Pentesting moderno: anticiparse al ataque para proteger lo esencial del negocio

Retrato fotografico de Katherine Trigueros
Katherine Trigueros

Technology Risk Associate Partner, EY Peru

7 minute read 10 dic. 2025
Temas relacionados
Auditoría y Finanzas
Digital
Automatización

El pentesting moderno permite anticiparse a ataques reales con evaluaciones continuas y riesgos priorizados según impacto en procesos críticos.

El informe de seguridad parecía tranquilizador: 73 vulnerabilidades detectadas, pero ninguna crítica. El equipo respiraba tranquilo. Pero en ciberseguridad, lo que parece menor puede convertirse en el detonante de una crisis.

Un atacante aprovechó una falla “insignificante” para acceder al correo de un supervisor. Con esas credenciales internas, ingresó al sistema de despacho y alteró la programación de entregas. El efecto dominó fue inmediato: 48 horas de interrupción y una pérdida estimada de USD 1.3 millones por paralización logística.

Se trata de una simulación que bien podría ocurrir en la realidad. Esto demuestra cómo una vulnerabilidad aparentemente inofensiva puede comprometer funciones críticas del negocio. Para los decisores, entender el riesgo no se trata de contabilizar fallas, sino de saber dónde una sola puede ser devastadora.

Casos como este se han replicado en diferentes partes del mundo. En los últimos años, entidades públicas y privadas han enfrentado incidentes que han comprometido grandes volúmenes de información sensible, generando interrupciones operativas y pérdidas millonarias.

En América Latina, el costo promedio por incidente supera los
Fuente: Cost of a Data Breach Report 2024 de IBM
Mientras que a nivel global asciende a
Fuente: Cost of a Data Breach Report 2024 de IBM

Cómo EY puede ayudar

  • Servicios de auditoría

    Combinamos enfoques tradicionales e innovadores, junto con una metodología coherente, para ofrecer servicios de auditoría de calidad. Obtén más información.

    Leer más

Esta realidad evidencia que las brechas digitales tienen implicancias financieras, legales y sociales cada vez más complejas.

 

En este escenario, el pentesting moderno se convierte en una herramienta clave para anticipar riesgos y proteger lo esencial.

 

Tradicionalmente, el pentesting —o prueba de penetración— se realiza una o dos veces al año para detectar vulnerabilidades en sistemas específicos. Aunque útil en ciertos contextos, este enfoque puntual ha quedado limitado frente a entornos digitales más complejos como la nube, las APIs (interfaces que permiten la comunicación entre diferentes sistemas y aplicaciones), el Internet of Things (IoT) —dispositivos físicos conectados a internet, como sensores, cámaras o maquinaria— o los sistemas distribuidos (infraestructuras tecnológicas que operan de forma descentralizada en múltiples ubicaciones o plataformas).

 

El pentesting moderno es una evolución de estos tests tradicionales que implica evaluaciones continuas, automatizadas y adaptadas a los entornos actuales, utilizando inteligencia artificial y herramientas avanzadas para simular ataques reales, entregar resultados en tiempo real y permitir una respuesta ágil ante amenazas emergentes. 

 

Por ejemplo, mientras un test tradicional revisaría una web corporativa una vez al año, el pentesting moderno monitorea de forma constante sus APIs, integraciones en la nube y posibles canales de ataque, alertando de inmediato ante vulnerabilidades críticas.

 

El pentesting moderno incorpora técnicas avanzadas que permiten simular ataques reales con mayor precisión y relevancia para el negocio. Entre ellas destacan:

Estas técnicas permiten responder preguntas estratégicas como ¿qué impacto tendría un acceso no autorizado a los sistemas de facturación de la compañía?, ¿podría un atacante simular ser un empleado y realizar fraude?, ¿es posible comprometer la red desde una filial poco protegida?

Se trata de una evolución metodológica que redefine el propósito de la evaluación: ya no se trata solo de identificar vulnerabilidades, sino de entender cómo estas podrían ser utilizadas para comprometer procesos clave del negocio.

