Un cliente pregunta por qué debería pagar por una pentest si ya ejecuta escaneos de vulnerabilidades. ¿Cómo respondes?
Respuesta breve
Un escaneo de vulnerabilidades es un inventario automatizado y en amplitud de debilidades potenciales, a menudo con falsos positivos. Una prueba de penetración la dirige un humano: valida los hallazgos, los encadena y demuestra un impacto de negocio real mediante una explotación efectiva.
Esta es una de las preguntas de entrevista y de venta más comunes, porque los clientes confunden genuinamente las dos. La respuesta honesta respeta lo que los escáneres hacen bien mientras explica lo que solo aporta un tester humano.
Escaneo de vulnerabilidades
Un escaneo de vulnerabilidades usa herramientas automatizadas (Nessus, OpenVAS, Qualys) para sondear sistemas y comparar lo que encuentran con una base de datos de problemas conocidos. Es:
- Amplio y rápido — puede evaluar miles de hosts en una noche.
- Repetible — ideal para una cobertura continua y programada.
- Superficial — reporta vulnerabilidades potenciales basándose en banners de versión y firmas, lo que implica falsos positivos y falsos negativos, y generalmente no explota nada ni entiende el contexto de negocio.
Prueba de penetración
Una prueba de penetración la dirige un humano. Un tester toma los hallazgos en bruto (a menudo incluyendo la salida del escáner) y:
- Los valida — confirmando que una CVE marcada es realmente explotable en este entorno, eliminando falsos positivos.
- Los encadena — una fuga de información de baja severidad más una credencial por defecto más un SSRF pueden combinarse en un compromiso total que ningún escaneo aislado señala.
- Demuestra el impacto — en lugar de «el puerto 445 podría ser vulnerable», muestra «alcanzamos el controlador de dominio y volcamos credenciales», que es lo que ejecutivos y auditores realmente necesitan para priorizar.
El encuadre correcto para el cliente
El escaneo responde a «¿qué podría estar mal?» y debería ejecutarse de forma continua. Una pentest responde a «¿qué puede lograr realmente un atacante, y cómo de grave es?». Son complementarios, no competidores — un programa maduro hace ambos.
Qué buscan los entrevistadores
Que no desprecies los escáneres, que sepas articular la validación, el encadenamiento y el impacto de negocio como el valor añadido humano, y que orientarías a un cliente hacia la opción más barata cuando realmente se ajuste a su necesidad.
Posibles preguntas de seguimiento
- ¿Cómo manejas los falsos positivos de un escáner durante un compromiso?
- ¿Cuándo es un escaneo de vulnerabilidades realmente el entregable correcto para un cliente?
- ¿Qué significa «encadenar» hallazgos de baja severidad hasta un impacto alto?