Sua empresa tem firewall, antivírus, políticas de senha e talvez até um SIEM. Mesmo assim, a pergunta que poucos gestores conseguem responder com honestidade é: se um atacante decidisse invadir hoje, ele conseguiria?
Um pentest existe justamente para responder essa pergunta. Não com suposições ou relatórios automáticos cheios de falsos positivos, mas com evidências reais de exploração conduzidas por especialistas que pensam e agem como atacantes.
O que é um pentest, na prática
Pentest é a abreviação de penetration test, ou teste de invasão. É uma avaliação de segurança autorizada na qual especialistas simulam ataques reais contra os sistemas de uma organização. O objetivo é simples: encontrar vulnerabilidades antes que criminosos as descubram e demonstrar o impacto real de cada falha.
A grande diferença entre um pentest e um scan de vulnerabilidades é que o pentest é manual, contextual e orientado ao impacto. O especialista não apenas encontra uma falha. Ele a explora, encadeia com outras falhas e mostra até onde um atacante real conseguiria chegar.
No final, a empresa recebe dois relatórios. Um técnico, para a equipe de TI saber exatamente o que corrigir. E um executivo, para a liderança entender o risco em linguagem de negócio e tomar decisões informadas.
O que um pentest avalia
O escopo varia conforme a necessidade de cada organização, mas geralmente cobre uma ou mais destas áreas.
Aplicações web e APIs. Sistemas acessíveis pela internet são o vetor de ataque mais explorado no mundo. O pentest avalia falhas de autenticação, autorização, injeção de código, exposição de dados e lógica de negócio. Frameworks como o OWASP Top 10 servem de referência, mas um bom pentest vai muito além de qualquer checklist.
Mobile (iOS e Android). Aplicativos móveis trazem riscos específicos como armazenamento inseguro de dados no dispositivo, comunicação desprotegida com o backend, possibilidade de engenharia reversa e permissões excessivas.
Infraestrutura e rede. Servidores, redes internas, VPNs, Active Directory e serviços expostos. O foco aqui é identificar caminhos que permitam a um atacante se mover lateralmente pela rede e escalar privilégios até alcançar ativos críticos.
Cloud (AWS, Azure, GCP). Configurações incorretas em ambientes de nuvem são uma das fontes mais comuns de violações nos últimos anos. O pentest avalia IAM, buckets expostos, credenciais hardcoded, segmentação de rede e aderência a benchmarks como CIS.
Tipos de pentest: caixa preta, cinza e branca
A principal diferença entre os tipos de pentest está na quantidade de informação que o time de testes recebe antes de começar.
No teste de caixa preta, o time não recebe absolutamente nenhuma informação sobre os sistemas. Ele simula o cenário de um atacante externo que precisa fazer reconhecimento do zero. É o tipo mais realista, porém também o mais demorado.
No teste de caixa cinza, o time recebe informações parciais como credenciais de usuário comum, documentação de API e endereços de rede internos. Isso simula o cenário de um atacante que já obteve algum acesso inicial, talvez por phishing. É o modelo mais contratado porque equilibra bem realismo e profundidade.
No teste de caixa branca, o acesso é total: código-fonte, arquitetura, credenciais de administrador e toda a documentação. Permite a análise mais profunda possível, embora seja menos realista como simulação de ataque. É o ideal para auditorias de segurança em aplicações críticas.
Por que scanners automáticos não substituem um pentest
Ferramentas como Nessus, Qualys e OpenVAS são úteis para identificar vulnerabilidades conhecidas em escala. Mas elas têm limitações sérias que vale a pena entender.
A primeira é o volume de falsos positivos. Scanners reportam centenas de alertas, e muitos deles simplesmente não são exploráveis no contexto real do sistema. A equipe de TI perde horas triando alertas que não representam risco de verdade.
A segunda é que scanners não encadeiam falhas. Eles identificam vulnerabilidades isoladas. Já um pentester combina três falhas aparentemente inofensivas para obter acesso administrativo ao banco de dados. É nesse encadeamento que mora o risco real.
A terceira é que lógica de negócio é invisível para scanners. Falhas como "um usuário consegue acessar dados de outro cliente" ou "dá pra alterar o preço de um produto no carrinho" exigem raciocínio humano sobre como a aplicação funciona.
