Especializado en SaaS B2B

Pentest Web para SaaS B2B
Pre-Sales & Pre-Audit

Identifica vulnerabilidades críticas antes de cerrar ese cliente enterprise o enfrentar una auditoría ISO/SOC2. Pentest independiente ejecutado por pentesters que entienden código y arquitectura.

5-7 días hábiles
Resultados antes de tu deadline
100% Independiente
Sin presión de venta de servicios
Re-testing incluido
Valida correcciones sin costo extra
Ver qué incluye

¿Te suena familiar?

Escenarios reales donde un pentest independiente marca la diferencia

🏢

Security Review de Cliente Enterprise

Ese prospecto de $50K MRR te pide un reporte de pentest. Tu equipo interno dice "estamos seguros" pero no tienes evidencia independiente.

→ Pentest en 5-7 días, reporte listo para enviar
📋

Auditoría ISO 27001 / SOC2

El auditor te pide evidencia de pentesting anual. Necesitas un reporte profesional que cumpla con los requisitos de compliance sin perder 3 meses en el proceso.

→ Reporte que cumple requisitos de compliance
⚠️

Falsa Sensación de Seguridad

Tienes WAF, scanners automáticos y tests unitarios. Pero las vulnerabilidades lógicas y de negocio solo las encuentra un humano que entiende tu aplicación.

→ Pentesting manual que encuentra lo que robots no ven

Qué incluye (y qué NO)

Alcance claro desde el día 1. Sin sorpresas ni costos ocultos.

Qué SÍ incluye

  • Pentesting manual de aplicación web
    OWASP Top 10, lógica de negocio, autenticación, autorización
  • Testing de API REST/GraphQL
    Endpoints, autorización, rate limiting, mass assignment
  • Análisis de superficie de ataque
    Subdominios, configuración DNS, headers de seguridad
  • Reporte técnico priorizado
    Vulnerabilidades ordenadas por riesgo real, no teórico
  • Re-testing gratuito
    Valida que las correcciones realmente funcionan
  • Reunión de cierre
    30 min para aclarar dudas y priorizar correcciones

Qué NO incluye

  • Pentesting de infraestructura/red
    Este servicio se enfoca en la capa de aplicación web
  • Code review de código fuente
    Es un servicio separado (disponible bajo pedido)
  • Pentesting de aplicaciones móviles nativas
    Solo web y API por ahora
  • Desarrollo o corrección de vulnerabilidades
    Reportamos, tu equipo corrige (o podemos asesorar)
5-7 días
Duración del pentest
$2.200.000
Inversión total (IVA incluido)
48-72h
Entrega de reporte final

Por qué somos diferentes

No somos un consultor de seguridad genérico. Somos pentesters que entienden desarrollo.

👨‍💻

Pentester + Developer

No solo ejecutamos exploits. Leemos tu código, entendemos tu arquitectura, y sabemos exactamente qué tan crítica es cada vulnerabilidad en tu contexto específico.

Ejemplo real: Encontramos un IDOR en un endpoint de admin. Pero al revisar tu código, vimos que ese admin panel solo es accesible desde VPN interna. Prioridad: Media (no Crítica).
🎯

Recomendaciones que tu equipo puede ejecutar

Cero frases genéricas tipo "implementar validación de entrada". Te decimos exactamente qué cambiar, en qué archivo, y cómo validar que la corrección funciona.

Ejemplo real: En lugar de "implementar rate limiting", te decimos: "Usar express-rate-limit en /api/login con max 5 intentos por 15 min. Código de ejemplo incluido en el reporte."
📊

Entendemos riesgo de negocio, no solo riesgo técnico

Una vulnerabilidad crítica (CVSS 9.8) que solo afecta a usuarios internos puede esperar. Un XSS en el checkout que puede robarte clientes se corrige YA. Priorizamos por impacto real.

Ejemplo real: Cliente tenía SQL injection en feature legacy sin usuarios. Les dijimos: "Prioridad Baja, arregla primero el CSRF en pagos". Cerraron ese cliente enterprise 2 semanas después.
💬

Comunicación directa, sin teatro

No inflamos reportes con "vulnerabilidades" de severidad baja solo para justificar precio. Si tu app está bien, te lo decimos. Si está rota, te decimos exactamente qué está roto.

