for Accreditation).

¿Con qué frecuencia deben realizarse las pruebas de penetración para mantener la certificación ISO 27001?

ISO 27001:2022 no prescribe una frecuencia fija — la frecuencia de las pruebas de penetración debe determinarse mediante la evaluación de riesgos de la organización (Cláusula 6.1). La práctica estándar del sector y las expectativas de los organismos de certificación son: prueba de penetración anual para los sistemas que procesan datos críticos, prueba de penetración después de cambios arquitectónicos significativos o incidentes de seguridad relevantes, y monitorización continua de vulnerabilidades entre ciclos de pentest. Para organizaciones certificadas bajo ISO 27001 que también están sujetas a DORA o NIS2, la frecuencia mínima es la establecida por esas normativas sectoriales.

¿Cómo se relaciona ISO 27001:2022 con el ENS y NIS2 en España?

ISO 27001:2022 es la base del ENS (Real Decreto 311/2022) — el ENS toma ISO 27001:2022 y el Anexo A de ISO 27002:2022 como referencia principal y añade controles adicionales específicos para el contexto de la Administración Pública española. Una organización certificada ISO 27001:2022 tiene una base sólida para la certificación ENS, aunque no son equivalentes (el ENS añade controles adicionales y requisitos específicos de auditoría). Para NIS2, la Directiva reconoce ISO 27001 como marco de referencia para las medidas de seguridad del Art. 21 — una certificación ISO 27001 es evidencia relevante (aunque no suficiente por sí sola) de cumplimiento NIS2.

¿Qué diferencia hay entre el Control A.8.29 de ISO 27001:2022 y el A.14.2.8 de la versión 2013?

ISO 27001:2022 ha reorganizado y actualizado los controles de seguridad. El Control A.8.29 de la versión 2022 («Pruebas de seguridad en el desarrollo y la aceptación») evoluciona del Control A.14.2.8 de la versión 2013 («Pruebas de seguridad del sistema») con las siguientes mejoras: mayor énfasis en la integración de las pruebas de seguridad en el ciclo de desarrollo (DevSecOps); cobertura explícita de APIs y microservicios, no solo aplicaciones web monolíticas; mayor énfasis en el entorno de pre-producción (pruebas antes de la puesta en producción); y mejor alineación con los controles A.8.25 (Ciclo de vida de desarrollo seguro), A.8.26 (Requisitos de seguridad de aplicaciones) y A.8.28 (Programación segura).

¿Puede una empresa pequeña española obtener la certificación ISO 27001 con Matproof Sentinel?

Sí — Matproof Sentinel está especialmente diseñado para empresas que buscan la certificación ISO 27001 sin disponer de grandes presupuestos de ciberseguridad. Los informes de Matproof Sentinel incluyen referencias explícitas a los controles ISO 27001:2022 relevantes (A.8.29, A.8.8, A.8.20), metodología documentada, clasificación de hallazgos por severidad CVSS 3.1 y estado de remediación — el nivel de evidencia que los auditores de organismos acreditados por ENAC requieren. Para certificaciones ISO 27001 de Nivel 2 o 3 (sistemas de menor criticidad), Matproof Sentinel puede ser la principal herramienta de pruebas de seguridad.

¿Cómo se gestiona la Declaración de Aplicabilidad (SoA) en relación con las pruebas de penetración?

La Declaración de Aplicabilidad (Statement of Applicability, SoA) es un documento central del SGSI ISO 27001 que especifica qué controles del Anexo A son aplicables, cuáles son excluidos y la justificación en cada caso. Para los controles A.8.29 y A.8.8, la exclusión en el SoA requiere una justificación sólida basada en la evaluación de riesgos — en la práctica, estas justificaciones son difíciles de sostener para organizaciones que procesan datos críticos. La inclusión de estos controles en el SoA implica la obligación de implementarlos efectivamente y de poder demostrarlo durante las auditorías de certificación y seguimiento.

¿Qué informes necesita conservar una organización certificada ISO 27001 sobre las pruebas de penetración?

Los auditores de certificación ISO 27001 verifican la retención de evidencias conforme a la Cláusula 7.5 («Información documentada») del estándar. Para las pruebas de penetración, las evidencias requeridas incluyen: el informe completo de prueba de penetración (metodología, perímetro, hallazgos con severidad, recomendaciones de remediación); el estado de remediación de los hallazgos identificados; los informes de retestado que confirman la remediación de hallazgos críticos; y la integración con el proceso de gestión de vulnerabilidades del SGSI. La retención recomendada es de tres años para cubrir los ciclos de recertificación.

Temas relacionados

Profundiza — artículos relacionados del blog

Inicie su pentest para la certificación ISO 27001

Obtenga en 3 minutos las evidencias de prueba de seguridad que los auditores ISO 27001 acreditados por ENAC requieren. Matproof Sentinel genera informes con referencias explícitas a los controles A.8.29 y A.8.8 de ISO 27001:2022, metodología documentada y clasificación CVSS 3.1, listos para el proceso de certificación o auditoría de seguimiento.

Iniciar el pentest ISO 27001