Pentesting de red interna y perimetral: qué cubre y cuándo lo necesita tu empresa
Por el equipo de QuantumSec
Un pentesting de red evalúa la seguridad de tu infraestructura de red —perimetral (lo que da la cara a Internet) e interna (lo que hay detrás del firewall)— simulando lo que haría un atacante real una vez dentro. A diferencia de un escaneo automatizado, confirma manualmente qué configuraciones erróneas son explotables, hasta dónde puede moverse un atacante lateralmente y qué activos críticos quedarían expuestos si el perímetro cae.
Qué es un pentesting de red: perimetral vs interno
El pentesting perimetral evalúa los sistemas expuestos directamente a Internet: firewalls, VPNs, servidores de correo, servicios publicados. El pentesting interno parte de dentro de la red corporativa —simulando un empleado malintencionado, un dispositivo comprometido o un atacante que ya superó el perímetro— y evalúa qué puede alcanzar desde ahí: segmentación entre departamentos, controles de acceso, y sobre todo, el camino hacia Active Directory y los activos más críticos. La mayoría de brechas reales combinan ambos: entrada por el perímetro, impacto por movimiento interno.
Qué vulnerabilidades busca
- Configuraciones erróneas en firewalls, routers y switches: reglas demasiado permisivas, gestión expuesta a Internet.
- VPNs vulnerables o mal configuradas: versiones desactualizadas, autenticación débil, split-tunneling inseguro.
- Protocolos legacy sin cifrar o vulnerables: SMBv1, LLMNR, NBT-NS, Telnet.
- Segmentación de red deficiente: VLANs mal aisladas, red de invitados con acceso a sistemas internos.
- Rutas de movimiento lateral hacia Active Directory y activos críticos.
- Credenciales por defecto o débiles en dispositivos de red y sistemas de gestión.
- Servicios expuestos innecesariamente al exterior.
Escaneo automatizado de red vs pentesting real
Un escáner de vulnerabilidades identifica versiones de software desactualizadas y CVEs conocidos comparando firmas contra una base de datos. Un pentesting real va más allá: encadena hallazgos de bajo riesgo aparente en una ruta de ataque completa (por ejemplo, una credencial débil en un dispositivo IoT de red que permite pivotar hasta un controlador de dominio), confirma manualmente la explotabilidad en tu entorno concreto y demuestra el impacto real, no solo el potencial.
¿Cuándo necesita tu empresa un pentesting de red?
Antes de dar por segura una red que nunca se ha auditado formalmente. Tras cambios significativos en la infraestructura: nueva sede, fusión de redes tras una adquisición, migración de proveedor. Como parte de la adecuación a NIS2 o al Esquema Nacional de Seguridad (ENS), que exigen evaluaciones periódicas. Tras un incidente de seguridad, para confirmar que el vector de entrada está cerrado. Y como práctica recurrente —anual como mínimo— si tu red aloja sistemas críticos, datos sensibles o Active Directory.
Qué recibes al finalizar
Un informe técnico con cada hallazgo documentado, evidencias, criticidad (CVSS) y pasos de reproducción, más un informe ejecutivo orientado a dirección con el nivel de riesgo global y las prioridades de remediación. Incluye una reunión de cierre para resolver dudas y, si se acuerda, un re-test posterior para verificar que las vulnerabilidades críticas han quedado corregidas.
FAQ
¿El pentesting de red interna requiere acceso físico a mis oficinas?
No necesariamente. Puede ejecutarse de forma remota mediante un dispositivo o VPN desplegado en tu red, o de forma presencial si se prefiere. Ambos enfoques son habituales; se acuerda según la arquitectura de tu red y tus preferencias.
¿Con qué frecuencia debería repetirse un pentesting de red?
Como mínimo una vez al año, y siempre que haya cambios significativos en la infraestructura (nueva sede, fusión, migración de proveedor de red). Si estás sujeto a NIS2 o al ENS, la normativa puede exigir una cadencia concreta según tu categorización.
¿Un pentesting de red interna interfiere con la operativa diaria?
El objetivo es que no. Se acuerda una ventana de ejecución y, si se identifica algo de riesgo inmediato para la disponibilidad, se comunica antes de proceder. La mayoría de pruebas son pasivas o de bajo impacto operativo.