Pentesting de Red: Infraestructura Externa e Interna
El pentesting de red evalúa la infraestructura que hay bajo sus aplicaciones — los servicios expuestos, los appliances de borde, la segmentación y las rutas de privilegio que un atacante usa para conseguir un punto de apoyo y moverse por su entorno. Matproof Sentinel mapea su superficie de ataque de red, la prueba tanto desde el perímetro externo como desde una posición interna de brecha asumida, y demuestra qué debilidades son genuinamente explotables. Obtiene un informe listo para auditoría mapeado a ISO 27001, NIS2 y DORA. Escaneo gratuito de 3 minutos, informe completo desde 149 €.
Por qué las pruebas a nivel de red siguen importando en un mundo cloud-first
Incluso las organizaciones cloud-native funcionan sobre redes: VPC y grupos de seguridad, pasarelas VPN y de identidad, servicios internos que confían implícitamente entre sí, y las interfaces de gestión que se acumulan silenciosamente en los bordes. El pentesting de red responde a dos preguntas que las aplicaciones no pueden: qué puede alcanzar y explotar un atacante en la capa de infraestructura desde fuera, y hasta dónde puede moverse una vez dentro. La dimensión externa encuentra servicios expuestos, appliances de borde vulnerables (la causa recurrente de brechas de gran repercusión) y controles de red cloud mal configurados. La dimensión interna asume que ya ha ocurrido una brecha —una credencial robada por phishing, un host comprometido— y mide el movimiento lateral, la escalada de privilegios y si su segmentación contiene realmente a un intruso o solo lo parece en un diagrama. NIS2 Art. 21 y DORA Art. 24 esperan ambas pruebas técnicas a nivel de infraestructura, y las aseguradoras de ciberriesgo exigen cada vez más evidencia de que la segmentación y el acceso privilegiado se han probado, no solo diseñado.
- Los appliances de borde (VPN, firewall, transferencia de archivos, correo) siguen siendo un vector de acceso inicial de primer orden — los RCE de CVE conocidos se armamentizan en días; las pruebas de red confirman si los suyos son accesibles y explotables.
- La segmentación de red suele ser aspiracional: una prueba desde una posición de brecha asumida revela si un host comprometido puede alcanzar realmente sus sistemas joya o está genuinamente contenido.
- La escalada de privilegios y el movimiento lateral —cuentas de servicio débiles, credenciales reutilizadas, confianza demasiado permisiva entre servicios internos— convierten un único punto de apoyo en un compromiso total.
- Los controles de red cloud se deterioran: grupos de seguridad demasiado amplios, puertos de gestión expuestos y rutas de peering olvidadas son comunes y son exactamente lo que las pruebas de infraestructura sacan a la luz.
- NIS2 Art. 21, DORA Art. 24 e ISO 27001:2022 A.8.20–A.8.22 (seguridad de red y segregación) esperan controles de red probados — no meramente documentados.
Qué prueba Matproof en un pentesting de red
- Exposición de servicios externos: puertos abiertos, interfaces de gestión, bases de datos accesibles desde internet, exposición de RDP/SSH, credenciales por defecto/débiles
- Vulnerabilidades de appliances de borde: dispositivos VPN, firewall y de transferencia de archivos identificados y comprobados frente a CVE conocidos de RCE y evasión de autenticación
- Configuración de red cloud: grupos de seguridad/NSG demasiado permisivos, servicios de metadatos expuestos, peering y enrutamiento mal configurados, almacenamiento público
- Validación de la segmentación (brecha asumida): desde un punto de apoyo, qué otros segmentos de red y sistemas pueden alcanzarse realmente
- Movimiento lateral: reutilización de credenciales, cuentas de servicio expuestas, debilidades de SMB/LDAP/Kerberos, exposición a pass-the-hash donde proceda
- Rutas de escalada de privilegios de acceso estándar a administrativo en los hosts y servicios accesibles
- Endurecimiento de TLS y de protocolos (RFC 8446), cifrados débiles y protocolos heredados expuestos
- Cobertura de detección: qué acciones de prueba generarían (o no) alertas, mapeadas a MITRE ATT&CK para su SOC
- Hallazgos clasificados por riesgo con CVSS 3.1 y mapeados a ISO 27001 A.8.20–A.8.22, NIS2 Art. 21 y DORA Art. 24 para evidencia lista para auditoría
Ejemplo de hallazgo
Una red plana permitió que un punto de apoyo de bajo privilegio alcanzara la base de datos de producción
Desde una posición de brecha asumida en el segmento de estaciones de trabajo de desarrollo, Sentinel alcanzó directamente el servidor de la base de datos de producción en el puerto 5432 — la segmentación que se suponía debía aislar producción de la red corporativa/de desarrollo no estaba realmente aplicada en la capa de red. Combinado con una cuenta de servicio cuyas credenciales se reutilizaban de un sistema de staging, esto proporcionó una ruta directa desde un único portátil víctima de phishing hasta el almacén de datos de producción. La segmentación de red que existe en el diagrama de arquitectura pero no en las reglas del firewall es uno de los hallazgos más comunes y dañinos en las pruebas de red interna.
