Vulnerabilidades Web · Pentest
Si te hackean, te enteras cuando tu sitio ya no carga.
Análisis de vulnerabilidades web, escaneo OWASP Top 10 y revisión de configuración — para detectar antes de que un atacante lo haga primero.
Para quién es
- → E-commerce y empresas que manejan datos sensibles de clientes (emails, RUT, datos de pago, médicos).
- → Negocios que quieren actuar pre-incidente, no post y reducir riesgo antes de un ataque real.
- → Empresas que necesitan auditoría para licitaciones o certificaciones (ISO 27001, PCI-DSS) y deben mostrar análisis externo.
- → Quienes acaban de sufrir un ataque y necesitan revisión post-incidente para que no vuelva a ocurrir.
Para quién NO es
- × Quien necesita recuperar datos ya robados . Eso es respuesta a incidentes, no análisis preventivo. Te derivamos.
- × Quien tiene rojo de seguridad al borde del colapso. Primero estabilizamos básicos, después auditamos.
- × Quien necesita pentest interno de red corporativa o auditoría on-premise. Nos enfocamos en activos web públicos.
Qué incluye el servicio
01 · Reconocimiento
Mapeo de Superficie
Identificación de todos los activos web públicos: subdominios, endpoints, APIs expuestas, paneles de admin. Información que un atacante reuniría primero.
02 · Escaneo
OWASP Top 10 y CVEs Conocidos
Escaneo automatizado + revisión manual de: inyecciones SQL, XSS, autenticación débil, exposición de datos, configuración insegura, dependencias con vulnerabilidades conocidas.
03 · Configuración
Headers, TLS y Hardening
Revisión de headers de seguridad (CSP, HSTS, X-Frame-Options), configuración TLS, CORS permisivo, exposición de versiones, archivos sensibles indexados.
04 · Reporte
Informe y Remediación
Reporte ejecutivo + técnico con hallazgos priorizados por severidad (crítico/alto/medio/bajo), evidencia, impacto potencial y pasos de remediación específicos.
Cómo trabajamos
01
Alcance y autorización
Reunión para definir alcance del análisis, dominios incluidos, ventana de tiempo. Firma de autorización formal — sin autorización escrita, no se ejecuta nada.
02
Análisis y reporte
Ejecución del análisis en la ventana acordada. Sin afectar disponibilidad del sitio. Entrega del reporte completo entre 7 y 14 días según alcance.
03
Remediación y re-test
Acompañamiento opcional para corregir hallazgos (con tu equipo o el nuestro). Re-test gratuito 30 días después para validar que las correcciones funcionaron.
Preguntas frecuentes
¿Es legal? ¿Necesito permiso? +
Sí, completamente legal — siempre que medie autorización escrita del dueño del sistema (tú). Sin autorización formal firmada, no ejecutamos absolutamente nada. Es no negociable.
¿Pueden tirar mi sitio durante el análisis? +
Nuestro análisis es no-invasivo por defecto: no DoS, no exploits destructivos. Pentest activo más profundo se acuerda aparte con ventana específica y backup verificado.
¿Cuánto cuesta un análisis de vulnerabilidades? +
Depende del alcance: cantidad de dominios, APIs, profundidad del pentest, tiempo de revisión manual. Sin entender qué quieres proteger primero no hay rango realista. Te damos cifra concreta tras definir alcance en una reunión inicial.
¿Garantizan que no me van a hackear después? +
No, nadie puede. Lo que sí garantizamos es haber revisado lo conocido al momento del análisis. La seguridad es continua: vulnerabilidades nuevas aparecen mensualmente.
¿Trabajan con OWASP Top 10 solamente? +
OWASP Top 10 es la base, pero cubrimos más: ASVS, CWE Top 25, CVEs específicas del stack que usas, configuración de servidor, headers. No es solo correr un script.
¿Pueden auditar mi app móvil también? +
Apps móviles son alcance distinto (binarios, almacenamiento local, comunicación con backend). Lo cotizamos aparte porque la metodología es otra.
Diagnóstico IT
Agendar Asesoría Informática / Canal Seguro.