En el recién publicado Informe del Estado del Pentesting 2025, Pentera encuestó a 500 CISOs (Chief Information Security Officer o Director de Seguridad de la Información) de empresas globales (incluidos 200 de Estados Unidos) para comprender las estrategias, tácticas y herramientas que utilizan para enfrentar los miles de alertas de seguridad, las brechas persistentes y los crecientes riesgos cibernéticos que deben gestionar.
Los hallazgos revelan un panorama complejo de avances, desafíos y un cambio de mentalidad en la forma en que las empresas abordan las pruebas de seguridad:
1. Alta frecuencia de brechas a pesar de mayores inversiones
- El 67% de las empresas estadounidenses encuestadas sufrieron una brecha de seguridad en los últimos 24 meses.
- Esto ocurrió a pesar de que la mayoría usa un promedio de 75 herramientas de seguridad distintas.
2. Crecimiento del presupuesto de pentesting
- El gasto promedio anual en pentesting por empresa fue de $187,000 USD, representando 10.5% del presupuesto total de TI en seguridad.
- El 50% de las organizaciones planea aumentar su inversión en pentesting durante 2025.
3. Presión de aseguradoras para mejorar la seguridad
- El 59% de las empresas adoptó nuevas herramientas de ciberseguridad por requerimiento directo de sus aseguradoras.
- El 93% de los CISOs reportó que su aseguradora influyó directamente en su estrategia de seguridad.
4. Más herramientas no significa más seguridad
- Empresas con más de 100 herramientas de seguridad reciben en promedio 3,074 alertas por semana, dificultando la priorización y respuesta efectiva.
- La complejidad operacional aumenta, sin traducirse en menos incidentes.
5. Superficie de ataque vulnerable y extendida
- Los ataques ya no se centran en puntos específicos. Se extienden por toda la superficie de ataque, incluyendo APIs, dispositivos IoT, endpoints y aplicaciones en la nube.
- El 30% de las empresas reportaron ataques exitosos contra activos web públicos.
6. Pentesting automatizado gana tracción
- El 55% de las organizaciones ya utiliza software automatizado de pentesting in-house, y otro 49% lo hace con proveedores externos.
- Solo el 17% continúa haciendo pentests manuales internos.
7. Validación de seguridad insuficiente frente a cambios constantes
- El 96% de las organizaciones hacen cambios frecuentes en su infraestructura (configuración, usuarios, software), pero solo el 30% hace pentests al menos trimestralmente.
8. Las pruebas se están operacionalizando
- El 62% de las empresas transfiere los hallazgos del pentest directamente a los equipos de TI o seguridad para priorizar la remediación.
- El 47% comparte resultados con ejecutivos, y el 21% con su consejo directivo.
9. Motivaciones para hacer pentesting
-
Las principales razones son:
- Validación de seguridad y controles (32%)
- Cumplimiento normativo (28%)
- Evaluación de impacto ante ciberataques (28%)
- Exigencias de aseguradoras (28%)
10. Principales barreras para hacer más pentests
- Falta de talento especializado (48%)
- Presupuesto limitado (44%)
- Miedo a interrupciones del negocio (28%)
Contacta con Innobit
En INNOBIT contamos con un servicio de Pentesting que te ayudará a identificar posibles amenazas o puntos sensibles en tu seguridad empresarial. Contacta ahora para obtener más información.