ofensiva
pentesting precio
coste pentesting
presupuesto auditoría seguridad

Cuánto cuesta un pentesting en España: factores y modelos

De qué depende el precio de un pentesting en España: tipo de activo, alcance, metodología, compliance, retest y señales de un coste sospechosamente bajo.

Secra17 de mayo de 202614 min de lectura

Cuando un responsable de seguridad pide presupuesto para un pentesting en España, la primera sorpresa suele ser la varianza de precio. Dos proveedores cotizan el mismo alcance con una diferencia que puede llegar al triple, y la única forma de entender por qué no es comparar la cifra final sino entender qué hay dentro de cada propuesta. La pregunta operativa no es "cuánto cuesta un pentesting", sino "qué estoy comprando exactamente y qué profundidad técnica voy a recibir por ese coste". Sin ese desglose, comparar ofertas es comparar peras y manzanas, y firmar la más barata tiene un coste oculto que aparece en el siguiente ciclo o en la primera auditoría de compliance.

Esta guía resume cómo se cotiza realmente una auditoría de seguridad ofensiva en el mercado español, qué factores tiran del presupuesto hacia arriba o hacia abajo, las señales de alerta de un coste sospechosamente bajo, cómo se reparte el esfuerzo según el tipo de activo y qué piden los marcos de compliance (NIS2, DORA, PCI DSS, ISO 27001) que conviene tener encima de la mesa antes de pedir oferta.

De qué depende realmente el precio de un pentesting

El coste de una auditoría se construye sobre cuatro variables que el proveedor serio debería poder explicar antes de cotizar:

  1. Jornadas-persona necesarias para cubrir el alcance con la profundidad pactada. Es el motor real del presupuesto. Una auditoría web de un portal corporativo estático lleva pocas jornadas; una plataforma SaaS multi-tenant con SSO, API pública, panel admin y aplicación móvil asociada lleva muchas más. Si no hay un scoping previo que aterrice ese número, la cifra final es una estimación a ciegas.
  2. Perfil técnico del equipo asignado. Una jornada de un pentester con OSCP, OSWE y 4 años de práctica vale más que la jornada de un junior recién certificado. El coste por jornada es la palanca menos obvia y la que más cambia el resultado del informe.
  3. Profundidad metodológica acordada. Una caja negra sin credenciales cubre menos superficie con las mismas jornadas que una caja gris con usuarios de prueba y documentación de arquitectura. Para presupuestos ajustados, la caja gris suele dar la mejor relación calidad-coste.
  4. Entregables incluidos. Informe técnico, informe ejecutivo, retest documentado, mapeo a controles de compliance, sesión de debrief con el equipo de desarrollo y respuesta a preguntas durante el periodo de remediation. Cuando alguno de estos entregables se cobra como extra, el presupuesto inicial parece más bajo pero el coste total cierra arriba.

Pedir al proveedor el desglose por jornadas y por persona facilita comparar ofertas. Dos propuestas con la misma cifra final pueden esconder un factor de tres en horas reales dedicadas, y eso se nota en cuántos bugs aparecen en el informe.

Modelos de cotización en el mercado español

Tres modelos conviven en propuestas que recibe un CISO en España:

Tarifa por jornada-persona

El proveedor cobra un día-persona a un precio definido y la propuesta consiste en estimar cuántas jornadas necesita el alcance acordado. Es el modelo más transparente porque permite ver claramente el peso real del esfuerzo y comparar coste por jornada entre proveedores. Habitual en boutiques especializadas.

Ventaja para el cliente: si el scoping se ajusta a la realidad, la sobrefacturación es difícil. Si aparece más alcance del previsto, se renegocia jornadas extra de forma trazable.

Precio cerrado por alcance

El proveedor entrega una cifra única por todo el proyecto, asumiendo el riesgo del scoping. Habitual en consultoras grandes, MSSP y procesos de licitación pública.

Ventaja para el cliente: certeza presupuestaria de cara al área financiera. Riesgo: si el proveedor sobrestima para cubrirse, el cliente paga jornadas que no se ejecutan. Si subestima, la auditoría pierde profundidad para encajar en el presupuesto.

Retainer anual o programa continuo

El cliente contrata un volumen anual de auditorías (típicamente reparto trimestral o semestral) y el proveedor garantiza disponibilidad de equipo. Modelo cada vez más frecuente en organizaciones con varias aplicaciones críticas o requisitos de compliance recurrentes (DORA, PCI DSS).

Ventaja: el equipo acumula contexto sobre la arquitectura y reduce la curva de aprendizaje en cada ciclo. El coste por auditoría individual baja respecto a la contratación puntual. Tiene sentido a partir de tres o cuatro proyectos al año; por debajo, la contratación puntual encaja mejor.

