Sentinela.
← Volver al blog

12 de mayo de 2026 · 5 min · Carol

pentest auditoría seguridad conformidad ASM

Pentest anual o auditoría continua: ¿cuál te protege más?

Un pentest es una foto. La auditoría continua es un video. Acá cuándo tiene sentido cada uno, qué cuesta, y por qué la mayoría de las empresas necesita los dos — pero en proporciones distintas.

"Ya hicimos un pentest el año pasado."

Es la frase que me dijo el CISO de una fintech cuando le pregunté por auditoría continua. Tres meses después, su cliente descubrió — vía un reporte externo de bug bounty — una ruta /admin/export expuesta. El pentest no la detectó porque la ruta no existía en el momento de la auditoría. Salió en deploy de noviembre.

Pentest y auditoría continua no son lo mismo. Tratarlos como sinónimos se paga en incidentes.

La diferencia en una frase

  • Pentest = un equipo de especialistas intenta entrar a tu sistema durante 1–4 semanas, escribe un informe, se va.
  • Auditoría continua = bots chequean tu superficie externa todos los días, comparan con el estado anterior, alertan lo que cambió.

Pentest es foto de alta resolución. Auditoría continua es video en baja resolución. Para identificar a alguien, necesitás foto. Para saber si alguien entró al edificio, necesitás video. Querés los dos — pero confundir uno con el otro es caro.

Qué hace bien cada uno

Pentest

Fuerte en Por qué
Lógica de negocio Un bot no entiende "este usuario no debería ver el pedido de otro"
Encadenar vulnerabilidades Combinar XSS + CSRF + IDOR para escalar — solo humanos
Profundidad autenticada El pentester se loguea, navega, abusa
Comprobación de impacto Informe aceptado por auditor externo, directorio, regulador
Conformidad puntual PCI-DSS exige pentest anual

Auditoría continua

Fuerte en Por qué
Drift entre pentests El .env olvidado en prod aparece 3 días después del deploy, no 8 meses después en el próximo pentest
Superficie cambiante Nuevos subdominios, certificados venciendo, headers ausentes, puertos abiertos
CVE públicas Sale un CVE → al día siguiente tu versión expuesta de nginx ya está marcada
Costo por chequeo Centavos por scan, escala automática
Histórico evolutivo "En enero estábamos en C, hoy B. ¿Qué cambió?"

Dónde falla cada uno

El pentest falla cuando:

  • El sistema cambia semanalmente y el pentest fue hace 6 meses.
  • El alcance se recortó para encajar en el presupuesto ("solo la app, sin infra").
  • El pentester es júnior y corre Nessus disfrazado.
  • El informe queda como PDF de estante que nadie leyó.

La auditoría continua falla cuando:

  • Se usa como sustituto del pentest para cosas que requieren razonamiento humano.
  • Nadie mira las alertas (se vuelve ruido).
  • Mal alcance configurado (escanea 1 dominio cuando tenés 80 subdominios).
  • No distingue ruido del core de WP del hallazgo real en tu código.

Comparación de costos

En un stack típico de empresa mediana:

Cara a cara · stack mediano
Pentest anual puntual
Auditoría continua 24/7
Costo
$5k – 25k por engagement
$40 – 400 / mes
Frecuencia
1×/año · PCI lo exige
24/7
Tiempo hasta resultado
2–6 semanas
minutos
Reauditoría post-fix
suele cobrarse aparte
automática
Cobertura de drift
cero
total
Misma defensa, cadencia opuesta. El pentest cubre el día de la auditoría; lo continuo cubre todos los demás días. El par cubre el año.

El costo de un incidente de gravedad media (multa regulatoria + remediación + reputación) suele superar las seis cifras. La inversión combinada no llega al 5% de eso.

La regla práctica (y por qué la mayoría se equivoca)

La mayoría de las empresas hace pentest anual porque el auditor/PCI lo exige, y no tiene nada entre un pentest y el siguiente. Once meses al año están ciegas a lo que cambia.

La regla honesta:

  • Empresa que deploya semanal o más rápido: auditoría continua no es opcional. El pentest anual cubre profundidad; lo continuo cubre drift.
  • Empresa regulada (PCI, ISO 27001, leyes de protección de datos con info sensible): pentest es exigencia formal. Auditoría continua reduce riesgo entre pentests.
  • Empresa chica, sitio institucional, poco código propio: auditoría continua sola cubre 80% del riesgo real (subdominio huérfano, cert venciendo, header faltante, secret filtrado en repo). Pentest puede esperar a que crezcas o sumes dato sensible.

La inversión que veo en el mercado: empresa que solo hace pentest anual y nada en el medio. Eso protege la auditoría, no el negocio.

Dónde entra Sentinela (y dónde no)

Sentinela es la capa de auditoría continua externa. Corremos:

  • Probes de DNS, TLS, headers, puertos abiertos, banners de servidor
  • Detección de subdominios y CNAMEs huérfanos
  • CVE matching en tecnologías detectadas
  • SAST + secret scanning en repositorio cuando lo conectás
  • Score A–F actualizado cada ciclo, con histórico

Lo que no somos:

  • Pentest con humano (sin juicio de lógica de negocio ni encadenamiento).
  • Sustituto de informe formal de PCI/ISO (somos evidencia complementaria, no primaria).

La combinación que recomiendo a cliente:

  1. Sentinela corriendo 24/7 — agarra 80% de lo importante, en el momento que importa.
  2. Pentest anual con firma buena, con alcance realista (incluí la superficie que mapeó Sentinela — ahorra días de pentester en reconocimiento).
  3. Reauditoría del pentest post-fix — chica, pero crítica.

Para entender mejor el lado continuo, vale la pena leer ASM (Attack Surface Management) explicado.

La regla simple

Pentest sin auditoría continua es planificar seguridad como quien fotografía la bóveda una vez al año y asume que nadie la tocó entre fotos. Funciona hasta el día en que alguien la tocó.

Sigue leyendo