Un pentest es una foto en un momento concreto. Tu infraestructura, tus aplicaciones y las técnicas de los atacantes cambian constantemente, así que una única auditoría, por buena que sea, envejece. La pregunta correcta no es si repetirla, sino cada cuánto.
La referencia general: al menos una vez al año
Para la mayoría de las organizaciones, una auditoría anual de sus sistemas críticos es un punto de partida razonable. Es la cadencia que esperan muchos marcos de cumplimiento y la que permite detectar desviaciones antes de que se acumulen.
Cuándo conviene auditar además del ciclo anual
La frecuencia no debería depender solo del calendario, sino de lo que ocurre en tu organización. Recomendamos una evaluación adicional cuando:
- Despliegas algo nuevo y expuesto: una aplicación, una API pública, un portal de clientes o un cambio de arquitectura importante.
- Cambias tu superficie de exposición: migraciones a la nube, nuevas integraciones con terceros o apertura de servicios a internet.
- Tienes una obligación de cumplimiento: ISO 27001, PCI DSS, ENS o requisitos contractuales de un cliente.
- Has sufrido un incidente: tras contener un ataque conviene validar que no quedan puertas abiertas.
Puntual frente a continuo
El modelo tradicional (una auditoría al año) sigue teniendo sentido para muchas empresas. Pero si tu producto cambia cada semana, un enfoque puntual se queda corto. En esos casos tiene más sentido un modelo recurrente: evaluaciones acotadas y frecuentes sobre lo que va cambiando, en lugar de un único gran proyecto anual.
En resumen
Como mínimo, una vez al año. Y siempre que cambie de forma significativa aquello que expones al exterior. Lo importante no es marcar una casilla, sino que la frecuencia se ajuste al ritmo real de tu organización.