Técnico · Metodología

Pentest manual México vs escaneo automatizado:
la diferencia que importa

5 de junio, 2026  ·  7 min de lectura

Cuando una empresa busca pentest manual México y recibe una propuesta con precio muy bajo, generalmente no está comprando un pentest — está comprando un escaneo automatizado. La diferencia no es solo técnica; es la diferencia entre saber que tienes vulnerabilidades conocidas y saber que un humano con conocimiento real intentó entrar a tus sistemas y no pudo. Este artículo explica qué distingue a los dos, por qué uno no reemplaza al otro y cuándo necesitas cada uno.

La diferencia técnica real

Un escaneo automatizado de vulnerabilidades funciona con bases de datos de firmas. La herramienta — Nessus, OpenVAS, Burp Suite en modo automatizado, o equivalentes — compara lo que encuentra en tus sistemas contra un catálogo de problemas conocidos: versiones de software con CVE documentados, configuraciones HTTP incorrectas, certificados expirados, puertos abiertos innecesarios.

Es rápido, repetible y eficiente para higiene básica. Pero tiene un límite estructural: solo puede encontrar lo que ya está en su base de datos.

Un pentest manual es distinto en su naturaleza. Un profesional certificado usa herramientas, pero también usa juicio. Analiza la lógica de tu aplicación, entiende cómo interactúan sus componentes, prueba flujos de negocio específicos y busca combinaciones de factores que ninguna base de firmas puede anticipar. Un humano puede ver que la suma de tres vulnerabilidades menores crea una ruta de acceso total a tu base de datos — un escáner reportaría los tres problemas por separado como "severidad baja".

Estimaciones de la industria indican que entre el 70–80% de las vulnerabilidades críticas de lógica de negocio no son detectables por herramientas automatizadas. Solo un profesional que entiende el contexto de la aplicación puede identificarlas.

Lo que un escáner no puede hacer

Esta es la categoría más importante para entender la brecha. Las vulnerabilidades que los escáneres no detectan son frecuentemente las más graves:

Vulnerabilidades de lógica de negocio

Un escáner no puede entender que tu proceso de pago permite omitir un paso y completar una compra sin pagar. Tampoco que tu sistema de restablecimiento de contraseña permite adivinar el token por fuerza bruta sin bloqueo. Estas fallas están en cómo funciona tu negocio, no en qué versión de software corres.

Escalación de privilegios por contexto

Si un usuario normal puede acceder a la cuenta de otro cambiando un parámetro en la URL, un escáner frecuentemente no lo detecta porque no sabe qué parámetros corresponden a qué usuarios. Un tester manual sí sabe: crea dos cuentas y prueba si una puede ver los datos de la otra.

Encadenamiento de vulnerabilidades

Un XSS de "severidad media" en un panel de administración + una cookie de sesión sin la bandera HTTPOnly + un CSRF en el formulario de transferencia = compromiso total de cuentas. Un escáner reporta los tres hallazgos independientemente, con severidades individuales. Un profesional encadena los tres y documenta el impacto real.

APIs no documentadas

Los escáneres trabajan con lo que es visible o lo que les indicas. Un profesional hace reconocimiento activo y puede descubrir endpoints de API sin autenticación que nadie sabía que estaban expuestos.

Qué incluye un pentest manual profesional con NIST + OffSec

Un pentest manual ejecutado con metodología NIST CSF + OffSec y certificaciones OSCP no es simplemente "un humano corriendo un escáner". Incluye fases que solo un profesional puede ejecutar:

  1. Reconocimiento activo y pasivo: Mapeo de infraestructura, enumeración de subdominios, análisis de huella digital, identificación de tecnologías y versiones — mucho de esto antes de tocar los sistemas en producción.
  2. Modelado de amenazas: El profesional define qué activos son más valiosos para un atacante real en el contexto específico de tu empresa.
  3. Explotación manual: Intentos reales de penetración usando los hallazgos del reconocimiento, con adaptación en tiempo real según lo que se va descubriendo.
  4. Post-explotación: Si se logra acceso, el profesional evalúa hasta dónde puede llegar dentro de la red — qué datos son accesibles, qué sistemas se pueden alcanzar desde el punto de entrada.
  5. Documentación de evidencia reproducible: Cada hallazgo incluye los pasos exactos para reproducirlo, con capturas de pantalla y logs. No basta con decir "hay una inyección SQL" — el reporte muestra la petición exacta, la respuesta del servidor y el impacto demostrado.

