Aplicaciones web y APIs
Metodología OWASP WSTG para aplicaciones web y OWASP API Top 10 para interfaces REST o GraphQL. Incluye revisión de autenticación, control de acceso, inyecciones, lógica de negocio y configuración del servidor.
El problema
Un pentest de compliance no es lo mismo que un pentest que te protege.
Muchas organizaciones contratan un pentest para marcar la casilla del regulador o de la aseguradora — y reciben un reporte de 80 páginas con hallazgos de scanner, sin priorización y sin contexto real de explotabilidad. Un atacante real no trabaja así. Nosotros tampoco.
01 / diferencia
Hallazgos confirmados, no suposiciones
Cada hallazgo que entregamos tiene evidencia reproducible: capturas, requests y responses completos, explicación del vector y demostración del impacto real. Sin falsos positivos de scanner que inflan el reporte sin agregar valor.
02 / diferencia
Priorización que tiene sentido
Usamos CVSS 3.1 con score base y ambiental ajustado a tu infraestructura. Un hallazgo con CVSS base 9.8 en un sistema interno sin acceso externo no es lo mismo que el mismo hallazgo en tu API pública. La priorización refleja la realidad.
03 / diferencia
Dos informes, dos audiencias
El informe ejecutivo (1–2 páginas) explica el riesgo en términos de negocio para gerencia, directorio o comité de riesgo. El informe técnico cubre cada hallazgo con referencia CWE, OWASP, recomendación de remediación y criterio de retest.
Alcance
Cinco tipos de pentest según la superficie que necesitas evaluar.
Cada engagement empieza con una definición de alcance por escrito — objetivos, sistemas incluidos, ventanas de trabajo, nivel de acceso del equipo tester — sin sorpresas para ninguna parte.
Aplicaciones móviles
Android e iOS, metodología OWASP MASTG (Mobile Application Security Testing Guide). Revisión del binario, almacenamiento local, comunicaciones, autenticación en backend y controles del dispositivo.
Infraestructura
Evaluación de la superficie externa expuesta a internet y, con acceso interno, escenarios de movimiento lateral y escalación de privilegios. Servicios mal configurados, credenciales por defecto y parches faltantes.
Cloud
Revisión de postura y misconfigurations en AWS, Azure o GCP: IAM, buckets o blobs públicos, grupos de seguridad, secrets mal protegidos y servicios expuestos sin necesidad.
Retest
Verificación formal de que las remediaciones aplicadas cierran efectivamente los hallazgos del engagement original. Entregamos un informe de verificación que certifica qué fue remediado, qué no y qué cambió.
Cómo trabajamos
Sin sorpresas. Con reglas de engagement claras desde el día uno.
01
Definición de alcance
Antes de tocar nada, acordamos por escrito: qué sistemas están dentro del alcance, cuáles quedan fuera, las ventanas de trabajo, el nivel de acceso del equipo tester y el proceso de escalada si algo va mal. El cliente sabe exactamente qué va a pasar y cuándo.
02
Ejecución
Metodología OWASP adaptada al tipo de engagement. Herramientas automatizadas para cobertura, validación manual para confirmar explotabilidad. Documentamos en tiempo real — cada hallazgo capturado con request, response y evidence screenshot desde el primer intento.
03
Entrega y walkthrough
Informe ejecutivo + informe técnico. Sesión de walkthrough con tu equipo de desarrollo u operaciones para revisar cada hallazgo, resolver dudas sobre la remediación y priorizar qué va primero. No te dejamos con un PDF y suerte.
04
Retest
Dentro de la ventana del engagement, verificamos las remediaciones aplicadas. Entregamos un informe de cierre que indica el estado de cada hallazgo original: remediado, mitigado o aceptado. Útil para reguladores, aseguradoras y comités de auditoría.
Lo que NO hacemos
Fronteras claras para un trabajo que vale la pena.
No corremos stress tests ni denegación de servicio. No inflamos el reporte con hallazgos de baja confianza o falsos positivos de scanner. No subimos hallazgos de otro engagement para rellenar páginas.
No te dejamos con un reporte de 80 páginas sin sesión de revisión. Cada engagement incluye tiempo de walkthrough con tu equipo técnico — si el equipo no entiende los hallazgos, el trabajo no está terminado.
No iniciamos el trabajo sin reglas de engagement firmadas. Eso nos protege a los dos y establece expectativas claras desde el primer día.
Para cumplimiento regulatorio
Si necesitas un pentest para cumplir con un requisito de la CMF, ANCI, aseguradora o auditoría interna, te entregamos la documentación en el formato que el proceso exija — incluyendo carta de alcance, carta de finalización y evidencia de retest.
Modalidades de acceso
Black box (sin acceso previo), grey box (con credenciales de usuario o documentación parcial) y white box (acceso completo a código fuente, arquitectura y credenciales de admin). Elegimos junto contigo la que genera más valor en tu contexto.
¿Qué superficie necesitas evaluar?
Cuéntanos qué sistemas, cuándo lo necesitas y si hay restricciones de alcance. Te respondemos con una propuesta en 24 horas hábiles.