12 de mayo de 2026 · 5 min · Carol
Pentest anual o auditoría continua: ¿cuál te protege más?
Un pentest es una foto. La auditoría continua es un video. Acá cuándo tiene sentido cada uno, qué cuesta, y por qué la mayoría de las empresas necesita los dos — pero en proporciones distintas.
"Ya hicimos un pentest el año pasado."
Es la frase que me dijo el CISO de una fintech cuando le pregunté por auditoría continua. Tres meses después, su cliente descubrió — vía un reporte externo de bug bounty — una ruta /admin/export expuesta. El pentest no la detectó porque la ruta no existía en el momento de la auditoría. Salió en deploy de noviembre.
Pentest y auditoría continua no son lo mismo. Tratarlos como sinónimos se paga en incidentes.
La diferencia en una frase
- Pentest = un equipo de especialistas intenta entrar a tu sistema durante 1–4 semanas, escribe un informe, se va.
- Auditoría continua = bots chequean tu superficie externa todos los días, comparan con el estado anterior, alertan lo que cambió.
Pentest es foto de alta resolución. Auditoría continua es video en baja resolución. Para identificar a alguien, necesitás foto. Para saber si alguien entró al edificio, necesitás video. Querés los dos — pero confundir uno con el otro es caro.
Qué hace bien cada uno
Pentest
| Fuerte en | Por qué |
|---|---|
| Lógica de negocio | Un bot no entiende "este usuario no debería ver el pedido de otro" |
| Encadenar vulnerabilidades | Combinar XSS + CSRF + IDOR para escalar — solo humanos |
| Profundidad autenticada | El pentester se loguea, navega, abusa |
| Comprobación de impacto | Informe aceptado por auditor externo, directorio, regulador |
| Conformidad puntual | PCI-DSS exige pentest anual |
Auditoría continua
| Fuerte en | Por qué |
|---|---|
| Drift entre pentests | El .env olvidado en prod aparece 3 días después del deploy, no 8 meses después en el próximo pentest |
| Superficie cambiante | Nuevos subdominios, certificados venciendo, headers ausentes, puertos abiertos |
| CVE públicas | Sale un CVE → al día siguiente tu versión expuesta de nginx ya está marcada |
| Costo por chequeo | Centavos por scan, escala automática |
| Histórico evolutivo | "En enero estábamos en C, hoy B. ¿Qué cambió?" |
Dónde falla cada uno
El pentest falla cuando:
- El sistema cambia semanalmente y el pentest fue hace 6 meses.
- El alcance se recortó para encajar en el presupuesto ("solo la app, sin infra").
- El pentester es júnior y corre Nessus disfrazado.
- El informe queda como PDF de estante que nadie leyó.
La auditoría continua falla cuando:
- Se usa como sustituto del pentest para cosas que requieren razonamiento humano.
- Nadie mira las alertas (se vuelve ruido).
- Mal alcance configurado (escanea 1 dominio cuando tenés 80 subdominios).
- No distingue ruido del core de WP del hallazgo real en tu código.
Comparación de costos
En un stack típico de empresa mediana:
El costo de un incidente de gravedad media (multa regulatoria + remediación + reputación) suele superar las seis cifras. La inversión combinada no llega al 5% de eso.
La regla práctica (y por qué la mayoría se equivoca)
La mayoría de las empresas hace pentest anual porque el auditor/PCI lo exige, y no tiene nada entre un pentest y el siguiente. Once meses al año están ciegas a lo que cambia.
La regla honesta:
- Empresa que deploya semanal o más rápido: auditoría continua no es opcional. El pentest anual cubre profundidad; lo continuo cubre drift.
- Empresa regulada (PCI, ISO 27001, leyes de protección de datos con info sensible): pentest es exigencia formal. Auditoría continua reduce riesgo entre pentests.
- Empresa chica, sitio institucional, poco código propio: auditoría continua sola cubre 80% del riesgo real (subdominio huérfano, cert venciendo, header faltante, secret filtrado en repo). Pentest puede esperar a que crezcas o sumes dato sensible.
La inversión que veo en el mercado: empresa que solo hace pentest anual y nada en el medio. Eso protege la auditoría, no el negocio.
Dónde entra Sentinela (y dónde no)
Sentinela es la capa de auditoría continua externa. Corremos:
- Probes de DNS, TLS, headers, puertos abiertos, banners de servidor
- Detección de subdominios y CNAMEs huérfanos
- CVE matching en tecnologías detectadas
- SAST + secret scanning en repositorio cuando lo conectás
- Score A–F actualizado cada ciclo, con histórico
Lo que no somos:
- Pentest con humano (sin juicio de lógica de negocio ni encadenamiento).
- Sustituto de informe formal de PCI/ISO (somos evidencia complementaria, no primaria).
La combinación que recomiendo a cliente:
- Sentinela corriendo 24/7 — agarra 80% de lo importante, en el momento que importa.
- Pentest anual con firma buena, con alcance realista (incluí la superficie que mapeó Sentinela — ahorra días de pentester en reconocimiento).
- Reauditoría del pentest post-fix — chica, pero crítica.
Para entender mejor el lado continuo, vale la pena leer ASM (Attack Surface Management) explicado.
La regla simple
Pentest sin auditoría continua es planificar seguridad como quien fotografía la bóveda una vez al año y asume que nadie la tocó entre fotos. Funciona hasta el día en que alguien la tocó.
Sigue leyendo