Marco de Servicio

de Pentesting

Transparencia total sobre cómo trabajamos, qué incluimos y qué esperar de nuestro servicio.

Ver Metodología Volver al Inicio

¿Por qué publicamos esto?

Porque la confianza se gana con transparencia, no con secretos.

Muchas consultoras de seguridad ocultan sus procesos y términos hasta que firmas. En Pentacode, creemos que deberías saber exactamente qué esperar antes de comprometerte. Por eso publicamos nuestro marco de servicio.

Esto no solo te ayuda a tomar una decisión informada, sino que también eleva el estándar de la industria en Colombia. Cuando todos compiten por transparencia, todos ganamos.

Cómo Trabajamos

Nuestro proceso de pentesting es claro, predecible y enfocado en resultados accionables.

1

Kick-off & Scope

Llamada inicial para definir alcance, objetivos, sistemas autorizados, horarios y contactos de emergencia.

  • Firma de NDA y contrato
  • Autorización por escrito
  • Accesos necesarios
2

Reconocimiento

Mapeo de superficie de ataque, enumeración de servicios, identificación de tecnologías y posibles vectores.

  • Escaneo pasivo y activo
  • Fingerprinting de stack
  • Mapeo de funcionalidad
3

Explotación & PoC

Pruebas manuales profundas, explotación de vulnerabilidades encontradas y creación de Proof of Concepts.

  • Testing OWASP Top 10
  • Lógica de negocio
  • Videos/screenshots PoC
4

Reporte & Re-test

Entrega de informes ejecutivo y técnico, sesión de presentación y re-testing post-remediación.

  • Informe ejecutivo
  • Informe técnico detallado
  • Validación de correcciones

Qué Incluye el Servicio

Alcance estándar y entregables garantizados en cada proyecto.

Alcance Estándar

  • Aplicación Web/API completa

    Todas las funcionalidades autenticadas y no autenticadas

  • OWASP Top 10 (2021/2023)

    Inyecciones, XSS, CSRF, autenticación, autorización, etc.

  • Lógica de negocio

    Bypass de workflows, race conditions, manipulación de precios

  • APIs REST/GraphQL

    Autorización, rate limiting, exposición de datos

  • Testing manual + automatizado

    Herramientas automatizadas + validación manual experta

Entregables Garantizados

  • Informe Ejecutivo (PDF)

    Resumen no técnico, impacto de negocio, métricas de riesgo

  • Informe Técnico Detallado (PDF)

    Vulnerabilidades paso a paso, PoCs, requests/responses

  • Evidencias (Screenshots/Videos)

    Pruebas visuales de cada vulnerabilidad explotada

  • Plan de Remediación Priorizado

    Recomendaciones técnicas ordenadas por severidad y facilidad

  • Sesión de Presentación (1 hora)

    Walkthrough de hallazgos con tu equipo técnico + Q&A

  • Re-testing Post-Remediación

    Validación de correcciones implementadas incluido

Servicios Opcionales (Add-ons)

Servicios adicionales disponibles para complementar tu pentest según tus necesidades.

Remediación Asistida

Para startups sin capacidad técnica interna o tiempo disponible, ofrecemos implementación de correcciones de vulnerabilidades encontradas durante el pentest.

✅ Qué incluye:

  • Fix de vulnerabilidades críticas y altas
  • Código corregido siguiendo mejores prácticas
  • Commits con descripción detallada de cambios
  • Validación post-fix (re-testing)
  • Documentación de cambios implementados

💻 Lenguajes soportados:

  • • JavaScript / TypeScript (Node.js, React, Vue)
  • • Python (Django, Flask, FastAPI)
  • • PHP (Laravel, Symfony)

Desde $297.000

Precio final depende de complejidad y cantidad de vulnerabilidades

Términos Importantes

Limitaciones de Responsabilidad

  • Recomendamos fuertemente realizar pruebas en ambientes staging/pre-producción. Si solo existe producción, acordaremos horarios de bajo tráfico y técnicas no invasivas para minimizar impacto operativo.
  • No nos hacemos responsables por interrupciones de servicio causadas por vulnerabilidades descubiertas que ya existían previo al testing.
  • No garantizamos encontrar el 100% de las vulnerabilidades. El pentesting es una metodología de mejores esfuerzos (best-effort).

Procedimiento para Hallazgos Críticos

Si encontramos una vulnerabilidad crítica (ej: SQL injection que permite acceso a toda la base de datos, RCE, etc.):

  1. 1.Pausamos la explotación de esa vulnerabilidad específica y capturamos evidencia preliminar
  2. 2.Te notificamos de inmediato vía canal de emergencia acordado (Slack, email, teléfono)
  3. 3.Continuamos testing en otras áreas mientras esperamos tu respuesta (para no desperdiciar tiempo productivo)
  4. 4.Esperamos tu decisión: (A) Continuar con explotación controlada para PoC completo, o (B) Parar y documentar solo hallazgo preliminar
  5. 5.Por defecto sin respuesta en 4 horas: Continuamos con Opción A

Canales de Comunicación

Nos adaptamos a tus canales preferidos: Slack (recomendado), Discord, Microsoft Teams, email, o WhatsApp Business.

Tiempos de respuesta:

  • • Consultas generales: 24h laborables
  • • Hallazgos críticos: 4h
  • • Emergencias: Inmediato (vía teléfono)

Horarios de soporte:

  • • Lunes a viernes: 9am - 6pm COT
  • • Emergencias críticas: 24/7

¿Listo para Comenzar?

Agenda una consultoría gratuita de 30 minutos y diseñemos la estrategia de testing perfecta para tu proyecto.

Agendar Consultoría Gratuita Ver Servicios
Chatea con nosotros