← Blog
technical
Scanner vs pentest: por que Nessus no es suficiente Scanner vs pentest: why Nessus is not enough
· Rekon
Lo que un scanner hace bien
Herramientas como Nessus, Qualys y Tenable son excelentes para lo que fueron disenadas: detectar CVEs conocidos por firma, verificar configuraciones basicas, y generar inventario de vulnerabilidades publicas.
Si tu equipo no corre ningun scanner, empezar por ahi tiene sentido.
Lo que un scanner no hace
- Logica de negocio: un scanner no sabe que tu API permite cambiar el precio de un producto a $0 modificando un parametro
- IDOR: no puede detectar que el usuario 1 puede ver los datos del usuario 2 cambiando un ID en la URL
- Encadenamiento: no combina un XSS + un CSRF + una escalacion de privilegios para demostrar RCE
- Post-explotacion: no muestra que pasa despues del acceso inicial — movimiento lateral, exfiltracion, persistencia
Por que importa para compliance
Los auditores de SOC 2 y PCI-DSS rechazan reportes de scanner como unica evidencia de pentest. El motivo: un scanner no demuestra explotabilidad real ni documenta impacto de negocio.
Un pentest profesional produce evidencia adversarial: request/response capturados, payloads funcionales, y pasos de reproduccion que cualquier desarrollador puede seguir.
Cuando usar cada uno
| Necesidad | Herramienta |
|---|---|
| Inventario de CVEs | Scanner |
| Compliance basico | Scanner + pentest |
| Saber si alguien puede realmente entrar | Pentest |
| Evidencia para auditoria | Pentest |
| Validar remediaciones | Ambos |
La respuesta correcta no es uno u otro — es saber para que sirve cada uno y usarlos en el contexto correcto.