Hablemos de riesgos
La seguridad no empieza con herramientas, empieza con contexto.
¿Qué evaluamos?
Ejecutamos ataques autorizados y acotados para demostrar impacto real: acceso indebido, escalamiento de privilegios, movimiento lateral y extracción de datos. Basamos nuestro trabajo en marcos como OSSTMM, OWASP y NIST SP 800-115.
Tipos de pentest
Seleccionamos el enfoque según tus objetivos y madurez
Caja negra (Black Box)
Simula a un atacante externo sin información previa. Ideal para validar tu exposición pública y detecciones perimetrales.
Caja gris (Grey Box)
Con credenciales o contexto limitado (usuario estándar). Mide el riesgo de insiders y credenciales comprometidas.
Caja blanca (White Box)
Con acceso amplio (código, arquitectura). Máxima profundidad técnica para hardening y eliminación de deuda de seguridad.
Ámbitos frecuentes
Entregables
Claridad para dirección y detalle técnico para el equipo
Informe ejecutivo
Resumen para stakeholders, exposición de riesgo, quick wins y roadmap de mejora.
Riesgo
KPIs
Prioridad
Informe técnico + PoC
Hallazgos con CVE/CWE, impacto, evidencia, pasos de explotación y guías de remediación.
CVSS
CWE
PoC
Informe ejecutivo
Resumen para stakeholders, exposición de riesgo, quick wins y roadmap de mejora.
Validación
Hardening
Basado en OSSTMM, OWASP (Web/API/Mobile), NIST SP 800-115, PTES e integra requerimientos de ISO/IEC 27002 y PCI DSS según aplique.
Duración típica
El tiempo depende del alcance y tipo de prueba
Web/API puntual
1–2 semanas
Infraestructura / AD
2–4 semanas
Multi-ámbito (mixto)
4–6 semanas
Preguntas frecuentes
Diseñamos pruebas seguras y coordinadas. Las acciones destructivas sólo se ejecutan con tu autorización explícita y ventanas de cambio.
Varía según el tipo (negra/gris/blanca). Siempre firmamos NDA y acotamos alcance, IPs/URLs, horarios y exclusiones.
Entregamos guías concretas y priorizadas. Si quieres, nuestro equipo puede acompañar la corrección y hardening.