Corrección: Aplicar la segmentación en la capa de red: los sistemas de datos de producción deben ser accesibles únicamente desde subredes de aplicación explícitamente autorizadas, nunca desde segmentos corporativos o de desarrollo — verificarlo con reglas de denegación por defecto, no con listas de permitidos que se han deteriorado. Rotar y singularizar las credenciales reutilizadas de la cuenta de servicio, y migrar a credenciales de corta duración y con alcance acotado siempre que sea posible. Volver a probar la segmentación desde cada segmento de origen para confirmar la contención. Sentinel registra la accesibilidad antes/después en el informe como evidencia para ISO 27001 A.8.22 y los requisitos de pruebas de DORA.
Referencia: CWE-923 Improper Restriction of Communication Channel · ISO 27001:2022 A.8.22 Segregación de redes · MITRE ATT&CK TA0008 Lateral Movement · NIS2 Art. 21 medidas técnicas
Pentest de red: escaneo gratuito vs Matproof Sentinel vs consultoría tradicional
| — | Escaneo gratuito | Matproof Sentinel | Consultoría tradicional |
|---|---|---|---|
| Motor de escaneo automatizado | ✓ (vista previa 3 min) | ✓ Escaneo completo | ✗ Solo manual |
| Cobertura OWASP Top 10 | Parcial | ✓ Completa | ✓ Completa |
| Evidencia proof-of-exploit | ✗ | ✓ Por hallazgo | ✓ Por hallazgo |
| Mapeo normativo (DORA/NIS2/ISO 27001) | ✗ | ✓ Automatizado | ✓ Manual |
| Informe PDF listo para auditoría | ✗ | ✓ Inmediato | ✓ Entrega 2–4 semanas |
| Escaneos continuos / recurrentes | ✗ | ✓ Por despliegue | ✗ Encargo anual |
| Tiempo hasta el primer resultado | ~3 min | ~30 min escaneo completo | 2–4 semanas |
| Precio | €0 | Desde €149 | €8.000–€25.000 |
| Revisión de código fuente (SAST) | ✗ | ✓ Plan Growth | ✓ En alcance |
| Pruebas de API (REST/GraphQL) | ✗ | ✓ Automatizado | ✓ Manual |
Precios del pentesting de red
- 1 escaneo pentest completo
- Hallazgos priorizados por IA con CVSS 3.1
- Proof-of-exploit por hallazgo
- Informe PDF listo para auditoría
- Mapeo normativo (DORA, NIS2, ISO 27001)
- Escaneos ilimitados (hasta 3 dominios)
- Monitorización continua
- Integración CI/CD (GitHub, GitLab)
- Todos los mapeos normativos
- Soporte prioritario
- Escaneos + dominios ilimitados
- Pruebas autenticadas / White-Box
- Pruebas de API e infraestructura cloud
- Account manager de seguridad dedicado
- SLA de respuesta en 24h
Preguntas frecuentes sobre el pentesting de red
¿Qué es el pentesting de red?
El pentesting de red evalúa su infraestructura —servicios expuestos, appliances de borde, configuración de red cloud, segmentación y rutas de privilegio— en lugar de la lógica de aplicación que se ejecuta encima. Suele dividirse en una fase externa (qué puede alcanzar y explotar un atacante desde internet) y una fase interna (hasta dónde puede moverse un atacante una vez dentro).
¿Sigue siendo relevante el pentesting de red si estamos totalmente en la nube?
Sí. Los entornos cloud siguen siendo redes: las VPC, los grupos de seguridad, las pasarelas VPN y de identidad y las relaciones de confianza entre servicios internos tienen todas superficie de ataque a nivel de red. Los grupos de seguridad demasiado permisivos, los servicios de metadatos expuestos y el peering mal configurado son hallazgos comunes en redes cloud, y la segmentación entre cargas de trabajo sigue necesitando probarse en lugar de asumirse.
¿Cuál es la diferencia entre pruebas de red, externas e internas?
El pentesting de red es la capa de infraestructura; abarca tanto la perspectiva externa (perímetro) como la interna (brecha asumida). Nuestra página de pentesting externo se centra específicamente en el perímetro expuesto a internet, y nuestra página de pentesting interno se centra en el movimiento lateral y la escalada de privilegios una vez que el atacante está dentro. Muchas organizaciones definen el alcance de una prueba de red para incluir ambas.
¿Cuánto cuesta un pentesting de red?
Los pentests de red de consultoría tradicional varían mucho con el número de hosts e IPs en el alcance — aproximadamente entre 2.000 £ y 6.000 £ para una prueba de red externa focalizada, y más para grandes infraestructuras internas — a lo largo de 2-4 semanas. Matproof Sentinel entrega pruebas de red externa continuas y un informe listo para auditoría desde 149 € (escaneo único) o 299 €/mes; los proyectos de segmentación interna complejos se definen en el plan Growth.
Profundiza — artículos relacionados del blog
Pruebe su red desde el perímetro y desde dentro
Ejecute ahora un escaneo externo gratuito de 3 minutos, o consiga un informe completo de pentest de red — servicios expuestos, segmentación y rutas de privilegio, proof-of-exploit por hallazgo, mapeado a ISO 27001, NIS2 y DORA — desde 149 €.
Escanear red gratis