Trabajamos con PTES y OWASP (Top 10, ASVS, MASVS), aplicando técnicas manuales y soporte de herramientas cuando aportan valor.

Pentesting

Pruebas de intrusión controladas sobre apps, infraestructura y cloud para identificar vulnerabilidades explotables, con evidencia clara y plan de remediación.

PTES / OWASP Web / API / Móvil Infra & Cloud ASVS / Top 10 Evidencias & Fix plan

Agendar reunión

2–6 semanasSegún alcance y ventanas de prueba

Scope cerradoActivos, ventanas y reglas claras

MetodologíaPTES / OWASP (ASVS / Top 10)

EntregaInforme técnico + ejecutivo

Operamos con autorización explícita, ventanas de mantenimiento y plan de reversa. Sin afectar producción.

¿Qué es el pentesting?

Evaluación manual y guiada para explotar vulnerabilidades de forma controlada sobre apps, APIs, red y cloud. Entregamos evidencia reproducible y prioridad de remediación.

✔Exploración y explotación controlada
✔Evidencias y pruebas de concepto
✔Validación de correcciones

¿Para qué sirve?

Enfocar esfuerzos en riesgos explotables, cumplir auditorías (ISO/NIS2/ENS) y mejorar postura antes de releases o cambios de infraestructura.

✔Reducción de superficie de ataque
✔Prioridades de fix por impacto
✔Soporte a auditorías y clientes

Tipos de pruebas

Seleccionamos el enfoque adecuado según tu objetivo y el entorno.

🌐

Web & API

OWASP Top 10/ASVS, auth/roles, inyección, SSRF, RCE, IDOR, rate limiting y lógica de negocio.

📱

Móvil

OWASP MASVS/MSTG: almacenamiento, tráfico, hooking, jailbreak/root, auth y APIs.

🖧

Infraestructura

Interno/externo: servicios expuestos, hardening, credenciales por defecto, pivoting controlado.

☁️

Cloud

AWS/Azure/GCP: IAM, permisos excesivos, exfiltración S3/Blob, seguridad de endpoints.

🧪

Red Team “ligero”

Objetivo concreto con reglas estrictas: detección de defensas y caminos de compromiso.

🔐

Config & Hardening

Revisión de configuración crítica y baseline de seguridad antes de un go-live.

Entregables

Entrega	Descripción
Informe técnico	Vulnerabilidades con evidencia, pasos de reproducción e impacto.
Resumen ejecutivo	Riesgos por criticidad, causas raíz y prioridades de remediación.
Plan de remediación	Recomendaciones accionables y referencias (OWASP/benchmarks).
Re-test	Validación de correcciones en ventana acordada.
Sesión de cierre	Walkthrough con equipos técnicos y dirección.

Informe técnico

Vulnerabilidades con evidencia, pasos de reproducción e impacto.

Resumen ejecutivo

Riesgos por criticidad, causas raíz y prioridades de remediación.

Plan de remediación

Recomendaciones accionables y referencias (OWASP/benchmarks).

Re-test

Validación de correcciones en ventana acordada.

Sesión de cierre

Walkthrough con equipos técnicos y dirección.

Alcances típicos y precios orientativos

Importes desde, según complejidad, autenticación, nº de entornos y ventanas de prueba. Precios sin IVA.

App Web + 1 API

OWASP ASVS / Top 10

✔Credenciales de prueba y roles
✔Lógica de negocio y rate limiting
✔Informe técnico + re-test

Desde €3.500

Infra externa /24

Perímetro y servicios expuestos

✔Enumeración y explotación controlada
✔Hardening y priorización de fixes
✔Informe técnico + re-test

Desde €3.000

Cloud review

AWS/Azure/GCP (1 tenant)

✔IAM, permisos y almacenamiento
✔Exposición de datos y endpoints
✔Plan de remediación

Desde €3.200

Para móvil (1 app iOS/Android) o red team ligero, cotizamos por propuesta cerrada. Validez de precios: 30 días.

Cómo trabajamos

1

Scope & reglas

Activos, ventanas, límites, evidencias, canales y autorización formal.

2

Recon & análisis

Mapeo de superficie, fingerprinting, amenazas y vectores probables.

3

Explotación controlada

Pruebas manuales guiadas por impacto, evitando degradar servicios.

4

Informe & re-test

Evidencias, fix plan y validación de correcciones acordadas.

Beneficios para tu empresa

🚨

Riesgos reales

Priorizamos por explotabilidad e impacto; te decimos qué arreglar primero y por qué.

📄

Evidencias claras

Pasos de reproducción simples, capturas y contexto técnico para corregir sin fricción.

🤝

Acompañamiento

Sesiones de fix y re-test incluidas según alcance. Cerramos el ciclo con vos.

Preguntas frecuentes

¿Se prueba en producción?

Preferimos pre-producción. Si debe ser en prod, definimos ventanas, umbrales y monitoreo para evitar impacto.

¿Qué marco usan?

PTES/OWASP (Top 10, ASVS, MASVS) con técnicas manuales y soporte de tooling cuando aporta.

¿Qué incluye el re-test?

Validación de las correcciones aplicadas sobre las vulnerabilidades reportadas, en una ventana acordada.

¿Qué necesito preparar?

Autorización escrita, accesos de prueba si aplica, ventanas, contacto on-call y cobertura de backups.

Encontrá y corregí lo que importa

Validación técnica con evidencia y prioridades claras para tus próximos pasos.

Agendar reunión Contactar por email