O Que É Pentest? Guia Definitivo para Empresas Brasileiras
O Que É Pentest? Guia Definitivo para Empresas Brasileiras
Se você chegou até aqui, provavelmente alguém — um investidor, um cliente enterprise, um auditor ou seu próprio time — perguntou: “a gente faz pentest?”. Este guia responde tudo que você precisa saber antes de contratar um.
Definição: O Que É Pentest (Teste de Invasão)
Pentest (abreviação de penetration testing, ou teste de penetração/invasão) é uma simulação controlada e autorizada de um ataque cibernético contra sua aplicação, API, infraestrutura ou organização.
O objetivo é encontrar vulnerabilidades reais antes que um atacante real o faça.
A diferença fundamental entre um pentest e um ataque real é: autorização e controle. O pentester age como um atacante real — usa as mesmas ferramentas, técnicas e mentalidade — mas dentro de um escopo definido e com objetivo de documentar, não de causar dano.
Pentest vs. Scanner de Vulnerabilidade: A Diferença Crítica
Essa é a confusão mais comum no mercado. Muitas empresas pagam por scanners automatizados (Qualys, Nessus, DAST tools) pensando que estão fazendo pentest. Não estão.
| Aspecto | Scanner Automatizado | Pentest Manual |
|---|---|---|
| Execução | Automático | Humano especialista |
| Custo | Baixo | Médio-alto |
| Vulnerabilidades detectadas | Conhecidas, com CVE | Conhecidas + lógica de negócio |
| Business Logic Flaws | ❌ Não detecta | ✅ Foco principal |
| IDOR em APIs autenticadas | ❌ Raramente | ✅ Padrão |
| Falsos positivos | Alto | Baixo (validado manualmente) |
| Relatório | Automático e genérico | Técnico com evidências reais |
| Valor para auditores (BACEN, ISO) | Limitado | Aceito como evidência |
Business Logic Flaws — vulnerabilidades de lógica de negócio — são encontradas exclusivamente por pentesters humanos. Um scanner nunca vai perceber que sua API permite que um usuário cancele o pedido de outro cliente simplesmente trocando o order_id no body da requisição.
Os 5 Tipos de Pentest que Existem
1. Pentest Web Application
Testa aplicações web: login, fluxos de pagamento, painel de cliente, APIs REST. Foca em OWASP Top 10: IDOR, XSS, SQLi, SSRF, autenticação quebrada, etc.
Para quem: Qualquer empresa com produto web — SaaS, e-commerce, fintech, marketplace.
2. Pentest de API REST/GraphQL
Foca exclusivamente em APIs backend. Testa autenticação (JWT, OAuth2), autorização por endpoint, rate limiting, mass assignment, excessive data exposure, e variantes específicas de API.
Para quem: SaaS B2B com APIs expostas a parceiros ou clientes. Mobile backends.
3. Pentest Mobile (Android/iOS)
Analisa o aplicativo instalado: armazenamento inseguro de tokens e dados sensíveis, interceptação de tráfego, bypass de SSL pinning, e APIs chamadas pelo app.
Para quem: Fintechs, bancos digitais, apps com dados PII ou financeiros.
4. Pentest de Infraestrutura (Cloud/On-Prem)
Testa a rede, servidores, serviços expostos, configurações de cloud (AWS, GCP, Azure). Inclui enumeração de S3 buckets públicos, security groups permissivos, credenciais expostas.
Para quem: Empresas com infra própria ou complexa arquitetura cloud.
5. Red Team
Simulação de ataque completa e realista: combina web, infra, social engineering (phishing direcionado), e persistência. Sem escopo fixo — o objetivo é comprometer a organização, como um APT real faria.
Para quem: Empresas com maturidade de segurança que já fazem pentest regularmente e querem uma simulação adversarial real.
Pentest Black Box, White Box e Grey Box
Além dos tipos por alvo, o pentest varia conforme o nível de informação fornecida ao pentester:
Black Box — Zero informação. Pentester começa como um atacante desconhecido: sem credenciais, sem código-fonte, sem documentação. Simula um ataque externo real. Mais lento e caro, testa a superfície de ataque real.
White Box — Acesso completo: credenciais, código-fonte, arquitetura, documentação. Mais eficiente e profundo. Encontra vulnerabilidades que Black Box nunca alcançaria (lógica de negócio interna, backdoors no código).
Grey Box — Meio-termo: algumas credenciais e informações arquiteturais, sem código-fonte. O mais comum em pentest de aplicação web e API. Simula um atacante que obteve acesso inicial (ex: token vazado).
Quanto Tempo Leva um Pentest?
Para uma aplicação web de médio porte:
- Black Box Web App: 5–10 dias úteis
- White Box Web + API: 7–15 dias úteis
- Infraestrutura Cloud: 3–7 dias úteis
- Red Team Completo: 3–6 semanas
O Que é Entregue no Final de um Pentest
Um pentest de qualidade entrega um relatório técnico com:
- Executive Summary — Resumo executivo para C-level sem jargão técnico
- Vulnerabilidades encontradas — Com severidade (CVSS), evidência (screenshot + request/response), e risco ao negócio
- Proof of Concept — Código ou request que demonstra a exploração real
- Recomendações de remediação — Por vulnerabilidade, com exemplo de código
- Reteste — Após correções, validação de que as vulnerabilidades foram resolvidas
Se o relatório que você recebeu parece com output de Nessus ou OWASP ZAP sem evidências manuais — não é um pentest real.
Por Que Empresas Brasileiras Precisam de Pentest Agora
LGPD (Lei Geral de Proteção de Dados)
O Art. 46 da LGPD exige ”adoção de medidas de segurança, técnicas e administrativas aptas a proteger os dados pessoais”. Um pentest documentado prova diligência técnica perante a ANPD em caso de incidente.
BCB Resolução 538/2025 + CMN 5.274/2025
Em vigor desde março de 2026, as resoluções do Banco Central tornam o pentest anual obrigatório para todas as instituições autorizadas pelo BCB — bancos digitais, fintechs, cooperativas de crédito, instituições de pagamento. Os resultados devem ser retidos por 5 anos.
ISO 27001:2022
A cláusula 8.8 (Gerenciamento de Vulnerabilidades Técnicas) exige avaliação e teste de vulnerabilidades. Clientes enterprise que exigem ISO 27001 vão pedir evidência de pentest na due diligence.
Seguros Cibernéticos
Seguradoras no Brasil já exigem pentest report recente (últimos 12 meses) para renovação de apólices de cyber insurance. Sem pentest, sem seguro — ou prêmio 2–3× mais caro.
Como Solicitar um Pentest
Todo bom processo de pentest começa com um scoping call: entender o que vai ser testado, em qual ambiente (produção ou staging), com que credenciais (Black/Grey/White Box), e qual o prazo.
Quer saber se sua aplicação tem vulnerabilidades críticas? Fale com nossa equipe — escopo e proposta em 24h.