Compromiso: Si no encontramos al menos 1 vulnerabilidad de severidad Media o superior, te devolvemos el 100% del costo del pentest.

Qué recibes al final

Entregables concretos, no PowerPoints llenos de palabras bonitas

📄

Reporte Técnico Priorizado

Documento en formato PDF/Markdown con todas las vulnerabilidades encontradas, ordenadas por riesgo REAL (no solo CVSS teórico). Cada vulnerabilidad incluye:

  • Descripción técnica clara (sin jerga innecesaria)
  • Severidad ajustada a tu contexto de negocio
  • Proof of Concept (PoC) funcional
  • Pasos exactos para reproducirla
  • Recomendación específica de corrección
  • Referencias a OWASP/CWE/CVE cuando aplique
🎥

Evidencias Explotables (Screenshots + Videos)

Para cada vulnerabilidad crítica/alta, incluimos capturas de pantalla y/o videos cortos mostrando la explotación. Esto ayuda a tu equipo a entender el impacto real y a validar que la corrección funciona durante el re-testing.

📞

Reunión de Cierre (30 min)

Después de entregar el reporte, agendamos una videollamada de 30 minutos para:

  • Aclarar dudas sobre vulnerabilidades específicas
  • Priorizar correcciones según tu roadmap/deadline
  • Coordinar timeline de re-testing
  • Discutir si necesitas acompañamiento de remediación (opcional)

Re-testing Incluido (Sin Costo Extra)

Después de que tu equipo corrija las vulnerabilidades, re-testeamos TODAS las correcciones para validar que realmente funcionan. Esto es crítico porque muchas "correcciones" introducen nuevos bugs o no cubren todos los casos.

Importante: El re-testing debe solicitarse dentro de 60 días corridos después de la entrega del reporte inicial. Aplica para las vulnerabilidades reportadas originalmente (no para nuevo código o features añadidas después del pentest).
Compromiso de independencia

El pentest es independiente.
No hay conflicto de interés.

Esto debe quedar absolutamente claro porque es el fundamento de un pentest ético

No hay obligación de contratar remediación

El pentest termina con la entrega del reporte y el re-testing. Lo que hagas después es 100% tu decisión. Puedes corregir con tu equipo interno, contratar a cualquier otra empresa, o solicitar nuestro acompañamiento de remediación (ver sección siguiente). Sin presión comercial.

Evitamos conflicto de interés

Nuestra prioridad es reportar vulnerabilidades reales con severidad ajustada a tu negocio. NO inflamos reportes para vender servicios de corrección. Si tu app está bien asegurada o no, te lo decimos directamente.

Tu equipo puede corregir todo

El reporte incluye recomendaciones específicas y código de ejemplo cuando es necesario. Cualquier equipo de desarrollo competente puede implementar las correcciones sin necesidad de ayuda externa. El re-testing valida que las correcciones funcionan, independientemente de quién las haya hecho.

En resumen: Contrataste un pentest, recibes un pentest. Sin agendas ocultas, sin ventas cruzadas forzadas, sin bullshit.

Servicio adicional opcional

Acompañamiento de Remediación Segura

Si tu equipo no tiene tiempo o experiencia corrigiendo vulnerabilidades específicas, podemos asesorar o ejecutar las correcciones directamente

Qué SÍ hacemos

  • Corrección directa de vulnerabilidades
    Aplicamos los parches necesarios en tu codebase
  • Hardening de configuración
    Headers de seguridad, CSP, CORS, rate limiting
  • Asesoría técnica en tiempo real
    Tu equipo corrige, nosotros revisamos código antes de merge
  • Refactoring orientado a seguridad
    Reestructurar código vulnerable sin cambiar funcionalidad

Qué NO hacemos

  • Desarrollo de features nuevas
    Este servicio NO es desarrollo a la medida
  • Construcción de aplicaciones completas
    No somos una agencia de desarrollo
  • Mantenimiento continuo de producto
    Solo correcciones puntuales de seguridad
  • Trabajo en features no relacionadas con seguridad
    El foco es 100% remediación de vulnerabilidades

Modalidad y Precio

$120.000/hora
Cobro por tiempo efectivo trabajado
Estimamos horas según complejidad después del pentest. La mayoría de correcciones toman 8-16 horas.
Paquete fijo
Precio cerrado para alcance definido
Si prefieres precio fijo, te cotizamos después de analizar las vulnerabilidades encontradas.
Importante: Este servicio se contrata DESPUÉS del pentest, solo si lo necesitas. No hay compromiso previo.

