Del pentest anual a CTEM: por qué la evaluación periódica ya no protege
Cada año se repite la misma escena en cientos de empresas colombianas. Se contrata un pentest, llega un informe de ochenta páginas, el equipo corrige lo más urgente, archiva el resto “para después” y respira tranquilo. Doce meses más tarde, vuelta a empezar.
El problema es sencillo de enunciar y difícil de aceptar: los atacantes no trabajan por temporadas. Mientras ese informe envejece en una carpeta compartida, tu infraestructura cambia todas las semanas —un servidor nuevo, una API expuesta, un plugin desactualizado, un empleado que conecta una app de terceros a su correo corporativo— y cada cambio abre una puerta que el pentest del año pasado nunca vio.
Aquí es donde entra un concepto que va a marcar 2026: la gestión continua de la exposición, o CTEM por sus siglas en inglés. No es una herramienta más ni una moda de consultora. Es un cambio en la forma de pensar la seguridad, y conviene entenderlo antes de que tu competencia lo haga primero.
El pentest nació para un mundo que ya no existe
Para ser justos: el pentest anual tuvo todo el sentido del mundo en su momento. Cuando la infraestructura de una empresa cabía en un par de servidores en un cuarto de telecomunicaciones, una revisión profunda una vez al año era una fotografía bastante fiel de tu riesgo. Lo que veías en enero seguía siendo más o menos cierto en diciembre.
Ese mundo se acabó. Hoy una empresa mediana en Colombia puede tener cargas en su propio centro de datos, otras en la nube pública, un puñado de aplicaciones SaaS que nadie inventarió formalmente, dispositivos conectados en sucursales y un equipo trabajando desde casa con sus propios routers. La superficie de ataque dejó de ser una fotografía. Es una película, y cambia de fotograma todos los días.
Un pentest sigue siendo valioso —ya volveremos a eso—, pero usarlo como tu único mecanismo de evaluación es como revisar los frenos del carro una vez al año y asumir que están bien los otros 364 días.
Lo que cambió: ataques automatizados y una superficie que no para de crecer
Los números del entorno nacional cuentan una historia que parece contradictoria. Según el informe de ColCERT, los incidentes gestionados a nivel gubernamental cayeron de 1.427 en 2024 a 697 en 2025, casi a la mitad. Suena a buena noticia. No lo es del todo.
La propia lectura oficial aclara que la caída no se debe a menos actividad criminal, sino a una mejor capacidad de detección. Los ataques no bajaron: se volvieron más selectivos, más persistentes y, sobre todo, más automatizados. El fraude —liderado por phishing— concentra cerca del 80% de los incidentes, y las amenazas persistentes ya no apuntan solo a la infraestructura crítica del Estado, sino también a pymes y servicios digitales.
¿Cómo entran? Casi siempre por lo de siempre. Durante el primer trimestre de 2026, ColCERT documentó una campaña de exfiltración que comprometió varias plataformas institucionales aprovechando un denominador común aburridamente predecible: paneles de administración (/admin, /wp-admin, /login) expuestos a internet, sin restricción de red y sin segundo factor de autenticación. Scripts automatizados barren miles de dominios buscando exactamente eso. No necesitan un genio detrás del teclado; necesitan que alguien deje una puerta abierta una sola noche.
Y ese es el punto que el pentest anual no puede cubrir. Esa puerta pudo abrirse en marzo, tres semanas después de tu última auditoría. Para cuando llegue la siguiente, en marzo del año entrante, los datos ya se vendieron tres veces.
Qué es, en realidad, la gestión continua de exposición (CTEM)
Que es y como implementarlo en tu empresa
Pentest anual vs. CTEM: la diferencia que importa
| Pentest anual | CTEM | |
|---|---|---|
| Frecuencia | Una o dos veces al año | Monitoreo permanente |
| Qué mide | Tu riesgo en un día concreto | Tu riesgo hoy, y mañana |
| Cómo prioriza | Por gravedad teórica (CVSS) | Por explotabilidad real y valor del activo |
| Qué cubre | El alcance contratado | Activos físicos, nube, identidades, APIs y SaaS |
| Resultado | Un informe | Un proceso vivo de reducción de riesgo |
Dicho de otra forma: el pentest te dice cómo estabas. CTEM te dice cómo estás.
¿Quieres una revisión de tu superficie expuesta? Escríbenos y te decimos por dónde empezar.
Si quieres saber qué tan expuesta está tu empresa hoy — no el año pasado —, hablemos¿Significa esto que el pentest está muerto?
No, y desconfía de quien te diga lo contrario para venderte una suscripción.
El pentest sigue siendo insustituible para lo que hace bien: una persona experta intentando romper tu sistema con creatividad, encadenando fallos que ninguna herramienta automática conecta, pensando como piensa un atacante de verdad. Eso no lo reemplaza un escáner. Un buen ejercicio de Red Team o un pentest con metodología OWASP encuentra cosas que el monitoreo continuo nunca vería.
La diferencia es el rol. En un esquema moderno, el pentest deja de ser el control de seguridad y pasa a ser una pieza dentro de CTEM: la fase de validación profunda, la prueba de fuego periódica que confirma —con un humano del otro lado— que lo que el monitoreo marcó como riesgo realmente lo es. Pentest y CTEM no compiten. Se necesitan.
Por dónde empezar sin volverte loco
Migrar a un modelo continuo suena a proyecto gigante, pero no tiene que serlo de un día para otro. Si quieres dar los primeros pasos:
Mapea lo que tienes expuesto. No puedes proteger lo que no sabes que existe. Empieza por descubrir todo lo que da a internet, incluidos los paneles de administración y las APIs que se quedaron por ahí.
Cierra lo obvio primero. Acceso de administración solo por VPN o lista blanca, segundo factor en todo lo que mire a internet, y un cortafuegos web delante de tus aplicaciones. Es lo que habría frenado la mayoría de los casos que documentó ColCERT.
Pasa de “una foto al año” a “monitoreo + validación periódica”. Un SOC que vigile tu superficie de forma continua, combinado con pentests programados para la validación profunda.
Prioriza por riesgo real, no por la longitud del informe. Mejor cerrar las cinco cosas que de verdad pueden tumbarte que parchear cincuenta que nadie va a explotar.
Vale la pena recordar un dato local: en Colombia, julio, agosto y septiembre concentran históricamente el mayor volumen de incidentes. Si tu única evaluación del año cae en febrero, llegas a la temporada alta con información de seis meses atrás. Ese desfase es justamente el hueco que CTEM cierra.
Temas que podrían interesarte:
Como mínimo una vez al año y después de cualquier cambio importante en tu infraestructura. Pero la pregunta de fondo ya no es "cada cuánto", sino "qué hago los otros 364 días". Ahí entra el monitoreo continuo.
No. CTEM es el programa continuo; el pentest es la validación profunda dentro de ese programa. Se complementan.
Sirve, y arguably más. Las pymes suelen ser el objetivo preferido de los ataques automatizados precisamente porque asumen que "a mí no me va a pasar". Empezar por mapear lo expuesto y cerrar lo básico cuesta poco y evita la mayoría de los incidentes.
Suscríbete a Nuestro Blog: Mantente actualizado con las últimas noticias y consejos en ciberseguridad. Suscríbete ahora.
