Precios · Pentest

¿Cuánto cuesta un pentest en México?
Guía de precios 2026

21 de mayo, 2026 · 8 min de lectura

Una de las preguntas más frecuentes que recibimos de empresarios mexicanos es: ¿cuánto cuesta un pentest? La respuesta honesta es que el precio varía significativamente, y entender por qué es clave para tomar una buena decisión. Esta guía desglosa los factores reales que mueven el precio en el mercado mexicano durante 2026.

¿Por qué no existe un precio único?

A diferencia de un antivirus o una solución de nube, un pentest no es un producto de catálogo. Es un servicio profesional personalizado, similar a una auditoría contable o una consultoría legal. Dos empresas del mismo tamaño pueden recibir cotizaciones muy distintas porque su superficie de ataque, sus sistemas y sus necesidades de reporte son diferentes.

Pedir un precio fijo sin evaluar el alcance es como pedirle a un abogado que te diga cuánto cobra sin saber de qué se trata el caso. Dicho esto, sí existen rangos de referencia que te ayudarán a distinguir una propuesta razonable de una que no lo es.

Factores que determinan el costo de un pentest

1. Tipo de pentest

No todos los pentests cubren lo mismo. Un pentest de aplicación web evalúa tu sitio o sistema web. Un pentest de red interna evalúa la infraestructura dentro de tu empresa. Un pentest de ingeniería social evalúa a tus empleados. Cada tipo requiere habilidades y tiempo distintos, por lo que el precio varía entre ellos.

2. Modalidad: caja negra, gris o blanca

La caja negra simula a un atacante externo sin información previa sobre tu empresa. Es la modalidad más común y generalmente la más económica porque el alcance está acotado. La caja gris parte de credenciales de usuario válido, como si un empleado con malas intenciones atacara desde adentro. La caja blanca otorga acceso completo al código y la infraestructura para un análisis exhaustivo; es la más cara pero también la más profunda.

3. Alcance y superficie de ataque

Un sitio web informativo de cinco páginas es radicalmente diferente a una plataforma de e-commerce con pagos, cuentas de usuario y tres APIs conectadas. Más puntos de entrada significa más tiempo de análisis, lo que se refleja directamente en el precio.

4. Profundidad y calidad del reporte

Un pentest profesional entrega dos documentos: un reporte ejecutivo para la dirección y un reporte técnico para el equipo de TI. Algunas empresas entregan solo un listado de vulnerabilidades sin contexto ni recomendaciones accionables. El nivel de detalle de los entregables impacta el precio, pero también el valor real que obtienes.

5. Experiencia y certificaciones del equipo

Un consultor certificado en OSCP, CEH o GPEN tiene un costo hora más alto que uno sin certificaciones. Esto no significa que el más caro sea siempre mejor, pero sí es una señal de que el profesional ha demostrado su competencia ante organismos independientes.

Rangos reales de mercado en México 2026

Estos rangos reflejan precios de mercado para empresas medianas (PYMEs) en México, basados en propuestas reales de proveedores locales.

Tipo de pentest	Modalidad	Rango de precio (MXN)	Duración estimada
Aplicación Web (básica)	Caja negra	$8,000 – $12,000	3–4 días
Aplicación Web (mediana)	Caja negra / gris	$14,000 – $20,000	5–7 días
Aplicación Web (compleja)	Caja blanca	$20,000 – $35,000	7–12 días
Red / Infraestructura interna	Caja negra / gris	$18,000 – $40,000	5–10 días
Aplicación móvil	Caja negra / blanca	$15,000 – $28,000	5–8 días
OSINT corporativo	Externo	$6,000 – $14,000	2–4 días
Ingeniería social (phishing)	Simulación	$8,000 – $18,000	3–5 días

Nota importante: Los precios indicados son rangos de referencia para el mercado mexicano en 2026. Tu cotización específica dependerá del alcance acordado. Desconfía de propuestas significativamente por debajo de estos rangos sin una justificación clara del alcance reducido.