A diferencia del enfoque tradicional, que entrega reportes técnicos centrados en la severidad de cada hallazgo, el modelo moderno prioriza los riesgos según el valor de los activos, el impacto en funciones críticas y el contexto operativo. Esta diferencia se refleja claramente en la forma en que se reportan y gestionan los resultados, como se muestra a continuación:

Pentest tradicionalPentest moderno orientado al negocio
Detecta vulnerabilidades técnicas y las clasifica según su severidad (CVSS).Evalúa cómo esas vulnerabilidades pueden afectar procesos clave de la organización.
Reportes dirigidos a personal técnico, con lenguaje especializado.Reportes ejecutivos que traducen los hallazgos al lenguaje del negocio
No considera el contexto operativo ni el valor de los activos afectados.Prioriza riesgos en función del valor de los activos, funciones críticas y objetivos estratégicos.
Se realiza como una actividad puntual, desconectada de la dinámica del negocioSe integra como una práctica continua, alineada con la evolución tecnológica y los riesgos emergentes.

Sin embargo, más allá de las diferencias metodológicas, también existe una diferencia estratégica. Al traducir hallazgos técnicos en riesgos operativos, los decisores están habilitados para tomar decisiones informadas que protegen lo esencial:

Esta capacidad de anticipación se vuelve especialmente valiosa en entornos donde la exposición al riesgo es constante y la velocidad de respuesta puede definir la continuidad del negocio.

En la práctica, esto significa invertir en simulaciones que reflejen escenarios reales, alineadas con los procesos críticos de cada organización. 

Para las compañías, cada vulnerabilidad es una oportunidad para aprender antes de que se convierta en una crisis. El pentesting moderno permite simular escenarios reales, priorizar riesgos y actuar con rapidez. El momento de evolucionar no es mañana: es ahora, porque en ciberseguridad, la velocidad de respuesta puede marcar la diferencia entre un incidente controlado y una pérdida millonaria.

El modelo Cyber Kill Chain

Una de las formas más efectivas para entender cómo se desarrollan los ataques digitales es a través del modelo Cyber Kill Chain. Este esquema permite visualizar las etapas que un atacante puede seguir —desde la exploración inicial hasta la ejecución del objetivo— y permite identificar puntos críticos, con el fin de que la organización pueda tomar acciones. Este marco sirve como guía para diseñar simulaciones realistas que reflejen cómo se comportaría un adversario en condiciones reales.

Incorporar este tipo de pruebas, alineadas con los activos y procesos críticos del negocio, no es solo una medida de seguridad: es una necesidad para anticiparse, adaptarse y responder con agilidad ante ciberataques que puedan comprometer la continuidad operativa.

 

Cyber Kill Chain

Contacto

Katherine Trigueros

Technology Risk Associate Partner, EY Peru
Katherine es Associate Partner de Technology Risk en EY Perú.
Lima, Peru

Resumen

El pentesting moderno surge como respuesta a un entorno digital mucho más complejo, donde una vulnerabilidad mínima puede activar una cadena de impacto crítico. A diferencia de las pruebas puntuales, este enfoque realiza evaluaciones continuas y automatizadas, monitorea APIs, nube, IoT y sistemas distribuidos, y utiliza técnicas avanzadas como Red Teaming, Adversary Simulation y Threat-Informed Defense para simular ataques reales. Ya no se trata solo de contar fallas, sino de entender cómo una sola puede afectar procesos esenciales. Al traducir hallazgos técnicos en riesgos operativos, permite priorizar lo crítico, anticiparse y proteger la operación, los ingresos y la reputación.

Acerca de este artículo

Retrato fotografico de Katherine Trigueros
Katherine Trigueros
Technology Risk Associate Partner, EY Peru
Katherine es Associate Partner de Technology Risk en EY Perú.
Temas relacionados
Auditoría y Finanzas
Digital
Automatización

Artículos relacionados

Sostenibilidad energética en América Latina: avances, desafíos y visión compartida

Latinoamérica acelera su transición energética: Chile, Colombia y Perú lideran con energías renovables, hidrógeno verde y marcos regulatorios sólidos.

EY Perú

Open Finance en Latinoamérica: ¿está el Perú listo para la transformación?

Open Finance llega a Perú: ¿cómo prepararse para un ecosistema abierto que exige innovación, seguridad y experiencia personalizadas para el usuario?

EY Perú

Del búnker al Directorio: la evolución del CISO de experto técnico a visionario estratégico

IA y ciberseguridad redefinen el rol del CISO: ¿están las empresas listas para darle voz en decisiones estratégicas?

EY Perú

    EY se refiere a la organización global, y puede referirse a una o más, de las firmas miembro de Ernst & Young Global Limited, cada una de las cuales es una entidad legal independiente. Ernst & Young Global Limited, una compañía británica limitada por garantía, no brinda servicios a los clientes.