E por último, scanners não demonstram impacto. Um scan diz "vulnerabilidade de severidade alta encontrada". Um pentest mostra "com esta falha, extraímos os dados de 50.000 clientes em 12 minutos". A diferença de clareza é enorme.
Quanto custa um pentest no Brasil
O investimento varia conforme escopo, complexidade e profundidade. No mercado brasileiro, os valores costumam ficar nestas faixas:
Uma aplicação web simples, com 1 a 2 semanas de teste, fica entre R$ 15.000 e R$ 40.000. Uma aplicação complexa com APIs, de 2 a 4 semanas, entre R$ 40.000 e R$ 90.000. Infraestrutura de rede, de 1 a 3 semanas, entre R$ 25.000 e R$ 70.000. Ambiente cloud completo, de 2 a 4 semanas, entre R$ 35.000 e R$ 80.000. E mobile com backend, de 2 a 3 semanas, entre R$ 30.000 e R$ 60.000.
Pra colocar em perspectiva: o custo médio de uma violação de dados no Brasil é de aproximadamente R$ 7 milhões, segundo o relatório IBM Cost of a Data Breach 2025. Um pentest custa menos de 1% desse valor.
Quando fazer um pentest
Existem cenários onde o pentest deixa de ser "boa prática" e vira urgência.
O primeiro é antes de lançar um produto ou sistema. Validar segurança antes de expor ao público é infinitamente mais barato do que remediar uma violação depois do lançamento.
O segundo é após mudanças significativas na infraestrutura. Migrações de cloud, novas integrações, mudanças de arquitetura. Cada alteração pode abrir novos vetores de ataque.
O terceiro é para atender requisitos de compliance. LGPD, PCI-DSS, ISO 27001, SOC 2 e contratos com grandes clientes frequentemente exigem evidências de testes de segurança periódicos.
O quarto é periodicamente, mesmo sem mudanças. Vulnerabilidades novas surgem todo dia. Um sistema seguro há seis meses pode estar vulnerável agora por causa de um CVE publicado semana passada.
E o quinto é após um incidente de segurança, para garantir que a remediação funcionou e que não existem outros caminhos de comprometimento.
Como escolher uma empresa de pentest
Nem toda empresa de segurança entrega o mesmo nível de profundidade. Alguns critérios que vale observar:
Execução manual por especialistas certificados. Procure equipes com certificações como OSCP, eCPPT, eWPTX ou CRTA. Elas exigem exploração prática, não apenas conhecimento teórico.
Relatório técnico e executivo. O time de TI precisa de passos de reprodução e recomendações de correção. A diretoria precisa entender o impacto em linguagem de negócio. Um bom pentest entrega os dois.
Reteste incluso. Depois que as falhas são corrigidas, a empresa de pentest precisa voltar para verificar se tudo foi realmente resolvido. Isso tem que estar no contrato, não ser cobrado por fora.
NDA e contrato formal. Qualquer empresa séria assina um acordo de confidencialidade antes de receber qualquer informação sobre seus sistemas.
Histórico comprovável. CVEs publicados, ferramentas open-source, contribuições para a comunidade e participação em conferências são sinais concretos de que o time sabe o que está fazendo.
O que esperar do relatório
Um relatório profissional precisa ter, no mínimo, um resumo executivo com o nível geral de risco em linguagem acessível. Também deve trazer a metodologia utilizada (OWASP, PTES, NIST) e cada vulnerabilidade documentada com descrição, severidade CVSS, evidências, passos de reprodução e recomendação de correção.
As falhas devem vir classificadas por criticidade para orientar a priorização, e o relatório precisa incluir um plano de remediação que considere tanto o impacto quanto o esforço de cada correção.
Se o que você recebe é basicamente a saída de um scanner automatizado com uma capa bonita, você não contratou um pentest. Contratou um scan de vulnerabilidades com preço de pentest.
Conclusão
Pentest não é custo. É a forma mais direta de responder à pergunta que todo gestor deveria se fazer: quão vulnerável minha empresa está hoje?
A diferença entre uma organização que sofre uma violação e uma que não sofre raramente está na ausência total de falhas. Está na capacidade de encontrá-las e corrigi-las antes que alguém mal-intencionado as explore.
Se sua empresa nunca fez um pentest, ou se o último teste foi há mais de 12 meses, o risco não é hipotético. É mensurável. E a única forma de medir é testando.
