Precio de un pentest en Colombia 2026: cuánto cuesta y cómo cotizarlo bien
En Colombia un pentest profesional cuesta entre 5 y 7 millones COP para alcance estándar de aplicación web, y llega a 40-60 millones en Red Team completo. La mayoría de empresas medianas se mueve entre 5 y 15 millones COP.
Por debajo de 3 millones no es pentest — es un escaneo automático de Nessus con un PDF maquillado. Por encima de 80 millones sin justificar alcance, hay margen para negociar.
Tabla de precios pentesting Colombia 2026
| Servicio preventivo | Objetivo de control | Inversión estimada |
|---|---|---|
| ISO 27001 Gap Assessment | Evaluación de brechas físicas, lógicas y documentales. | $5.200.000 COP |
| OWASP Pentesting | Pruebas de seguridad sobre aplicaciones expuestas al ciudadano. | $5.500.000 COP |
| Red Team Simulation | Explotación controlada de credenciales, Active Directory y rutas de ataque. | $6.800.000 COP |
| Total estimado | Programa preventivo de evaluación y mitigación inicial. | $17.500.000 COP |
Los precios en Colombia están 20-40% por debajo de Argentina, México y Chile para alcances equivalentes. La oferta local de consultores certificados creció fuerte entre 2022 y 2025, por eso contratar pentest con proveedor extranjero generalmente sale más caro sin mejor calidad técnica.
Cuánto cuesta un pentest con T.I. RESCUE
Precios base para alcances estándar (suben según número de aplicaciones, endpoints, IPs o tamaño del AD):
- Auditoría ISO 27001 / Gap Assessment: $5.200.000 COP
- Pentesting OWASP de aplicaciones: $5.500.000 COP
- Red Team / Simulación de ataque: $6.800.000 COP
Estos precios están dentro del rango profesional pero hacia el extremo bajo, porque tenemos equipo propio en Colombia y no subcontratamos consultores por hora — que es donde se infla la mayoría de propuestas del mercado.
Los precios en Colombia están 20-40% por debajo de Argentina, México y Chile para alcances equivalentes. La oferta local de consultores certificados creció fuerte entre 2022 y 2025, por eso contratar pentest con proveedor extranjero generalmente sale más caro sin mejor calidad técnica.
Por qué dos cotizaciones de pentest varían 10 veces de precio
Días-hombre del consultor senior mueve el 60% del precio. Una hora de pentester con PNPT, CRTP, OSCP o BSCP cuesta $250.000-450.000 COP. Una hora de junior con solo CEH cuesta $80.000-150.000. Si la propuesta no menciona el perfil del consultor asignado, asume junior.
Caja negra, gris o blanca. Caja gris es el punto óptimo para la mayoría de aplicaciones. Si el proveedor no te pregunta cuál necesitas antes de cotizar, no sabe lo que está vendiendo.
Profundidad de explotación. Identificar vulnerabilidades vs. explotarlas hasta extraer datos reales. Lo segundo cuesta el doble pero es lo único que vale como evidencia ante auditor ISO o regulador.
Retest incluido o aparte. La trampa más común del mercado. El retest cobrado por separado sale entre 30% y 50% del pentest original. Pide siempre 1 retest incluido a 30-60 días. Si no se puede, busca otro proveedor.
Tipo de informe. Profesional incluye resumen ejecutivo (8-12 págs), informe técnico con prueba de concepto (30-80 págs) y matriz de remediación priorizada. Eso son 3-5 días de redacción senior. Un PDF exportado de Burp toma 30 minutos. Algunos cobran ambos lo mismo.
Cumplimiento normativo. Si el pentest es para ISO 27001, PCI DSS, Circular 007 Superfinanciera o Habeas Data, los hallazgos deben venir mapeados a controles normativos. Si no está en la propuesta, el informe te sirve técnicamente pero no para sustentar auditoría.
Diferencia entre auditoría ISO 27001, pentesting y Red Team
Buena parte del problema de precios viene de que el mercado vende cosas distintas con el mismo nombre.
Auditoría ISO 27001 (Gap Assessment): revisión documental y de procesos del SGSI. No incluye explotación técnica. Sirve para certificarte o cumplir requisitos contractuales B2B.
Pentesting OWASP (aplicaciones): pruebas técnicas reales que explotan vulnerabilidades en software. Sirve para validar releases, certificaciones técnicas, post-incidente.
Red Team (simulación de ataque): ejercicio adversarial completo — phishing, intrusión técnica, evasión de EDR/SIEM, escalamiento en Active Directory, movimiento lateral, persistencia. Mide qué tan bien tu SOC y Blue Team detectan y responden. Solo tiene sentido si ya tienes SOC funcionando.
Si una PyME sin SOC contrata Red Team, paga 30M por un servicio que no puede consumir. Si una fintech regulada contrata auditoría ISO cuando necesita evidencia técnica, no pasa la auditoría externa.
Temas que podrían interesarte:
No espere a que un ataque exponga las debilidades de su infraestructura
Una revisión técnica puede identificar brechas en servidores, accesos, copias de seguridad y sistemas críticos antes de que se conviertan en una crisisTemas que podrían interesarte:
Suscríbete a Nuestro Blog: Mantente actualizado con las últimas noticias y consejos en ciberseguridad. Suscríbete ahora.
