Servicio // 01
Pentesting
Web & API.
Evaluación manual de aplicaciones web bajo metodología OWASP Top 10. Encontramos lo que los scanners automáticos pasan por alto: lógica de negocio rota, IDOR encadenado, bypass de 2FA y vulnerabilidades que solo un humano puede ver.
// FICHA DE SERVICIO
MetodologíaOWASP Top 10 + PTES
ModalidadBlack / Grey / White box
Duración media3–10 días hábiles
EntregableInforme CVSS 3.1 + POC
Re-testIncluido sin coste
NDAPrevio al briefing
Precio desde900 €
94%Vulns críticas perdidas por scanners
48hEntrega informe ejecutivo
+120Aplicaciones auditadas
100%Re-test hasta cierre
Cobertura // 01
OWASP Top 10 y Más.
Cubrimos todas las categorías del OWASP Top 10:2021 más vectores de ataque avanzados que los scanners automáticos no pueden detectar por diseño.
A01
Broken Access Control
IDOR, BOLA, privilege escalation, path traversal. Acceso a recursos de otros usuarios o roles superiores.
A02
Cryptographic Failures
Datos sensibles en claro, TLS débil, hashes sin salt, claves hardcodeadas en JS o repositorios.
A03
Injection
SQL, NoSQL, LDAP, OS command, SSTI, XXE. Técnicas manuales con payloads adaptados al stack detectado.
A04
Insecure Design
Lógica de negocio rota: race conditions en pagos, bypasses de flujos multi-paso, manipulación de precios.
A05
Security Misconfiguration
Paneles expuestos, headers faltantes, CORS mal configurado, directorios sin autenticación, defaults activos.
A07
Auth & Session Failures
Bypass de 2FA, brute force sin rate limiting, tokens predecibles, session fixation, remember-me inseguro.
A08
Software & Data Integrity
Deserialización insegura, dependencias con vulnerabilidades conocidas, pipelines CI/CD sin validación de integridad.
API
API Security (OWASP API Top 10)
BOLA, BFLA, mass assignment, rate limiting, broken object property level authorization. REST, GraphQL y SOAP.
Proceso // 02
Metodología de Ataque.
Cada auditoría sigue un proceso estructurado que maximiza la cobertura y elimina los falsos positivos típicos de las herramientas automáticas.
01
Reconocimiento y Enumeración
Fingerprinting del stack tecnológico (framework, servidor, versiones). Enumeración de endpoints, parámetros ocultos, subdominios y archivos expuestos. Revisión de JS bundles para endpoints internos y secrets.
Burp Suite
Amass / subfinder
ffuf / feroxbuster
Nuclei
Amass / subfinder
ffuf / feroxbuster
Nuclei
02
Mapeo de Superficie de Ataque
Análisis de flujos de autenticación, autorización y gestión de sesión. Identificación de puntos de entrada críticos: upload de archivos, parsers XML/JSON, integraciones con terceros, webhooks.
Burp Pro
Caido
Manual review
Postman
Caido
Manual review
Postman
03
Explotación Manual
Pruebas manuales de cada vector identificado. Desarrollamos payloads específicos al contexto (WAF bypass, encoding chains, encadenamiento de vulnerabilidades). Documentamos POC reproducible para cada hallazgo.
Burp Intruder
SQLmap (dirigido)
Custom scripts
ysoserial
SQLmap (dirigido)
Custom scripts
ysoserial
04
Post-Explotación y Escalada
Evaluamos el impacto real de cada vulnerabilidad: ¿qué datos son accesibles? ¿hay movimiento lateral posible? ¿puede encadenarse con otros fallos para escalar privilegios o acceder a sistemas internos?
Metasploit (limitado)
Manual chains
SSRF pivoting
File read/RCE
Manual chains
SSRF pivoting
File read/RCE
05
Informe y Remediación
Entrega de informe ejecutivo (para C-level) y técnico (para desarrollo). Cada hallazgo incluye CVSS 3.1, clasificación OWASP, evidencia, impacto de negocio y pasos de remediación específicos con ejemplos de código cuando aplica.
CVSS 3.1
OWASP mapping
CWE refs
Re-test incluido
OWASP mapping
CWE refs
Re-test incluido
Entregables // 03
Qué Recibes.