Por qué cada tipo de pentesting cuesta distinto

El esfuerzo unitario varía mucho según el activo. Una estimación cualitativa que el mercado español refleja con bastante consistencia:

  • Pentesting web. Coste medio bajo por endpoint, pero el alcance se dispara cuando hay múltiples roles, módulos, integraciones con terceros o lógica de negocio compleja. El driver principal es el número de funcionalidades únicas, no las páginas. Más detalle en la guía de pentesting de aplicaciones web.
  • Pentesting móvil. Suele requerir más jornadas que una web equivalente porque hay que cubrir cliente iOS, cliente Android, capa de transporte, almacenamiento local, certificate pinning y a menudo la API que da servicio a ambas. OWASP MASVS y MASTG marcan la profundidad. Detalle en pentesting de aplicaciones móviles iOS y Android.
  • Pentesting de API. Coste por endpoint individual moderado, pero las API modernas tienen decenas o cientos de endpoints con permisos diferenciados. Las pruebas de autorización a nivel de objeto (BOLA, OWASP API Top 10) consumen más tiempo del que parece. Detalle en pentesting de APIs REST y GraphQL.
  • Pentesting de infraestructura interna y externa. Externa cuesta menos por estar acotada a la superficie expuesta a Internet. La interna escala con el tamaño del Active Directory, segmentación de red, número de servidores y servicios expuestos. Una infra interna mediana con dominio Windows lleva más jornadas que la auditoría web equivalente. Detalle en pentesting de infraestructura interna y externa.
  • Pentesting cloud. El coste lo marca el número de cuentas o subscriptions, la heterogeneidad de servicios (IAM, S3, RDS, Lambda, EKS, etc.) y la complejidad de la red virtual. Más detalle en pentesting cloud AWS, Azure y GCP.
  • Pentesting IoT/OT. El esfuerzo es alto por dispositivo si se incluye análisis de firmware, protocolos industriales (Modbus, DNP3, BACnet) y hardware. Suele ser el tipo de auditoría con coste más elevado por unidad de alcance.
  • Red team. Operación de varias semanas que combina OSINT, intrusión inicial, post-explotación y movimiento lateral hasta objetivos pactados. El coste agregado es alto pero el alcance es la organización entera, no una aplicación, y los hallazgos son de naturaleza distinta a un pentesting tradicional. Más en la guía de qué es un Red Team.

Comparar el precio absoluto entre tipos distintos no aporta información. Lo útil es comparar coste por jornada y duración propuesta para alcances equivalentes dentro del mismo tipo.

Factores que disparan el coste

Cinco variables que mueven la cifra hacia arriba sin discusión:

  • Plazo agresivo. Una auditoría con kick-off a dos semanas vista cuesta más que una planificada con dos meses de antelación. El proveedor reasigna equipo, cancela holgura y la prima de urgencia es un precio justo que la mayoría de boutiques aplica de forma explícita.
  • Compliance específico. TLPT bajo DORA pide intelligence-led, equipo separado del SOC y acreditación TIBER-EU del proveedor. PCI DSS exige independencia organizativa del equipo respecto al responsable del activo. NIS2 pide evidencia reproducible y mapeo al artículo 21. Cada requisito añade horas de documentación, scoping y validación.
  • Alcance pre-producción no estable. Auditar una versión que cambia cada semana fuerza al equipo a reverificar hallazgos varias veces, dilata la prueba y eleva el coste. Lo razonable es auditar una versión congelada y dejar las funciones nuevas para el ciclo siguiente.
  • Múltiples retests con plazos largos. Cada retest consume jornadas. Un retest único a las 4 semanas es estándar y suele estar incluido. Si la organización necesita validar fixes por iteraciones (3, 4 o más vueltas), el presupuesto sube proporcionalmente.
  • Documentación adicional. Informes para el regulador, plantillas corporativas concretas, integración del informe con herramientas internas (Jira, ServiceNow, plataformas GRC). Cualquier entregable que se aparte del informe técnico estándar tiene un coste asociado.

Factores que reducen el coste

Tres palancas legítimas para bajar el presupuesto sin perder profundidad:

  • Caja gris en lugar de caja negra. Entregar credenciales de prueba, documentación de arquitectura y un usuario por cada rol del sistema permite al equipo cubrir más superficie con menos jornadas. La diferencia es típicamente del 20-30%. Detalle en diferencias entre auditoría caja blanca, negra y gris.
  • Alcance acotado pero recurrente. Una auditoría anual del mismo activo cuesta más en el primer año que en los siguientes, porque el equipo ya conoce el contexto y la curva de aprendizaje desaparece. Es una buena estrategia para programas plurianuales.
  • Planificación anticipada. Cerrar fechas con dos o tres meses de antelación permite al proveedor encajar el proyecto sin prima de urgencia y a veces aplicar descuentos por bloque cerrado.

