"Faz pentest aí?" — pergunta comum em RFPs de segurança em 2026. Mas há muita variabilidade entre fornecedores: alguns entregam scan automatizado disfarçado de pentest, outros entregam análise profunda real. Veja como diferenciar.
O que é pentest (e o que não é)
Pentest (Penetration Test) é a simulação controlada de ataques contra sistemas, com objetivo de identificar vulnerabilidades antes de atacantes reais explorarem.Não é a mesma coisa que:
• Vulnerability Scan: ferramenta automatizada (Nessus, Qualys) varre por vulnerabilidades conhecidas. Mais barato, menos profundo. Boa prática mensal/trimestral.
• Auditoria de código: revisão de código fonte por boas práticas. Importante mas diferente.
• Red Team: exercício de longa duração que simula adversário avançado. Pentest é mais focado e curto.
Pentest combina ferramentas + análise manual de especialista por dias/semanas.
Tipos: Black-box, Grey-box, White-box
• Black-box: pentester não tem informação prévia. Simula atacante externo. Demora mais, custa mais, encontra menos. Bom para validar postura externa real.• Grey-box: pentester recebe credenciais válidas (usuário comum). Simula insider/atacante que comprometeu credenciais. Equilibra realismo e profundidade.
• White-box: pentester recebe documentação, código fonte, arquitetura. Encontra mais vulnerabilidades em menos tempo. Bom para validar antes de produção.
Programa maduro combina os três ao longo do ano. Apenas black-box é insuficiente.
O que pentestar
Escopos comuns:• Aplicação web: mais comum, foca em OWASP Top 10 (injeção, autenticação, XSS, etc)
• Aplicação mobile: iOS e Android, análise estática + dinâmica
• API: RESTful, GraphQL, autenticação, autorização
• Infraestrutura externa: superficie de ataque pública, services expostos
• Infraestrutura interna: simula atacante já dentro da rede
• Engenharia social: phishing, vishing, tentativa física
• Wi-Fi corporativo: WPA2/WPA3, fragilidades de configuração
• Cloud: AWS, Azure, GCP — IAM, exposição de buckets, etc
Programa maduro: pentest semestral em escopos diferentes.
Frequência e momentos chave
Quando fazer pentest:• Semestralmente em sistemas críticos
• Antes de cada release maior em aplicações web/mobile
• Após mudanças significativas de arquitetura
• Antes de auditoria ISO 27001 ou recertificação
• Antes de fechar contratos com clientes que exigem
• Após incidente de segurança (validar correções)
• Anualmente em todos os ativos de exposição externa
Custos no Brasil 2026
• Aplicação web simples: R$ 15k-35k• Aplicação web complexa (e-commerce, fintech): R$ 30k-80k
• API completa: R$ 20k-50k
• Infraestrutura externa (até 50 IPs): R$ 12k-30k
• Infraestrutura interna (até 200 hosts): R$ 35k-90k
• Mobile (iOS + Android): R$ 25k-60k
• Engenharia social (phishing controlado): R$ 8k-25k
• Cloud audit (AWS/Azure): R$ 30k-80k
Variação enorme entre fornecedores — alguns fazem por R$ 5k entregando scan disfarçado. Cuidado.
Conheça nosso serviço de cybersecurity.
Como escolher fornecedor
Critérios essenciais:☐ Equipe com certificações reconhecidas: OSCP, OSCE, CEH, GPEN
☐ Cases verificáveis (sob NDA, mas verificáveis)
☐ Metodologia clara: PTES, OWASP, NIST SP 800-115
☐ Relatório técnico com PoC reproduzível
☐ Calls de explicação técnica das vulnerabilidades encontradas
☐ Sugestões de remediação concretas (não só "implementar autenticação forte")
☐ Retest gratuito após correções
☐ NDA mútuo
☐ Prazo de execução compatível com profundidade prometida
☐ Foco em pessoas (analistas) — não só ferramentas automatizadas
Fuja de quem entrega "pentest" em 3 dias por R$ 5k. Não é pentest real.
Precisa de ajuda com isso na sua empresa?
A Pilar TI pode te ajudar a implementar o que você acabou de ler. Conversamos por 30 minutos para entender seu cenário e indicar o caminho — sem compromisso comercial.
Agendar conversa