Informe Ejecutivo
Resumen para dirección con riesgo global, top 3 hallazgos críticos, impacto de negocio estimado y roadmap de remediación priorizado. Sin tecnicismos.
Informe Técnico Completo
Cada vulnerabilidad con CVSS 3.1 score, clasificación OWASP/CWE, evidencia en pantallazos o vídeo, POC reproducible y pasos de remediación específicos con ejemplos de código.
POC en Vídeo
Para hallazgos críticos y altos, grabación demostrando el exploit de principio a fin. Elimina debates sobre si la vulnerabilidad es real o explotable.
Re-test sin Coste Adicional
Tras la remediación, repetimos las pruebas sobre los hallazgos reportados para confirmar que están correctamente cerrados. Certificado de cierre incluido.
Sesión de Debrief
Reunión de presentación con el equipo técnico y dirección para revisar hallazgos, resolver dudas y planificar la remediación. Disponible en remoto o presencial.
Carta de Certificación
Documento firmado acreditando que la aplicación ha superado una auditoría de seguridad independiente. Útil para clientes enterprise, licitaciones y procesos de due diligence.
Inversión // 04
Precios Claros.
Sin costes ocultos. El precio incluye ejecución, informe completo, sesión de debrief y re-test. Contacta para presupuesto ajustado a tu alcance.
STARTER
Desde 900€
// APLICACIONES PEQUEÑAS
- Hasta 50 endpoints
- OWASP Top 10 completo
- Informe ejecutivo + técnico
- 1 re-test incluido
- Entrega en 5 días hábiles
- API REST/GraphQL
- Sesión de debrief extendida
PROFESSIONAL
Desde 2.500€
// APLICACIONES MEDIANAS Y API
- Hasta 200 endpoints + API
- OWASP Top 10 + API Top 10
- Lógica de negocio avanzada
- POC en vídeo para críticos
- 2 re-tests incluidos
- Sesión de debrief (2h)
- Carta de certificación
ENTERPRISE
A medida
// PLATAFORMAS COMPLEJAS
- Alcance ilimitado
- Entornos staging + producción
- Microservicios y múltiples APIs
- Integración CI/CD continua
- Re-tests ilimitados
- Soporte post-cierre 6 meses
- SLA de respuesta crítica 24h
FAQ // 05
Preguntas Frecuentes.
¿Necesito parar la aplicación durante el pentesting?
No. Trabajamos sobre entornos de staging o sobre producción en ventanas horarias acordadas con impacto mínimo. Para aplicaciones críticas, coordinamos las pruebas más intrusivas fuera del horario de mayor carga.
¿Qué diferencia hay entre black box, grey box y white box?
Black box simula un atacante externo sin credenciales ni código fuente. Grey box incluye credenciales de usuario (realista para auditar funcionalidades autenticadas). White box incluye acceso al código fuente, ideal para máxima profundidad y menor coste por tiempo. Recomendamos grey box para la mayoría de aplicaciones web.
¿Cuánto tiempo tarda la auditoría?
Depende del alcance. Una aplicación con 50 endpoints tarda 3–5 días hábiles. Una plataforma con múltiples APIs y roles puede requerir 10–15 días. Te damos una estimación precisa tras el briefing inicial, sin compromiso.
¿El pentesting cumple con los requisitos de PCI DSS, ENS o ISO 27001?
Sí. Nuestros informes están alineados con los controles de PCI DSS 4.0 (req. 11.3), ENS y los controles de auditoría de ISO 27001. La carta de certificación y el informe formal pueden presentarse ante auditores y organismos reguladores.
¿Qué pasa si encuentran vulnerabilidades críticas durante el testing?
Protocolo de notificación inmediata: si detectamos una vulnerabilidad crítica activamente explotable que supone un riesgo inminente para datos de usuarios o continuidad del negocio, te avisamos el mismo día sin esperar al informe final. Te damos contexto suficiente para tomar una decisión informada antes del cierre de la auditoría.
// ¿TU APLICACIÓN WEB ESTÁ EXPUESTA?
Descúbrelo antes que un atacante.
Primera llamada de diagnóstico sin coste. Te decimos en 30 minutos si tu superficie de ataque tiene riesgo evidente.