Señales de un presupuesto sospechosamente bajo

Si la oferta está claramente por debajo del resto, hay tres patrones que explican casi todos los casos:

  1. Escáner automatizado disfrazado. La propuesta promete "auditoría exhaustiva" pero el entregable real es un PDF generado por Nessus, Acunetix, Burp Pro, MobSF o Qualys con maquillaje. Identificable porque los hallazgos coinciden con el output del escáner, la prueba de concepto es genérica y no hay pruebas manuales de lógica de negocio.
  2. Equipo subcontratado en cascada. La empresa principal vende, una segunda empresa coordina, freelancers de varios países ejecutan. Cada eslabón rebaja margen y calidad. La forma de detectarlo es pedir los nombres concretos del equipo asignado y verificar la huella técnica pública.
  3. Junior sin supervisión real. Una jornada barata casi siempre es una jornada de perfil junior, lo cual es válido si hay supervisión efectiva de un perfil senior. Si la supervisión es nominal (revisión del informe final, sin acompañar la ejecución), la auditoría pierde profundidad.

La regla práctica: si una oferta es un tercio más barata que la media, no está comprando lo mismo que las otras. Pide el detalle de jornadas y perfiles antes de firmar.

Coste comparado: in-house frente a proveedor externo

Algunas organizaciones se plantean montar capacidad ofensiva interna en lugar de contratar fuera. Hace sentido para empresas con varias aplicaciones críticas, ciclos de release continuos y madurez ya alta en seguridad. Es desaconsejable cuando se hace por ahorrar.

El coste total de un equipo interno de pentesting suele subestimarse: salarios de perfiles seniors escasos en el mercado español, formación continua (laboratorios, certificaciones, asistencia a congresos), herramientas (Burp Suite Pro, Cobalt Strike, plataformas de phishing, suscripciones cloud para laboratorios), rotación habitual del talento en este perfil. Cuando se suman todos los conceptos, el coste anual de un equipo interno mínimo viable supera con frecuencia el de contratar dos o tres auditorías externas anuales con boutique especializada, y carga al equipo con la dificultad de mantener perfiles que están altamente demandados.

El modelo más eficiente para la mayoría de organizaciones medianas es híbrido: un equipo interno reducido que coordina, prioriza fixes y mantiene la postura defensiva, complementado con boutique externa para las auditorías técnicas en cada ciclo. El proveedor externo aporta objetividad, no compite por roadmap con el equipo de producto y consolida horas de práctica ofensiva que un equipo interno mediano difícilmente acumula.

Compliance y su impacto en el coste

Cuatro marcos cambian la cifra por requisitos específicos sobre la auditoría:

  • NIS2 (artículo 21). Eficacia demostrada de medidas técnicas para servicios esenciales o importantes. La auditoría debe documentar metodología, alcance representativo y prueba reproducible. INCIBE puede solicitar el informe en una inspección. El coste adicional viene del mapeo a controles y la trazabilidad documental. Más en cómo cumplir NIS2 en España.
  • DORA (artículos 24-25). Pruebas técnicas anuales para entidades financieras y TLPT trienal bajo TIBER-EU para entidades financieras significativas designadas por la autoridad competente (no automático por tamaño). El TLPT exige proveedor acreditado por el ECB o el banco central correspondiente, intelligence-led testing, equipo separado del SOC y validación del threat profile. Es el tipo de prueba con coste más elevado del mercado regulado europeo. Más en TIBER-EU y TLPT.
  • ISO 27001:2022 (control 8.29). Pruebas de seguridad en el ciclo de vida del software. La auditoría documentada con metodología, hallazgos, fixes y retest es evidencia directa para el control. El coste adicional es bajo si el informe del proveedor ya cumple el formato.
  • PCI DSS v4.0 (requisito 11.4). Pentesting interno y externo anual, además de tras cualquier cambio significativo. Metodología "industry-accepted" (PTES, OWASP, NIST 800-115) e independencia organizativa del responsable del activo. El coste sube por la frecuencia obligatoria y el detalle exigido en el informe.

Pedir al proveedor que indique en propuesta a qué controles concretos se mapea el entregable simplifica la auditoría posterior y evita rehacer pruebas porque no encajan con el marco.

