Cómo calcular el costo real de la ventana entre pentests

Once meses. Ese es el tiempo promedio que transcurre entre un pentest anual y el siguiente. Durante ese período la superficie de ataque cambia, los activos se multiplican y las vulnerabilidades nuevas se acumulan sin validación. La buena noticia es que esa ventana no es inevitable: existe una forma de cerrarla. Pero antes de resolverla, conviene poder medirla, porque es un costo que casi nunca se cuantifica y que rara vez llega a la conversación con finanzas.

Qué es la ventana de exposición

La ventana de exposición es el período que transcurre entre una evaluación de seguridad y la siguiente, durante el cual los cambios en la superficie de ataque no se validan. En un modelo de pentest anual, esa ventana puede extenderse hasta once meses. No se trata de un problema de calidad del pentest, sino de cadencia: una prueba puntual entrega una foto precisa de un momento determinado, pero la postura de seguridad de una organización no se mantiene estática hasta la próxima evaluación. Cada activo nuevo, cada despliegue y cada vulnerabilidad publicada amplía la distancia entre lo que se validó y lo que está expuesto hoy.

El costo de no detectar a tiempo, en números

Los datos de industria permiten dimensionar el problema sin recurrir a estimaciones internas. Según el IBM Cost of a Data Breach Report 2025, el costo promedio global de una brecha de datos alcanzó los USD 4.44 millones, y en Estados Unidos llegó a un máximo histórico de USD 10.22 millones. El mismo informe ubica el tiempo promedio para identificar y contener una brecha en 241 días, una cifra que por sí sola supera ampliamente la cadencia de una evaluación anual.

A esto se suma el origen de los incidentes. El Verizon DBIR 2025 reporta que el 20% de las brechas se originan en la explotación de vulnerabilidades, con un crecimiento del 34% año a año. Es decir, la vía de entrada que una validación continua está mejor posicionada para cerrar es justamente la que más rápido crece. La conclusión que se desprende de estos números es directa: el costo de no detectar a tiempo dejó de ser una hipótesis y pasó a ser una realidad operativa para cualquier organización con activos digitales expuestos.

¿Cómo se calcula el costo de la ventana de exposición?

El cálculo no requiere precisión absoluta, sino una forma estructurada de estimar el riesgo financiero acumulado. El marco se apoya en tres variables.

La primera es el impacto potencial: el costo estimado de una brecha para la organización, que puede anclarse en los promedios de industria o ajustarse según el sector y el volumen de datos manejados. La segunda es la probabilidad de exposición durante la ventana, que depende de cuántos activos nuevos aparecen entre pruebas, con qué frecuencia se publican vulnerabilidades relevantes para el stack en uso y cuánto tarda la organización en remediar. La tercera es la duración de la ventana misma: cuantos más meses transcurren sin validación, mayor es la superficie que queda sin verificar.

El riesgo financiero acumulado surge de cruzar esas variables: probabilidad de exposición multiplicada por impacto potencial, proyectada sobre la duración de la ventana. El resultado no es una cifra exacta, sino un orden de magnitud que convierte una preocupación técnica en un argumento que finanzas puede evaluar. Vale la pena señalar que las organizaciones que incorporan IA y automatización de forma extensiva en seguridad reportan un ahorro promedio de USD 1.9 millones y un ciclo de brecha 80 días más corto, según IBM, un dato que ayuda a contextualizar el retorno de acortar esa ventana.

Cómo achicar la ventana de exposición

Una vez que la ventana está cuantificada, la pregunta deja de ser si conviene cerrarla y pasa a ser cómo. Y acá es donde cambia el modelo. La validación híbrida continua no reemplaza al pentest puntual: lo convierte en un proceso vivo. En lugar de una foto anual, combina automatización con IA para el descubrimiento constante de activos y vulnerabilidades, pentesters certificados que validan la explotabilidad real y la lógica de negocio, y una plataforma que prioriza por riesgo en tiempo real. El efecto sobre la ventana de exposición es directo: en vez de medirse en meses, se mide en días. Eso es, en esencia, lo que hace Strike — cerrar la distancia entre lo que se validó y lo que está expuesto hoy, sin esperar a la próxima prueba.

Por qué la frecuencia importa tanto como la profundidad

La discusión tradicional sobre pentesting se concentra en la profundidad: qué tan exhaustiva es la prueba, qué alcance cubre, qué tan calificado es el equipo que la ejecuta. Todo eso sigue siendo necesario, pero resulta insuficiente cuando la exposición se mide en meses y la explotación se mide en días. Una evaluación profunda que se repite una vez al año deja, por definición, una ventana en la que la profundidad ya no protege.

Cuantificar el costo de esa ventana es el primer paso para sustentar ante finanzas por qué la frecuencia de validación dejó de ser un detalle operativo y pasó a ser una variable de riesgo. El número exacto dependerá del nivel de exposición de cada organización, de su velocidad de remediación y del costo potencial de los incidentes evitados. Lo que el cálculo sí permite afirmar con certeza es que el costo de no mirar durante once meses rara vez es cero, y casi nunca es menor al de validar de forma continua.

‍