¿Qué debe incluir un pentest profesional?

Más allá del precio, la calidad de un pentest se mide por lo que te entrega al final. Un servicio profesional debe incluir:

Acuerdo de alcance (scope) por escrito antes de comenzar, que especifique exactamente qué sistemas se evaluarán.
Reporte ejecutivo en español que explique el riesgo en términos de negocio: qué podría perder la empresa si explotan cada vulnerabilidad.
Reporte técnico con evidencia de cada hallazgo, pasos para reproducirlo y recomendaciones específicas de remediación.
Sesión de presentación de resultados con tu equipo directivo y/o de TI.
Periodo de consulta post-entrega para aclarar dudas sobre la remediación.

Algunos proveedores incluyen también una evaluación post-remediación (re-test) para verificar que las vulnerabilidades encontradas fueron efectivamente corregidas. Esto es un diferenciador importante.

Pentest barato vs. pentest profesional: ¿cuál es la diferencia real?

En el mercado mexicano existe una oferta de "pentests" a precios muy bajos — incluso por debajo de $3,000 MXN — que en realidad son escaneos automatizados con herramientas como Nessus o OpenVAS. Estas herramientas son útiles, pero no reemplazan el juicio de un profesional humano que encadena vulnerabilidades, entiende el contexto del negocio y encuentra fallas lógicas que ningún escáner detecta.

La diferencia práctica: un escáner automatizado puede decirte que tu servidor tiene una versión de software desactualizada. Un pentester profesional puede demostrarte cómo esa versión desactualizada, combinada con una configuración incorrecta de tu DNS y un dato filtrado en LinkedIn, permite acceder a la base de datos de tus clientes.

Regla práctica: Si un proveedor no te pide información sobre tu infraestructura antes de cotizarte, lo más probable es que esté ofreciendo un escaneo automatizado, no un pentest real.

¿Cuándo conviene hacer un pentest?

No esperes a que algo salga mal. Los mejores momentos para realizar un pentest son:

Antes de lanzar un nuevo sistema, sitio web o aplicación al público.
Después de cambios importantes en tu infraestructura (migración a la nube, nuevo ERP, etc.).
Cuando manejas datos sensibles de terceros (clientes, pacientes, contadores).
Si un cliente o socio comercial lo solicita como requisito contractual.
Anualmente como parte de un programa de seguridad continuo.

Preguntas frecuentes

¿El IVA está incluido en los precios de la tabla?

Los rangos mostrados son precios antes de IVA (16%). Al solicitar una cotización formal, pide que te indiquen si los precios son con o sin impuestos para comparar correctamente entre proveedores.

¿Un pentest garantiza que mi empresa esté 100% segura?

No. Un pentest es una fotografía del estado de seguridad en un momento específico y bajo el alcance acordado. Nuevas vulnerabilidades pueden surgir con cada actualización de software. Por eso los pentest se recomiendan periódicamente, no como evento único.

¿Cuánto tiempo tarda en promedio un pentest para una PYME?

Para una aplicación web de complejidad media con caja negra, el tiempo de ejecución suele ser de 4 a 6 días hábiles. A esto se suma 2 a 3 días de elaboración de reportes. En total, entre 6 y 10 días desde el inicio hasta que recibes los entregables finales.

¿Mis sistemas pueden fallar durante el pentest?

Un pentest profesional incluye un protocolo de manejo de riesgos. Las pruebas más invasivas se coordinan en horarios de bajo tráfico y se establecen procedimientos de rollback. Sin embargo, siempre existe un riesgo residual mínimo, razón por la cual se firma un acuerdo legal antes de comenzar.

¿Quieres saber cuánto costaría un pentest para tu empresa?

Hacemos un diagnóstico inicial gratuito para evaluar tu superficie de ataque y darte una propuesta personalizada. Sin compromiso, sin tecnicismos innecesarios.

Solicitar diagnóstico gratuito →