Pentesting con impacto de negocio

El valor del pentesting no está en acumular hallazgos, sino en demostrar cadenas de riesgo comprensibles para el negocio. Un test que produce 200 vulnerabilidades sin contexto de impacto real no ayuda a tomar decisiones: paraliza.

El informe debe diferenciar entre debilidades cosméticas y vectores que realmente pueden afectar continuidad, fraude o exposición de datos. Una vulnerabilidad con CVSS 9.8 en un servidor de desarrollo sin acceso a producción no tiene el mismo peso que un fallo medio en el sistema de autenticación del ERP.

• Clasificación por impacto de negocio real, no solo por severidad técnica CVSS
• Cadenas de ataque demostradas: cómo se enlazarían vulnerabilidades para conseguir un objetivo
• Diferenciación entre riesgo inmediato y riesgo latente
• Hallazgos separados por sistema, equipo responsable y ventana de remediación
• Sección ejecutiva de máximo dos páginas con los tres o cuatro riesgos prioritarios

También es clave convertir el resultado en un backlog ejecutable. Sin responsables, evidencias y seguimiento, el test se convierte en una fotografía que envejece rápido. La mayoría de pentests que revisamos tienen hallazgos de versiones anteriores del mismo test que siguen abiertos meses después, porque nunca se asignaron correctamente.

• Cada hallazgo tiene un responsable de remediación y una fecha objetivo
• Las evidencias (capturas, logs, pruebas de concepto) están adjuntas al hallazgo
• Hay un proceso de verificación una vez remediado cada punto
• Seguridad y operación comparten el mismo backlog, no informes separados
• Existe una reunión de seguimiento a 30 y 90 días tras la entrega del informe

Un buen pentest cuesta entre 3.000 y 15.000 euros dependiendo del alcance. Un incidente derivado de no actuar sobre sus hallazgos puede costar 10 veces más. La diferencia no está en el test; está en qué se hace con el resultado.