Pentest manual completo.

Pentesting manual de verdad: explotación, lógica de negocio, escalado y encadenamiento de vulnerabilidades. Lo que ningún escáner va a encontrar.

Duración
1–2 semanas
Precio
Desde 1.490 € + IVA

Cómo trabajamos en cada pentest.

Paso 01

Reconocimiento

Mapeo de superficie de ataque: endpoints, parámetros, roles, integraciones, flujos de autenticación y autorización.

Paso 02

Análisis manual

Pruebas guiadas por OWASP ASVS, OWASP Top 10, OWASP API Top 10 y PTES. Sin depender de escáneres.

Paso 03

Explotación y PoC

Cada hallazgo se demuestra con prueba de concepto. Cero falsos positivos. Documentamos el impacto real.

Paso 04

Encadenamiento

Buscamos cómo un atacante combinaría varios fallos para alcanzar el escenario más grave posible.

Paso 05

Lógica de negocio

Bypass de flujos críticos, abuso de funcionalidades legítimas, condiciones de carrera, manipulación de precios o roles.

Paso 06

Reverificación

Cuando arregles los hallazgos, volvemos a probar para confirmar que la corrección es efectiva.

Lo que recibes al acabar.

Documentación auditable, lista para enseñar a clientes, proveedores o un auditor externo.

Informe técnico detallado con cada hallazgo, evidencias y PoC

Resumen ejecutivo orientado a dirección y stakeholders no técnicos

Pasos concretos de remediación por hallazgo, no genéricos

Reunión de resultados (60 min) + reporte de reverificación

Resumen de qué incluye
  • ·Explotación real y prueba de concepto de cada hallazgo
  • ·Fallos de lógica de negocio y control de acceso
  • ·Informe técnico + resumen ejecutivo + remediación
  • ·Reunión de resultados + reporte de verificación

Lo que se suele preguntar sobre este servicio.

¿Qué diferencia hay con un escaneo automatizado?+
Un escáner detecta patrones conocidos. Un pentest manual razona como un atacante: encadena fallos, abusa de la lógica de negocio y prueba escenarios que ningún escáner contempla. Si tu aplicación maneja dinero, datos sensibles o decisiones críticas, esto es lo que necesitas.
¿Cuánto se tarda?+
Entre 1 y 2 semanas para una aplicación de tamaño medio. Para alcances grandes o muy críticos puede extenderse. Te damos fecha cerrada después de la llamada de alcance.
¿Trabajáis con código fuente o caja negra?+
Por defecto caja gris: te pedimos credenciales de los distintos roles para poder probar control de acceso a fondo, pero no necesitamos código fuente. Si nos lo das (caja blanca) llegamos más lejos en el mismo tiempo. Tú decides.
¿Afectará a producción?+
Acordamos contigo la ventana y nivel de intrusión. Si prefieres staging, perfecto. Si hay que probar en producción, lo hacemos con cuidado quirúrgico y avisándote en tiempo real de cualquier hallazgo crítico.

¿Listo para un pentest de verdad?

Cuéntanos qué quieres proteger. Te respondemos en menos de 24h con propuesta de alcance, fecha y precio cerrado.