¿Pentesting ahora se trata de ejecutar herramientas como Nessus y crear un informe basado en él? ¿Y no está explotando realmente nada por su cuenta basado en el Acuerdo?
En mi concepción, lo que describiste puede llamarse evaluación de vulnerabilidad, que consiste en descubrir posibles puntos de penetración en el sistema. Se ha mejorado mucho con herramientas automatizadas debido al volumen de pruebas que puede procesar en poco tiempo. Sin embargo, debe tenerse en cuenta que las evaluaciones de vulnerabilidad no son perfectas y, por lo general, requieren asistencia manual del operador.
La prueba de penetración, por otro lado, es más que eso. Se trata de obtener realmente acceso al sistema mediante la explotación de las vulnerabilidades disponibles. Además, puede utilizar métodos no digitales, como la ingeniería social. En las pruebas de penetración, se requiere un gran esfuerzo manual por parte del operador.
tl; dr: No. Las pruebas de penetración no se limitan a ejecutar herramientas automatizadas.
No estoy seguro de que haya una respuesta a esta pregunta. Cada pentestro tiene su forma de hacer las cosas, y su declaración que reduce toda la industria a una impresora conectada a Nessus probablemente debería ser sustanciado un poco mejor.
Lea otras preguntas en las etiquetas penetration-test