Portfolio de Proyectos

Casos de estudio reales de pentests realizados

Confidencialidad y NDA

Por acuerdos de confidencialidad (NDA) con nuestros clientes, los casos mostrados no revelan información que pueda identificar a las empresas auditadas. Los nombres, URLs y datos específicos han sido modificados.
☁️

Fintech SaaS B2B

Pentest Web + API

Contexto:

Startup fintech con plataforma de facturación electrónica. Aplicación React + Node.js API REST. Pre-ronda Serie A.

Hallazgos Críticos:

  • IDOR en API de facturas: Usuario podía acceder a facturas de otros tenants modificando IDs
  • JWT sin validación de expiración: Tokens perpetuos permitían acceso indefinido
  • Mass assignment en endpoint de pagos: Manipulación de montos

Impacto del Pentest:

Cliente corrigió todas las vulnerabilidades antes del due diligence. Ronda exitosa de $2M USD. Ahora cliente recurrente (Pentest-as-a-Service).

CRÍTICODuración: 7 días
🛒

E-commerce B2C

Pentest Web

Contexto:

Tienda online de productos físicos. Django + Stripe. 50k usuarios activos.

Hallazgos Críticos:

  • Race condition en checkout: Aplicar cupones múltiples veces antes de validación
  • Stored XSS en reviews: Posibilidad de robo de sesiones de admin
  • SQL injection en búsqueda: Acceso completo a base de datos

Impacto del Pentest:

Evitaron pérdidas por fraude estimadas en ~$15M COP mensuales. Implementaron todas las correcciones en 2 semanas. Re-test limpio.

CRÍTICODuración: 5 días
📚

EdTech Startup

Code Review

Contexto:

Plataforma educativa con cursos online. TypeScript/Next.js. 8,000 líneas de código revisadas.

Hallazgos Críticos:

  • Secretos en GitHub: API keys de Stripe y AWS hardcodeadas en repo público
  • Weak crypto: Uso de MD5 para hashear passwords (legacy code)
  • Path traversal en file upload: Permitía leer archivos del sistema

Impacto del Pentest:

Rotación inmediata de credenciales. Migración a bcrypt para passwords. Implementación de validación de archivos. Evitaron posible compromiso de infraestructura AWS.

ALTODuración: 10 días
🏥

HealthTech SaaS

Pentest API GraphQL

Contexto:

Plataforma de telemedicina con datos sensibles (HIPAA). GraphQL API con React Native mobile. En proceso de certificación ISO 27001.

Hallazgos Críticos:

  • GraphQL introspection habilitado en prod: Exposición completa del schema
  • Sin rate limiting: Posibilidad de ataques DoS y scraping
  • Excessive data exposure: Queries retornaban más datos de lo necesario (PII incluida)

Impacto del Pentest:

Pentest como requisito pre-certificación ISO 27001. Corrigieron todos los hallazgos. Certificación exitosa. Ahora cliente anual con pentest trimestral.

MEDIODuración: 8 días

Estadísticas de Nuestros Pentests

15+

Proyectos Completados

98%

Vulnerabilidades Críticas Corregidas

7.2

Vulnerabilidades Críticas/Altas Promedio

100%

Clientes Satisfechos

¿Quieres ser el Próximo Caso de Éxito?

Agenda una consultoría gratuita y descubre cómo podemos ayudarte a asegurar tu aplicación.

Agendar Consultoría Gratuita
Chatea con nosotros