Preguntas frecuentes

¿Cuánto cuesta un pentesting y por qué dos proveedores cotizan tan diferente el mismo alcance?

Por el coste por jornada del perfil asignado, el número de jornadas que cada uno estima necesarias y los entregables incluidos. Un perfil senior cuesta más por día pero suele necesitar menos días para encontrar lo mismo, y entrega un informe más útil. Pedir el desglose por jornadas y perfiles permite comparar.

¿Cuánto se tarda en recibir una propuesta seria?

Entre una y dos semanas desde el primer correo si el scoping requiere reunión técnica, que es lo habitual para alcances no triviales. Si te envían propuesta cerrada en 24 horas sin ninguna pregunta técnica, el alcance está improvisado.

¿Conviene contratar un pentesting "para salir del paso" antes de una auditoría?

Es entendible pero arriesgado. Si el proveedor sólo ejecuta lo mínimo para emitir un certificado, el auditor de compliance puede pedir detalles que no están y rechazar la evidencia. Lo eficiente es planificar la auditoría con tiempo suficiente para encontrar y corregir hallazgos antes del control externo, no para producir un PDF justificativo.

¿El retest siempre cuesta extra?

En boutiques serias suele estar incluido un retest documentado a las pocas semanas del informe. Si el retest se cobra como proyecto aparte sin que ese acuerdo se haya pactado antes, conviene revisar la propuesta original. Más de un retest sí suele facturarse como jornadas adicionales.

¿Cómo se cobra un red team frente a un pentesting tradicional?

El red team es una operación más larga (semanas a meses) con un equipo más reducido pero más senior y suele cotizarse como precio cerrado por escenario o bloque. El coste agregado es superior al de un pentesting puntual, pero el alcance es la organización completa (gente, procesos, tecnología) y el resultado es una validación realista de la postura defensiva, no una lista de bugs.

¿Las pequeñas y medianas empresas pueden permitirse un pentesting?

Sí, ajustando alcance y profundidad. Una pyme con una aplicación web crítica no necesita un programa anual completo; necesita una auditoría puntual bien hecha sobre el activo que de verdad importa. Las boutiques españolas suelen tener propuestas escaladas para tamaños diversos. Más en ciberseguridad para pymes: por dónde empezar.

¿Cuánto baja el coste si pido un retainer anual?

Depende del proveedor y del volumen, pero un programa cerrado a varios proyectos al año suele reducir el coste por proyecto entre un 10% y un 25% respecto a contrataciones puntuales sueltas, además de garantizar disponibilidad de equipo en las fechas críticas.

Recursos relacionados

Cómo trabajamos en Secra

En Secra cotizamos cada auditoría con desglose explícito de jornadas-persona y perfil asignado, sin propuestas cerradas opacas. Equipo identificable con investigación propia (CVE-2025-40652 en CoverManager y CVE-2023-3512 en Setelsa ConacWin CB publicados en NVD e INCIBE-CERT), metodología trazable (OWASP WSTG, MASVS, API Security Top 10, PTES, MITRE ATT&CK), informe con prueba de concepto reproducible y retest documentado incluido en el alcance original. Mapeamos los hallazgos a NIS2, DORA, ENS, ISO 27001 o PCI DSS según aplique. Si quieres una propuesta con precio desglosado para tu alcance real, escríbenos a través de contacto o consulta el detalle de los servicios de auditoría web y móvil, auditoría de infraestructura, auditoría cloud y red team.

Sobre el autor

Equipo de Secra Solutions

Ethical hackers certificados OSCP, OSEP, OSWE, CRTO, CRTL y CARTE, con más de 7 años de experiencia en ciberseguridad ofensiva. Autores de los CVE-2025-40652 y CVE-2023-3512.

Conoce al equipo →Nuestra investigación →

Compartir artículo

Artículos Relacionados

ofensiva

Pentesting vs Red Team: diferencias, cuándo usar cada uno

Pentesting vs Red Team explicado a fondo: objetivo, alcance, duración, perfil, encaje en NIS2 y DORA. Cómo decidir cuál necesita tu empresa y cuándo.

2026-05-1613 min
ofensiva

Watering Hole Attack: qué es, cómo funciona y casos reales

Qué es un watering hole attack: definición, cómo funciona, casos reales como Council on Foreign Relations y banca polaca, y cómo defenderse del ataque.

2026-05-1612 min
ofensiva

Auditoría de ciberseguridad: guía completa para empresas en 2026

Auditoría de ciberseguridad para empresas: tipos, fases, entregables, coste y cómo encaja con NIS2, DORA, ENS e ISO 27001.

2026-05-1316 min