Pentest
Es un ejercicio acotado en tiempo y alcance, con un equipo que evalúa a fondo lo que acordáis y entrega un informe estructurado con evidencias y recomendaciones. Sabes quién lo hace, cuándo y qué cubre. Es predecible y profundo dentro de su alcance.
Bug bounty
Es un programa continuo y abierto en el que investigadores externos buscan fallos a cambio de una recompensa por cada uno válido. Aporta muchos ojos distintos de forma permanente, pero es menos predecible: no controlas quién mira ni qué cubren, y requiere gestionar los reportes.
| Pentest | Bug bounty | |
|---|---|---|
| Duración | Acotada | Continua |
| Cobertura | Profunda y dirigida | Amplia y variable |
| Entregable | Informe completo | Reportes sueltos |
| Ideal para | Evaluar a fondo y cumplir | Vigilancia continua |
La combinación
Muchas empresas maduras usan ambos: el pentest para evaluaciones profundas, verificar cambios importantes y cumplir requisitos; el bug bounty como red de seguridad continua. Antes de abrir un bug bounty, conviene haber pasado un pentest: sale más a cuenta cerrar primero lo evidente que pagar por que te lo reporten.