Cuándo usar cada modalidad según tu empresa

Criterio Escaneo automatizado Pentest manual
Higiene básica continua Adecuado Sobrado para este propósito
Cumplimiento LFPDPPP Art. 18 Insuficiente como evidencia Evidencia técnica sólida
Auditoría de proveedor (Tier 1) Generalmente no aceptado Aceptado con reporte formal
Aplicación con lógica de negocio compleja Limitado Necesario
Sitio informativo simple Puede ser suficiente Recomendable una vez al año
E-commerce con datos de pago Insuficiente Necesario
Tiempo de ejecución Horas 5–15 días hábiles
Profundidad de hallazgos Superficial (problemas conocidos) Profunda (incluyendo lógica)

Por qué Genghis es 100% manual

La metodología de Genghis combina NIST CSF + OffSec (los creadores de OSCP y Kali Linux, la certificación y plataforma de referencia en seguridad ofensiva profesional). Todos los pentesters son certificados OSCP — una certificación que exige explotar máquinas reales en un examen de 24 horas sin ayuda de herramientas automatizadas.

Esto no es marketing — es una garantía de capacidad. OSCP es específicamente una certificación de hacking manual. Un profesional con OSCP ha demostrado que puede encontrar vulnerabilidades y explotarlas sin depender de un escáner que le diga dónde están.

Para una PyME mexicana, esto significa que el reporte que recibes documenta lo que un atacante real podría hacer contra tus sistemas — no lo que una base de datos de firmas dice que podría existir.

Un escaneo automatizado es como revisar si la llave de tu casa está en la chapa. Un pentest manual es como contratar a alguien para que intente entrar por todas las ventanas, el techo y la puerta trasera que dejaste desbloqueada desde hace dos años.

Preguntas frecuentes

¿Un escaneo de vulnerabilidades es lo mismo que un pentest?
No. Un escaneo es automatizado e identifica problemas conocidos por firmas. Un pentest es una evaluación manual donde un profesional intenta explotar activamente vulnerabilidades, encadena hallazgos y descubre problemas lógicos que ningún escáner detecta. Son herramientas complementarias, no equivalentes.
¿Qué tipo de vulnerabilidades solo encuentra un pentest manual?
Vulnerabilidades de lógica de negocio, problemas de autorización entre usuarios, encadenamiento de múltiples vulnerabilidades menores que juntas dan acceso total, configuraciones incorrectas de contexto y cualquier falla que depende de entender cómo funciona el negocio específico, no solo el software.
¿El escaneo automatizado sirve para algo?
Sí, como complemento. Los escáneres son rápidos y buenos para problemas conocidos: versiones desactualizadas, cabeceras HTTP incorrectas, certificados vencidos. Son útiles para higiene básica continua. Pero no reemplazan la exploración manual para identificar el riesgo real de negocio.
¿Cuánto cuesta un pentest manual en México vs un escáner?
Un escaneo automatizado puede costar de $3,000 a $10,000 MXN como servicio. Un pentest manual profesional en México parte de $9,000 MXN (Genghis) hasta $80,000+ MXN dependiendo del alcance. La diferencia de precio refleja la diferencia de profundidad: el escáner revisa la superficie, el pentest manual explora el fondo.

¿Quieres saber si lo que tienes es real o solo papel?

El diagnóstico gratuito te dice exactamente qué evaluar, qué riesgo tienes hoy y si lo que te cotizaron antes era realmente un pentest manual o un escaneo renombrado.

Solicitar diagnóstico gratuito →