Ciberseguridad

¿Cuánto cuesta un pentest en Costa Rica? (y qué deberías recibir)

Cerberus CR · 15 jun 2026 · 3 min de lectura

Es la primera pregunta que recibimos, y la respuesta honesta es: depende. No por evasivo, sino porque un pentest no es un producto de estante — su precio se define por el alcance. Acá te damos rangos reales para Costa Rica y, más importante, qué deberías recibir por tu plata.

Qué hace variar el precio

  • Alcance. No es lo mismo una aplicación web pequeña que toda tu red interna y externa.
  • Tipo de prueba. Web, red, API, aplicación móvil o ingeniería social tienen esfuerzos distintos.
  • Profundidad. Caja negra (sin información), gris o blanca (con accesos y código) cambian el tiempo.
  • Tamaño de la superficie. Cantidad de dominios, IPs, endpoints y servicios a evaluar.
  • Si incluye retest. Volver a probar tras la remediación es trabajo extra — y debería estar incluido.

Rangos de referencia (USD, orientativos)

Estos números son una guía para que no te agarren fuera de base. El precio final siempre se cotiza contra el alcance real:

  • Diagnóstico / recon express: desde ~$150–$300. Una foto rápida de tu exposición externa.
  • Pentest web puntual: ~$800–$2,000 según la superficie y la profundidad.
  • Pentest de red (interna + externa): ~$1,200–$3,500.
  • Monitoreo / retainer continuo: desde ~$250/mes.
Desconfiá de un precio cerrado antes de definir el alcance. Si te cotizan un "pentest" sin preguntarte cuántos activos tenés ni qué querés proteger, no están cotizando un pentest.

Qué deberías recibir (y casi nadie entrega)

  • Prueba de concepto por hallazgo. Cada vulnerabilidad reproducible, no una lista genérica de un escáner.
  • Reporte dual: una capa ejecutiva (qué significa para el negocio) y una técnica (cómo remediar).
  • Priorización por impacto — un semáforo claro, no 200 hallazgos sin orden.
  • Mapeo a la tríada CIA (Confidencialidad, Integridad, Disponibilidad).
  • Retest de cierre para confirmar que lo remediado quedó resuelto.
  • Contrato con autorización firmada. Es un requisito legal, no un trámite opcional.

Señales de un "pentest de humo"

  • Te venden la salida de un escáner automatizado como si fuera un pentest manual.
  • Cero pruebas de concepto: hallazgos que nadie validó.
  • Reporte genérico, sin tu contexto ni priorización.
  • No hay retest ni plan de remediación.
  • Nadie te pidió firmar una autorización.

Lo legal: sin autorización, es delito

En Costa Rica, acceder o escanear sistemas sin permiso está penado por la Ley 9048 de delitos informáticos. Por eso un pentest serio siempre arranca con un contrato que incluye cláusula de autorización y alcance. Para nosotros es un bloqueante de arranque — no se toca un activo tuyo sin ese papel firmado.

¿Querés saber qué tan expuesta está tu empresa?

Ver ciberseguridad WhatsApp

Publicado por Cerberus CR · Telecom · Ciberseguridad · Software · Costa Rica. ← Volver al blog

Contacto

¿Lo llevamos a tu empresa?

Contanos qué necesitás y te enviamos una propuesta a medida. También por WhatsApp.