El mercado de penetration testing as a service (PTaaS) sigue creciendo a buen ritmo. Según un informe de MarketsandMarkets, este mercado pasará de 720 millones de dólares en 2026 a 1.980 millones en 2031, con un crecimiento anual del 22,6%.
Pero lo interesante no es solo el dato, sino lo que hay detrás: el pentesting está dejando de ser algo puntual para convertirse en un proceso continuo. Durante años, muchas organizaciones han vivido con la lógica de hacer un pentest al año. El problema es que ese modelo ya no encaja en entornos donde las aplicaciones cambian cada semana, las APIs se multiplican y el negocio depende cada vez más del software.
Aquí es donde el modelo PTaaS empieza a tener sentido. Plataformas que permiten lanzar pruebas de forma continua, combinar automatización con expertos y, sobre todo, tener visibilidad más o menos en tiempo real de dónde están los fallos.
Además, el uso de comunidades de hackers éticos —un enfoque que han impulsado compañías como Synack, NetSPI o Veracode— está cambiando también la forma de trabajar. No se trata solo de hacer pruebas, sino de hacerlo con una diversidad de perfiles que se acercan bastante más a cómo actúa un atacante real.
Cloud, el elemento que complica el escenario
Si hay un factor que está empujando este mercado es el cloud. No tanto por el cloud en sí, sino por todo lo que viene con él: entornos híbridos, multi-cloud, arquitecturas distribuidas, contenedores, funciones serverless… Todo eso hace que la superficie de ataque crezca casi sin que las organizaciones sean del todo conscientes. Y ahí es donde el pentesting tradicional se queda corto.
El propio informe de Check Point sobre seguridad cloud lo deja bastante claro: el 61% de las empresas ha sufrido algún incidente en la nube en el último año. No es tanto que el cloud sea inseguro, sino que es fácil cometer errores de configuración, exponer APIs o gestionar mal identidades y privilegios.
Las plataformas PTaaS están entrando justo ahí, ayudando a detectar ese tipo de fallos antes de que alguien los encuentre desde fuera.
La tendencia es global
Como suele ocurrir, Norteamérica va por delante, tanto por madurez tecnológica como por presión del mercado. Pero esto no es algo exclusivo de esa región. En Europa —y también en España— empieza a verse el mismo patrón: más dependencia del software, más presión regulatoria y menos margen para el fallo.
Al final, lo que refleja el crecimiento del PTaaS es algo bastante simple: en entornos que cambian constantemente, la seguridad no puede evaluarse una vez al año. Tiene que medirse de forma continua, casi al mismo ritmo al que evoluciona el negocio. Y ahí es donde este modelo encaja.
