Ethical Hacking — Pentest

Atacamos tu infraestructura

antes de que lo haga alguien más

Pruebas de penetración profesionales sobre tus servicios publicados en internet. Encontramos las vulnerabilidades reales antes de que se conviertan en un incidente.

EL PROBLEMA

¿Cuándo fue la última vez que alguien intentó entrar a tu red?

Estos escenarios indican que tu empresa necesita un pentest ahora.

Tenés servicios expuestos en internet

VPNs, portales web, APIs, correo, RDP. Cada servicio
publicado es una puerta potencial para un
atacante externo.

Nunca hiciste una prueba de penetración formal

Un escaneo de vulnerabilidades no es un pentest.
Sin una prueba real, no sabés si tus controles
funcionan bajo ataque.

Un cliente o auditor te lo está exigiendo

ISO 27001, SOC2 o clientes enterprise suelen requerir evidencia de
pentest periódico como condición contractual.

Hiciste cambios grandes en tu infraestructura

Migraciones a la nube, nuevas aplicaciones o incorporaciones crean superficie de
ataque nueva que no fue evaluada.

Modalidades

Tres enfoques según tu nivel de información

Elegimos juntos la metodología que da más valor a tu contexto.

BlackBox

Sin información previa.
Simulamos exactamente cómo atacaría un tercero externo que no conoce tu infraestructura.
El escenario más realista.

GreyBox

Con credenciales básicas.
Partimos de acceso mínimo
para evaluar qué puede hacer alguien que ya tiene un pie adentro
de tu organización.

WhiteBox

Con acceso total.
Acceso completo a código y arquitectura. Ideal para encontrar vulnerabilidades
en el menor tiempo.

Alcance

¿Qué podemos testear?

Cubrimos los vectores de ataque más comunes sobre infraestructura publicada.

Web (dominio + subdominios)

OWASP Top 10, inyección SQL, XSS, auth bypass, IDOR, exposición de datos sensibles.

IP pública / servicios de red

Escaneo de puertos, servicios expuestos, explotación de CVEs conocidos y configuraciones inseguras.

Servicios internos

Active Directory, lateral movement, escalación de privilegios y movimiento dentro de la red.

APIs y web services

REST y GraphQL, autenticación por tokens, exposición de endpoints y datos no protegidos.

Metodología

Cómo trabajamos

Un proceso estructurado con entregables concretos en cada etapa.

01

Kickoff y definición de alcance

Definimos qué se testea, las ventanas horarias autorizadas y el contacto técnico. Firmamos carta de autorización.

02

Reconocimiento y enumeración

Mapeamos la superficie de ataque: dominios, IPs, servicios, tecnologías y vectores potenciales de entrada.

03

Explotación y escalación

Intentamos comprometer los sistemas usando las vulnerabilidades encontradas, documentando cada paso del ataque.

04

Informe técnico + resumen ejecutivo

Entregamos dos documentos: uno para el equipo técnico con vulnerabilidades y evidencias, y otro para dirección con impacto y plan de acción.

05

Sesión de cierre y re-test

Revisamos los hallazgos con tu equipo y validamos que las vulnerabilidades críticas fueron cerradas correctamente.

Entregables

Qué recibís al finalizar el pentest

Documentación completa para tu equipo técnico y para tu directorio.

Informe técnico

Documentación detallada con evidencias, capturas, pasos de reproducción y clasificación de cada vulnerabilidad encontrada.

Resumen ejecutivo

Documento pensado para dirección. Impacto de negocio, nivel de riesgo general y principales
hallazgos sin tecnicismos.

Plan de acción

Listado de vulnerabilidades priorizadas por criticidad con recomendaciones concretas para el
equipo técnico.

Score de riesgo

Cada vulnerabilidad clasificada con su puntuación CVSS para facilitar la priorización y comunicación con dirección.

Sesión de cierre

Presentación de hallazgos con tu equipo técnico y espacio para preguntas y consultas sobre los resultados.

Re-test incluido

Una vez aplicados los parches, validamos que las vulnerabilidades críticas fueron cerradas correctamente sin costo adicional.

FAQ

PREGUNTAS FRECUENTES

¿El pentest puede afectar la disponibilidad de mis sistemas?

Trabajamos en ventanas horarias acordadas para minimizar el impacto. Informamos en tiempo real cualquier hallazgo crítico que requiera acción inmediata.

La recomendación estándar es al menos una vez por año, y ante cambios importantes en la infraestructura: migraciones, nuevas aplicaciones o fusiones empresariales.

Sí. Usamos OWASP Testing Guide y PTES (Penetration Testing Execution Standard) como marcos de referencia según el tipo de objetivo.

Avisamos de inmediato al contacto técnico designado sin esperar al informe final. La comunicación en tiempo real es parte del servicio.

¿Querés saber qué tan expuesta está tu infraestructura?

Contanos qué servicios tenés publicados y te armamos una propuesta en 48 horas.