pentesting · web & api · barcelona

Detectamos los fallos antes de que lo haga un atacante.

Pentesting manual de aplicaciones web y APIs. Informe accionable, priorizado por riesgo real, y una reunión para explicar exactamente qué arreglar y por qué.

Solicitar análisisVer servicios
Dos formas de empezar

Elige según lo que necesites hoy.

Un análisis rápido para detectar lo evidente, o un pentest manual completo cuando la seguridad de tu aplicación importa de verdad.

Punto de entrada

Análisis de Seguridad Rápido

1–2 días laborables

Escaneo automatizado de tu web o API revisado y triado manualmente. Filtramos los falsos positivos y entregamos solo lo que importa, priorizado.

  • Detección de vulnerabilidades comunes (OWASP Top 10)
  • Triaje manual: descartamos el ruido y los falsos positivos
  • Informe priorizado por criticidad
  • Reunión breve de resultados
Solicitar análisis rápido

Ideal como primer diagnóstico

Pentest real

Pentest Manual Completo

1–2 semanas según alcance

Pentest manual de verdad: explotación, lógica de negocio, escalado y encadenamiento de vulnerabilidades. Lo que ningún escáner automático va a encontrar.

  • Explotación real y prueba de concepto de cada hallazgo
  • Fallos de lógica de negocio y control de acceso
  • Informe técnico + resumen ejecutivo + remediación
  • Reunión de resultados + reporte de verificación
Solicitar pentest completo

Recomendado antes de producción o auditorías

Cómo trabajamos

Un proceso claro, sin sorpresas.

Sabes qué va a pasar en cada momento, qué se prueba y qué recibes al final.

01

Llamada inicial

Definimos alcance, objetivos y ventana de pruebas. Firmamos autorización y NDA antes de tocar nada.

02

Pentest

Ejecutamos las pruebas sin afectar a tu producción. Si surge algo crítico, te avisamos al momento.

03

Informe

Recibes un informe con hallazgos priorizados, evidencias y pasos concretos de remediación.

04

Reunión

Revisamos juntos los resultados. Te explicamos el riesgo real y resolvemos cualquier duda técnica.

Dudas frecuentes

Lo que sueles preguntarte antes de contratar.

Si tienes alguna duda que no aparece aquí, escríbenos directamente.

¿Es legal? ¿Qué autorización necesito?+
Sí, siempre que esté autorizado por escrito. Antes de cualquier prueba firmamos un acuerdo de autorización que define exactamente qué sistemas se pueden probar y en qué ventana de tiempo. Sin esa autorización no se ejecuta nada.
¿Vais a tumbar mi entorno de producción?+
El objetivo es no impactar al servicio. Acordamos contigo la ventana de pruebas y el nivel de intrusión. Las pruebas que podrían afectar a la disponibilidad se hacen solo con tu permiso explícito o en un entorno de staging si lo prefieres.
¿Cómo gestionáis la confidencialidad?+
Firmamos NDA antes de empezar. Toda la información, hallazgos y evidencias se tratan como confidenciales, se entregan de forma segura y se eliminan tras la entrega si así lo solicitas.
¿Y si no encontráis ninguna vulnerabilidad?+
Recibes igualmente el informe documentando todo lo que se probó y por qué tu aplicación resistió. Un informe limpio respaldado por una metodología seria también tiene valor: es prueba auditable de tu nivel de seguridad.
¿Cuál es la diferencia real entre el análisis rápido y el pentest?+
El análisis rápido es un escaneo automatizado que revisamos manualmente: rápido y barato, detecta lo común. El pentest completo es trabajo manual de explotación que encuentra fallos de lógica de negocio, control de acceso y cadenas de ataque que ningún escáner detecta. Son productos distintos, no el mismo a dos precios.
Hablamos

Cuéntanos qué quieres proteger.

Respondemos en menos de 24h con una propuesta de alcance y precio. Sin compromiso.

Tratas directamente con quien evalúaSin intermediarios ni comerciales. El que audita es el que responde.
Propuesta en 24hDefinimos alcance, duración y precio cerrado antes de empezar.
Autorización y NDA siempreTodo por escrito antes de tocar nada.

Tus datos solo se usan para responderte. No spam, no listas.

OSCPoffensive security
+8años de experiencia
100%testing manual
Metodología basada en estándares
OWASP ASVSOWASP Top 10PTESOWASP API Top 10