Preguntas frecuentes

¿Pueden hacer el pentest en producción o necesitan un entorno separado?

Preferimos staging/pre-producción cuando está disponible, especialmente para tests más agresivos (fuzzing, DoS tests, etc.). Pero entendemos que muchas startups no tienen staging que refleje producción fielmente.

Podemos hacer pentest en producción con estas precauciones:

  • Coordinamos horarios de bajo tráfico
  • Evitamos tests destructivos o de carga
  • Usamos cuentas de prueba (no usuarios reales)
  • Notificamos antes de cada test potencialmente riesgoso

En 50+ pentests en producción, nunca hemos causado downtime o pérdida de datos.

¿Por qué pagar por pentest manual si tengo scanners automáticos?

Scanners automáticos (Burp Suite Pro, OWASP ZAP, Acunetix, etc.) son excelentes para low-hanging fruit: XSS básicos, SQLi evidentes, configuraciones inseguras. Los usamos también.

Pero fallan completamente en:

  • Vulnerabilidades de lógica de negocio: IDOR contextual, flujos de autorización complejos, race conditions
  • Falsos positivos: Scanners reportan "vulnerabilidades" que no son explotables en tu contexto específico
  • Priorización: Un scanner te da 500 issues, un pentester te dice cuáles 5 importan realmente
  • Creatividad: Combinar múltiples vulnerabilidades menores para lograr impacto crítico (chain attacks)

Ejemplo real: Cliente tenía Burp Suite Pro. Pasó con 0 vulnerabilidades críticas. Nosotros encontramos IDOR que permitía acceder a facturas de otros clientes. El scanner no lo vio porque requería entender el flujo de negocio.

¿El reporte sirve para auditorías ISO 27001 / SOC2?

Sí, el reporte cumple con los requisitos estándar de pentesting para compliance.

Incluye:

  • Alcance detallado del pentest (sistemas evaluados, fuera de alcance)
  • Metodología utilizada (OWASP Testing Guide, PTES, etc.)
  • Fecha de ejecución y duración
  • Vulnerabilidades encontradas con severidad CVSS
  • Evidencia de re-testing post-corrección

Si tu auditor necesita formato específico (plantilla corporativa, campos adicionales), lo adaptamos sin costo extra. Solo avísanos durante la llamada inicial.

Nota: No somos certificadores ISO ni auditores SOC2. El pentest es UNO de los controles requeridos, no garantiza certificación por sí solo.

Necesito el pentest en menos de 5 días. ¿Es posible?

Depende del alcance y nuestra disponibilidad. Para aplicaciones web relativamente simples (< 20 endpoints críticos), podemos hacer pentest express en 48-72 horas con un recargo del 30%.

Importante: Pentest urgente NO significa pentest de menor calidad. Significa asignar más tiempo del pentester concentrado en menos días.

Si tienes deadline urgente, menciónalo en la llamada inicial. Evaluamos viabilidad y te confirmamos en 24h.

¿Firman NDA antes de acceder a nuestra aplicación?

Absolutamente. Firmamos NDA (Non-Disclosure Agreement) bilateral antes de iniciar el pentest. Podemos usar tu template corporativo o el nuestro.

También podemos firmar acuerdos de confidencialidad más estrictos si tu empresa lo requiere (startups con patentes pendientes, empresas reguladas, etc.).

Toda información obtenida durante el pentest se elimina después del re-testing. No guardamos credenciales, screenshots, ni datos sensibles.

¿Listo para identificar vulnerabilidades antes de que lo haga alguien más?

Agenda una llamada de 15 minutos. Sin compromiso, sin presión comercial. Solo charlamos sobre tu aplicación y si el pentest tiene sentido para tu caso.

No spam, no vendedores insistentes. Solo una conversación técnica de 15 minutos.
Chatea con nosotros