Preguntar por el costo de un pentest en México es normal. El problema es que una respuesta seria casi nunca cabe en una cifra suelta. El precio cambia según alcance, activos, profundidad, accesos, ventanas, evidencia, reporte y si habrá revalidación.

Un pentest no debería cotizarse como una revisión genérica. Debe responder qué se va a probar, bajo qué reglas, con qué límite operativo y qué entregable necesita tu equipo para corregir.

Esta guía explica qué variables cambian la cotización para que puedas comparar propuestas sin caer en precios artificialmente bajos o alcances demasiado ambiguos.

Especialista revisando evidencia técnica y alcance de un pentest empresarial

1. El alcance es la variable principal

El alcance define qué entra y qué queda fuera. Mientras más activos, roles, ambientes e integraciones incluya la prueba, más tiempo se requiere para revisar con profundidad.

Un alcance puede incluir:

  • una aplicación web pública;
  • varias aplicaciones internas;
  • APIs;
  • infraestructura expuesta;
  • nube;
  • cuentas autenticadas por rol;
  • flujos de negocio críticos;
  • revisión posterior de remediaciones.

No es lo mismo probar una aplicación pequeña con pocos flujos que revisar un entorno con portales, APIs, paneles administrativos, usuarios con permisos distintos y dependencias de terceros.

2. La profundidad técnica cambia el esfuerzo

Hay trabajos que se parecen a un escaneo de exposición. Otros requieren validación manual, pruebas autenticadas, revisión de lógica de negocio, análisis de configuración y documentación detallada.

La profundidad puede aumentar cuando:

  • hay muchos roles de usuario;
  • existen flujos sensibles como pagos, expedientes, órdenes o aprobaciones;
  • se requiere validar impacto sin afectar producción;
  • hay APIs con reglas complejas;
  • la aplicación tiene integraciones externas;
  • se necesita separar falso positivo de riesgo explotable.

Por eso conviene distinguir entre pentest y evaluación de vulnerabilidades antes de comparar costos.

3. Las pruebas autenticadas suelen aportar más valor

Un pentest sin credenciales revisa lo que ve un visitante externo. Eso puede ser útil para superficie pública, pero deja fuera problemas internos de autorización, permisos, sesiones y lógica de negocio.

Las pruebas autenticadas requieren preparar:

  • usuarios de prueba;
  • roles distintos;
  • datos ficticios;
  • MFA si forma parte del flujo real;
  • restricciones de acceso;
  • documentación mínima de endpoints o procesos críticos.

Ese trabajo puede aumentar coordinación, pero también mejora el valor del resultado. Muchas fallas importantes aparecen cuando un usuario legítimo intenta hacer más de lo que debería.

4. Producción, QA o ambiente controlado

El ambiente también cambia la cotización. Probar producción exige más cuidado: ventanas, contactos, criterios de pausa, restricciones de volumen y comunicación rápida ante hallazgos críticos.

Un ambiente de QA permite probar con menos riesgo, pero solo sirve si se parece lo suficiente a producción. Si QA tiene permisos, configuraciones o datos muy distintos, los resultados pueden perder utilidad.

Antes de cotizar, define:

  • qué ambiente se probará;
  • qué horarios están permitidos;
  • qué acciones están prohibidas;
  • qué sistemas requieren aviso previo;
  • quién puede pausar la prueba;
  • cómo se reportan hallazgos críticos.

5. El entregable también tiene costo

Un reporte útil toma tiempo. No basta con capturas o una lista automática de vulnerabilidades.

Un buen entregable debe incluir:

  • resumen ejecutivo;
  • alcance probado;
  • metodología general;
  • hallazgos con evidencia;
  • impacto probable;
  • severidad justificada;
  • pasos de reproducción cuando aplica;
  • recomendación técnica;
  • prioridad de remediación;
  • sesión de cierre.

Si una propuesta parece barata, revisa qué tan claro será el reporte. Un documento pobre puede terminar costando más porque el equipo no sabrá qué corregir primero.

6. La revalidación debe discutirse desde el inicio

Después del reporte viene el trabajo real: remediar. La revalidación confirma si los hallazgos corregidos ya no se reproducen y si el cambio no abrió un problema nuevo.

Puede cotizarse como:

  • revisión incluida para hallazgos específicos;
  • bolsa de horas posterior;
  • fase separada;
  • nuevo ciclo de prueba si el cambio fue grande.

No siempre se necesita revalidar todo. Pero para hallazgos críticos o sistemas expuestos, conviene planearla antes de iniciar.

7. Señales de una cotización incompleta

Ten cuidado si una propuesta:

  • no define activos dentro de alcance;
  • no pregunta por accesos o roles;
  • no aclara ventanas de prueba;
  • promete resultados garantizados;
  • no distingue escaneo de pentest;
  • no menciona evidencia ni severidad;
  • no incluye sesión de cierre;
  • no explica si habrá revalidación;
  • no define responsabilidades del cliente.

Una cotización incompleta puede parecer atractiva, pero deja demasiadas decisiones para cuando la prueba ya empezó.

8. Cómo preparar información para cotizar mejor

Entre más claro esté el contexto, más precisa será la propuesta. Antes de pedir costo, prepara:

  • objetivo del pentest;
  • activos y URLs;
  • tecnologías principales;
  • ambientes permitidos;
  • número de roles o perfiles;
  • fechas o ventanas deseadas;
  • restricciones operativas;
  • necesidad de reporte ejecutivo, técnico o ambos;
  • expectativa de revalidación.

También puedes usar una checklist para contratar un pentest en México antes de solicitar propuesta.

9. Cuándo conviene empezar con diagnóstico

Si todavía no tienes inventario, alcance claro o responsables de remediación, quizá no conviene iniciar directo con un pentest amplio. Primero puede ser mejor hacer un diagnóstico de exposición, revisar configuraciones críticas o priorizar activos.

Esto ayuda a evitar pagar una prueba sobre un alcance mal definido. El pentest aporta más cuando ya sabes qué quieres validar y quién podrá corregir.

Cómo puede ayudarte Syscore

Syscore ayuda a definir alcance, ejecutar pentest en México, documentar evidencia, priorizar remediación y validar correcciones. Antes de cotizar, revisamos activos, objetivos, restricciones y entregables para que la propuesta tenga límites claros.

Si necesitas comparar opciones, también puedes revisar cómo elegir una empresa de ciberseguridad en México, cómo preparar una auditoría de ciberseguridad en México y el servicio de pruebas de penetración.

Preguntas frecuentes

¿Por qué no publicar una lista fija de precios?

Porque el alcance cambia mucho. Una aplicación pequeña, una infraestructura expuesta y una revisión con múltiples roles no requieren el mismo esfuerzo ni generan el mismo entregable.

¿Un pentest barato puede ser suficiente?

Puede servir si el alcance es muy acotado y el objetivo está claro. Pero si solo incluye un escaneo automático o no entrega evidencia útil, puede dejar riesgos importantes sin revisar.

¿La revalidación siempre debe incluirse?

No siempre. Pero para hallazgos críticos, aplicaciones expuestas o sistemas que manejan información sensible, conviene planear una revisión posterior.

¿Qué necesito para pedir una propuesta?

Objetivo, activos, ambientes, roles, restricciones, ventanas, contactos y tipo de entregable esperado. Con esa información se puede estimar mejor el esfuerzo.

Enlaces útiles