← Security

Pentest y auditoría ofensiva

Pensamos como un atacante. Para que tú no sufras uno.

Pentest web, móvil, API, cloud e infraestructura. Metodología OWASP y PTES, hallazgos probados por exploit, informe puntuado CVSS, plan de remediación priorizado. Re-test incluido.

Solicitar presupuesto pentest Ver nuestra metodología
  • OWASP Top 10 y ASVS
  • PTES y OSSTMM
  • Prueba de explotación incluida
  • Re-test gratuito tras remediación

Alcance

Lo que realmente probamos.

Sin escáner automatizado disfrazado de « auditoría ». Cada misión combina herramientas industriales y experiencia manual en zonas críticas.

01

Pentest aplicación web

OWASP Top 10 completo, broken auth, IDOR, SSRF, XSS, deserialización. Black/grey/white-box según necesidad.

02

Pentest móvil (iOS y Android)

Reverse engineering, bypass jailbreak detection, certificate pinning, almacenamiento local, API. OWASP MASVS.

03

Pentest API y micro-servicios

REST, GraphQL, gRPC. Auth, rate-limiting, BOLA/BFLA, mass assignment. OWASP API Security Top 10.

04

Pentest infraestructura y cloud

AWS, GCP, Azure: IAM, configuraciones CIS, segmentación de red, secretos expuestos. Auditoría interna y externa.

05

Red Team e ingeniería social

Campañas phishing dirigidas, OSINT, intrusión física simulada. Para empresas maduras que quieren probar su detección.

06

Pentest IoT y embebido

Análisis firmware, reverse hardware, protocolos propietarios, BLE, MQTT. Para IoT y equipos industriales.

Metodología

Cinco fases, trazables.

Cada misión sigue PTES. Sabes en todo momento dónde estamos y recibes hallazgos críticos en tiempo real.

01

Pre-engagement

Definición de alcance, reglas de compromiso, ventanas de prueba, contactos de emergencia. NDA firmado antes de cualquier acceso.

02

Reconocimiento y mapeo

OSINT, enumeración, fingerprinting. Mapeo completo de la superficie de ataque antes de cualquier intento de explotación.

03

Explotación

Intentos manuales + herramientas (Burp Suite Pro, Metasploit, scripts custom). Cada vulnerabilidad probada por exploit reproducible.

04

Reporting

Executive summary (1 pág.) para dirección + informe técnico detallado. Cada hallazgo con prueba, CVSS 3.1, impacto, remediación valorada.

05

Re-test tras remediación

En 30 días verificamos que las vulnerabilidades críticas y altas estén cerradas. Incluido en todos los paquetes.

Entregables

Lo que recibes.

Executive summary (1 página)

Síntesis no-técnica para dirección, board o seguro cyber. Riesgos mayores, score global, recomendaciones top.

Informe técnico detallado

20-80 páginas según misión. Cada hallazgo: descripción, prueba, CVSS 3.1, impacto, remediación, CWE/CVE.

Restitución oral

Sesión de 1-2h en vídeo o presencial con tu equipo técnico. Respondemos preguntas y priorizamos juntos.

Plan de remediación valorado

Cada vulnerabilidad con esfuerzo estimado (días/hombre), impacto × probabilidad, orden de prioridad. Hoja de ruta accionable.

Atestación de pentest

Documento firmado para tus clientes, partners, certificaciones ISO/SOC, seguro cyber. Sin divulgar detalles técnicos.

Re-test gratuito (30 días)

Re-verificamos en 30 días que los hallazgos críticos están corregidos. Sin facturar mes extra.

Tarifas

Cada proyecto es único. El presupuesto también.

En lugar de paquetes abstractos, adaptamos a tu contexto: alcance, complejidad, plazos, restricciones. Escríbenos en 3 frases lo que quieres hacer — te devolvemos un presupuesto firme en 48 h hábiles.

Respuesta en 48 h hábiles Solicitar presupuesto