El Informe de la encuesta del estado del estado de Pentesting por Pentera pinta una imagen sorprendente de un paisaje de ciberseguridad bajo asedio y evolucionando rápidamente. Esta no es solo una historia sobre la defensa de las fronteras digitales; Es un plan de cómo las empresas están transformando su enfoque de seguridad, impulsado por la automatización, las herramientas basadas en la IA y la presión implacable de las amenazas del mundo actual.
Las violaciones persisten a pesar de las pilas de seguridad más grandes
A pesar de implementar pilas de seguridad cada vez más complejas, el 67% de las empresas estadounidenses informaron haber experimentado una violación en los últimos 24 meses. Estos tampoco fueron incidentes menores: el 76% informó un impacto directo en la confidencialidad, la integridad o la disponibilidad de datos, y el 36% experimentó el tiempo de inactividad no planificado, mientras que el 28% enfrentó pérdidas financieras.
La correlación es clara: a medida que aumenta la complejidad de la pila, también lo hacen las alertas y las violaciones. Las empresas que usan más de 100 herramientas de seguridad experimentaron un promedio de 3,074 alertas semanales, mientras que las que usan entre 76 y 100 herramientas enfrentaron 2,048 alertas por semana
Sin embargo, esta avalancha de datos a menudo abruma a los equipos de seguridad, retrasando los tiempos de respuesta y permitiendo amenazas reales para pasar las grietas.
El seguro de ciberseguridad está dando forma a la adopción tecnológica
Las aseguradoras cibernéticas se han convertido en impulsores inesperados de innovación de ciberseguridad. Un sorprendente 59% de las empresas estadounidenses implementó nuevas herramientas de seguridad específicamente a solicitud de su aseguradora, y el 93% de las CISO informaron que las aseguradoras influyeron en sus posturas de seguridad. En muchos casos, estas recomendaciones fueron más allá del cumplimiento: la estrategia tecnológica con forma.
El auge de Pentesting basado en software program
Pentesting guide ya no es el valor predeterminado. Más del 55% de las organizaciones ahora dependen de Pentesting basado en software program dentro de sus programas internos, con otro 49% utilizando proveedores de terceros. Por el contrario, solo el 17% todavía depende únicamente de las pruebas manuales internas.
Esta transición a Pruebas de adversario automatizadas Refleja una tendencia más amplia: la necesidad de validación escalable, repetible y en tiempo actual en una period de amenazas en constante evolución. Estas plataformas automatizadas simulan ataques que van desde malware sin archivos hasta la escalada de privilegios, lo que permite a las empresas evaluar su resiliencia continuamente y sin interrupción.
Los presupuestos de seguridad están creciendo, rápido
La seguridad no se está volviendo más barata, pero las organizaciones lo priorizan de todos modos. El presupuesto promedio anual Pentesting es de $ 187,000, que representa el 10.5% del gasto whole de seguridad de TI. Las empresas más grandes (más de 10,000 empleados) gastan aún más, un promedio de $ 216,000 anualmente.
En 2025, el 50% de las empresas planean aumentar sus presupuestos de pentesting, y el 47.5% espera aumentar su gasto normal de seguridad. Solo el 10% anticipa una disminución en la inversión. Estos números destacan el aumento de la seguridad de una necesidad operativa a una prioridad de la sala de juntas.
Las pruebas de seguridad todavía están jugando
Aquí hay una desconexión sorprendente: el 96% de las empresas informan que la infraestructura cambia al menos trimestralmente, pero solo el 30% realiza una gran cantidad a esa misma frecuencia. El resultado? Las nuevas vulnerabilidades pasan a través de cambios no probados, expandiendo la superficie de ataque con cada actualización de empuje o configuración de software program.
Solo el 13% de las grandes empresas con más de 10,000 empleados realizan Pentests trimestrales. Mientras tanto, casi la mitad todavía prueba solo una vez al año, un retraso peligroso en el entorno de amenazas dinámicas de hoy.
La alineación de riesgos es más aguda que nunca
Alentadoramente, los líderes de seguridad están enfocando las pruebas donde realmente ocurren violaciones. Casi el 57% prioriza los activos de la internet, seguidos de servidores internos, API, infraestructura en la nube y dispositivos IoT. Esta alineación refleja una creciente conciencia de que los atacantes no discriminan: explotan cualquier vulnerabilidad disponible en toda la superficie de ataque.
Las API, en explicit, han surgido como un objetivo de alta prioridad, tanto para los atacantes como para los defensores. Estas interfaces son cada vez más esenciales para las operaciones comerciales, pero a menudo carecen de visibilidad y monitoreo estándar, lo que las hace maduras para la explotación.
Operacionalización de resultados de Pentest
Los informes de Pentest ya no se están archivando. En cambio, el 62% de las empresas transfieren inmediatamente los hallazgos a la priorización de la remediación, mientras que el 47% comparten los resultados con la alta gerencia y el 21% informan directamente a sus juntas o reguladores.
Este cambio hacia la acción refleja una integración más profunda de Pentesting en la gestión estratégica de riesgos, no solo la casilla de verificación de cumplimiento. La validación de seguridad se está convirtiendo en parte de la conversación empresarial.
¿Qué está reteniendo aún más rápido un progreso?
Si bien las líneas de tendencia son positivas, los inhibidores clave permanecen. Las dos principales barreras para la pentestación más frecuente son las limitaciones presupuestarias (44%) y la falta de pentestres disponibles (48%), este último que refleja un déficit international de 4 millones de profesionales de ciberseguridadsegún el Foro Económico Mundial.
El riesgo operativo, como el miedo a las interrupciones durante las pruebas, sigue siendo una preocupación para el 30% de los CISO.
De la obligación de cumplimiento a un arma estratégica
Pentesting ha evolucionado mucho más allá de sus orígenes como requisito regulatorio. Hoy, admite iniciativas estratégicas, incluida la diligencia debida de fusiones y adquisiciones y la toma de decisiones a nivel ejecutivo. Casi un tercio de los encuestados ahora citan “mandato ejecutivo” y “preparándose para las fusiones y adquisiciones” como razones clave para realizar pentests.
Esto marca una transformación elementary: desde un chequeo reactivo hasta una medida proactiva y continua de resiliencia cibernética.
Pensamientos finales
El Informe de la encuesta del estado del estado de Pentesting es más que una actualización de estado: es una llamada de atención. A medida que las superficies de ataque crecen y los actores de amenaza se vuelven más sofisticados, las organizaciones ya no pueden permitirse enfoques lentos, manuales o aislados para las pruebas de seguridad. Pentesting basado en software program a IA interviene para cerrar esa brecha con velocidad, escala e información.
Las organizaciones que prosperan en esta nueva period serán aquellas que tratan la validación de seguridad no solo como una necesidad técnica, sino como un imperativo estratégico.
Para más información, descargue el completo Informe de la encuesta del estado del estado de Pentesting de Pentera.
